siem(security information and event management),顧名思義就是針對安全資訊和事件的管理系統,針對大多數企業是不便宜的安全系統,本文結合作者的經驗介紹下如何使用開源軟體搭建企業的siem系統,資料深度分析在下篇。對比gartner2023年和2023年的全球siem廠商排名,可以清楚看出,基於大資料架構的廠商splunk迅速崛起,傳統四強依託完整的安全產品線和成熟市場渠道,依然佔據領導者象限,其他較小的廠商逐漸離開領導者象限。最重要的儲存架構也由盤櫃(可選)+商業資料庫逐漸轉變為可橫向擴充套件的大資料架構,支援雲環境也成為趨勢。
開源siem領域,比較典型的就是ossim和opensoc,ossim儲存架構是mysql,支援多種日誌格式,包括鼎鼎大名的snort、nmap、 nessus以及ntop等,對於資料規模不大的情況是個不錯的選擇,新版介面很酷炫。
完整的siem至少會包括以下功能:
其中最核心的我認為是入侵檢測、行為分析和日誌儲存檢索,本文重點集中討論支撐上面三個功能的技術架構。opensoc是思科2023年在brocon大會上公布的開源專案,但是沒有真正開源其源**,只是發布了其技術框架。我們參考了opensoc發布的架構,結合公司實際落地了一套方案。opensoc完全基於開源的大資料框架kafka、storm、spark和es等,天生具有強大的橫向擴充套件能力,本文重點講解的也是基於opensoc的siem搭建。
上圖是opensoc給出的框架,初次看非常費解,我們以資料儲存與資料處理兩個緯度來細化,以常見的linux伺服器ssh登入日誌蒐集為例。
如何在離線資料中,通過行為分析和攻擊建模識別出深入的入侵行為呢?請看下篇。
來自:
《企業安全建設》讀書筆記
基於nginx lua的waf 可以把lua理解成乙個程序,貫穿整個nginx服務的http保溫處理的流程中,可以針對htt報文的任何字段進行處理。lua處理流程 分布式waf架構 lvs架構 waf日誌處理 如果有實時檢索原始日誌的需求,可以引入elasticsearch。這部分最基礎的功能包括 ...
如何建設企業網路安全體系
隨著網路的泛化和無邊界化,網路安全問題會越來越嚴峻。單就惡意 一項,就呈現出 增長的趨勢。目前全球已經有 50億惡意樣本,每天還將以300萬種的速度產生。如果把惡意 問題看作天災的話,那麼現代網路同時還面臨著 人禍 稜鏡門 事件揭露了網路資料被監聽的事實,暴露出 網路安全角勢嚴峻。無論資料被惡意 破...
企業安全建設第11課 實驗堡壘機使用
實驗宣告 本實驗教程僅供研究學習使用,請勿用於非法用途,違者一律自行承擔所有風險!堡壘機使用 了解堡壘機的使用,及審計原理 一台已經安裝好的 jumperserver 堡壘機 一台windows伺服器 作為被管理目標伺服器,同時作為客戶端連線堡壘機 一台linux伺服器,作為被管理目標伺服器,也可用...