來(lái)源：https://logz.io/blog/open-source-siem-tools/

SIEM系統(tǒng)有助于保護(hù)IT環(huán)境免受網(wǎng)絡(luò)攻擊愤惰，并遵守日益嚴(yán)格的合規(guī)性標(biāo)準(zhǔn)样勃，它正在成為越來(lái)越多的組織實(shí)現(xiàn)的安全范例的基石岩喷。

在前一篇文章中，我們解釋了SIEM系統(tǒng)實(shí)際上是什么——組織為什么需要它任岸，它由哪些組件組成脑融，以及它如何幫助減輕攻擊。這篇文章得出的結(jié)論之一是缘琅，SIEM本身并不是一個(gè)工具粘都，而是由多個(gè)監(jiān)視和分析組件組成的。

有些專有平臺(tái)確實(shí)提供了一種一體化的SIEM解決方案刷袍，例如LogRhythm翩隧、QRadar和ArcSight。這些解決方案可能會(huì)變得非常昂貴呻纹，尤其是在長(zhǎng)期和大型組織中堆生，因此越來(lái)越多的公司都在尋找開(kāi)源的SIEM平臺(tái)。

但是是否有一個(gè)包含所有基本SIEM元素的開(kāi)源平臺(tái)呢?

答案很簡(jiǎn)單——不雷酪。沒(méi)有一個(gè)完整的開(kāi)源SIEM系統(tǒng)∈缙停現(xiàn)有的解決方案要么缺少核心的SIEM功能，比如事件相關(guān)性和報(bào)告哥力，要么需要與其他工具相結(jié)合蔗怠。不過(guò)墩弯，像往常一樣，也有一些不錯(cuò)的競(jìng)爭(zhēng)者寞射，在本文中渔工，我們將研究其中的6個(gè)平臺(tái)。

我們將在本文之后對(duì)專有工具進(jìn)行類似的分析桥温。

1. OSSIM

作為AlienVault提供的統(tǒng)一安全管理(USM)的開(kāi)源版本引矩，OSSIM可能是比較流行的開(kāi)源SIEM平臺(tái)之一。OSSIM包括關(guān)鍵的SIEM組件侵浸，即事件收集旺韭、處理和規(guī)范化，最重要的是-事件相關(guān)性掏觉。

為了構(gòu)建一個(gè)完整的SIEM, OSSIM將本機(jī)日志存儲(chǔ)和相關(guān)功能與許多開(kāi)源項(xiàng)目結(jié)合起來(lái)区端。OSSIM中包含的開(kāi)源項(xiàng)目列表包括:FProbe、Munin履腋、Nagios珊燎、NFSen/NFDump、OpenVAS遵湖、OSSEC悔政、PRADS、Snort延旧、Suricata和TCPTrack谋国。

OpenVAS的包含尤其有趣，因?yàn)镺penVAS通過(guò)將IDS日志與漏洞掃描結(jié)果關(guān)聯(lián)來(lái)用于漏洞評(píng)估迁沫。

正如人們所預(yù)期的那樣芦瘾，開(kāi)源OSSIM并不像它的商業(yè)“老大哥”那樣功能豐富。這兩種解決方案都適用于小型部署集畅，但是OSSIM用戶在規(guī)模上遇到了嚴(yán)重的性能問(wèn)題近弟，最終導(dǎo)致他們轉(zhuǎn)向商業(yè)產(chǎn)品。例如挺智，開(kāi)源版本的OSSIM中的日志管理功能實(shí)際上是不存在的祷愉。

2. ELK堆棧

ELK堆棧，或者Elastic Stack 赦颇，正如它最近被重新命名的那樣二鳄，可以說(shuō)是當(dāng)今作為SIEM系統(tǒng)構(gòu)建塊使用的最流行的開(kāi)源工具。一個(gè)構(gòu)建塊——是的媒怯。一個(gè)完整的SIEM系統(tǒng)——不订讼，因?yàn)殛P(guān)于麋鹿堆棧是否符合“一個(gè)完整的”SIEM系統(tǒng)有很多爭(zhēng)論的空間。

ELK堆棧包括開(kāi)源產(chǎn)品Elasticsearch扇苞、Logstash欺殿、Kibana和Beats系列的日志傳輸者寄纵。

Logstash是一個(gè)日志聚合器，可以從幾乎任何數(shù)據(jù)源收集和處理數(shù)據(jù)祈餐。它可以過(guò)濾擂啥、處理、關(guān)聯(lián)和增強(qiáng)所收集的任何日志數(shù)據(jù)帆阳。Elasticsearch是一種存儲(chǔ)引擎，是該領(lǐng)域存儲(chǔ)和索引時(shí)間序列數(shù)據(jù)的最佳解決方案之一屋吨。Kibana是堆棧中的可視化層蜒谤，在這方面非常強(qiáng)大。Beats包括各種輕量級(jí)的日志傳輸者至扰，他們負(fù)責(zé)收集數(shù)據(jù)并通過(guò)Logstash將其發(fā)送到堆棧中鳍徽。

Logstash使用大量的輸入插件來(lái)收集日志。但是敢课，它也可以接受來(lái)自更專用的解決方案(如OSSEC或Snort)的輸入(見(jiàn)下文)阶祭。結(jié)合起來(lái)，ELK堆棧的日志處理直秆、存儲(chǔ)和可視化功能在功能上是不匹配的濒募。然而，就SIEM的目的而言圾结，ELK堆棧(至少是原始開(kāi)源格式的堆棧)缺少一些關(guān)鍵組件瑰剃。

首先，它沒(méi)有內(nèi)置的報(bào)告或警報(bào)功能筝野。這是一個(gè)已知的痛點(diǎn)晌姚，不僅對(duì)于試圖將堆棧用于安全性的用戶，對(duì)于更常見(jiàn)的用例(例如IT操作)也是如此歇竟。警報(bào)可以通過(guò)使用X-Pack挥唠、Elastic商業(yè)產(chǎn)品或添加開(kāi)源安全插件來(lái)添加。

也沒(méi)有可以使用的內(nèi)置安全規(guī)則焕议。這使得堆棧的處理成本增加了一些宝磨，包括資源和操作成本。

3.OSSEC

OSSEC是一種流行的開(kāi)源主機(jī)入侵檢測(cè)系統(tǒng)(HIDS)号坡，可用于各種操作系統(tǒng)懊烤，包括Linux、Windows宽堆、MacOS腌紧、Solaris以及OpenBSD和FreeBSD。

OSSEC本身分為兩個(gè)主要組件:負(fù)責(zé)從不同數(shù)據(jù)源收集日志數(shù)據(jù)的管理器(或服務(wù)器)和代理程序(代理程序是負(fù)責(zé)收集和處理日志并使其更易于分析的應(yīng)用程序)畜隶。

OSSEC項(xiàng)目本身不包括可視化層壁肋。有一個(gè)UI是廢除的号胚，相反，建議使用外部可視化工具浸遗，如Kibana和Grafana猫胁。

OSSEC直接監(jiān)視主機(jī)上的許多參數(shù)。這包括日志文件跛锌、文件完整性弃秆、rootkit檢測(cè)和Windows注冊(cè)表監(jiān)控。OSSEC可以從其他網(wǎng)絡(luò)服務(wù)執(zhí)行日志分析髓帽，包括大多數(shù)流行的開(kāi)源FTP菠赚、郵件、DNS郑藏、數(shù)據(jù)庫(kù)衡查、web、防火墻和基于網(wǎng)絡(luò)的IDS解決方案必盖。OSSEC還可以分析來(lái)自許多商業(yè)網(wǎng)絡(luò)服務(wù)和安全解決方案的日志拌牲。

OSSEC有許多報(bào)警選項(xiàng)，可以用作自動(dòng)入侵檢測(cè)或主動(dòng)響應(yīng)解決方案的一部分歌粥。OSSEC有一個(gè)基本的日志存儲(chǔ)引擎塌忽。默認(rèn)情況下，不保留來(lái)自主機(jī)代理的日志消息阁吝。一旦分析完畢砚婆，OSSEC將刪除這些日志，除非OSSEC管理器的OSSEC.conf文件中包含<logall>選項(xiàng)突勇。</logall>如果啟用此選項(xiàng)装盯，OSSEC將來(lái)自代理的傳入日志存儲(chǔ)在每天滾動(dòng)的文本文件中。

OSSEC是否可以算作“一種”SIEM系統(tǒng)還存在爭(zhēng)議甲馋。OSSEC在實(shí)現(xiàn)SIEM系統(tǒng)時(shí)確實(shí)做了大量的工作:它收集數(shù)據(jù)并對(duì)其進(jìn)行分析埂奈，但是缺少一些必需的核心日志管理和分析組件。值得指出的是定躏，OSSEC項(xiàng)目已經(jīng)被其他HIDS解決方案(例如Wazuh)所開(kāi)發(fā)账磺，這些解決方案擴(kuò)展了OSSEC的功能，使其成為一個(gè)更完整的SIEM選項(xiàng)痊远。

4. Apache Metron

Apache Metron從Cisco的OpenSOC平臺(tái)發(fā)展而來(lái)垮抗，并于2016年首次發(fā)布，它是該行業(yè)中一個(gè)相對(duì)較新的參與者碧聪，也是將多個(gè)開(kāi)放源碼項(xiàng)目組合到一個(gè)平臺(tái)的安全框架的另一個(gè)例子冒版。

從架構(gòu)的角度來(lái)看，Metron依賴于其他Apache項(xiàng)目來(lái)收集逞姿、流化和處理安全數(shù)據(jù)辞嗡。Apache Nifi和Metron探測(cè)從安全數(shù)據(jù)源收集數(shù)據(jù)捆等，然后將這些數(shù)據(jù)推送到單獨(dú)的Apache Kafka主題中。事件隨后被解析并規(guī)范化為標(biāo)準(zhǔn)JSON续室，然后被充實(shí)栋烤，在某些情況下被標(biāo)記。如果確定了某些事件類型挺狰，則可以觸發(fā)警報(bào)明郭。為了可視化，使用Kibana(盡管是一個(gè)過(guò)時(shí)的版本)

對(duì)于存儲(chǔ)她渴，事件被索引并持久化到Apache Hadoop中达址，并且可以根據(jù)組織的首選項(xiàng)進(jìn)行Elasticsearch或Solr。在這些數(shù)據(jù)之上趁耗，Metron提供了一個(gè)接口，用于使用警報(bào)摘要和豐富的數(shù)據(jù)集中分析數(shù)據(jù)疆虚。

Metron最強(qiáng)大的特性之一是可插入和可擴(kuò)展的體系結(jié)構(gòu)苛败。例如，Bro径簿、pycapa和fastcapa傳感器可以用來(lái)將特定的數(shù)據(jù)發(fā)送到Metron罢屈。使用簡(jiǎn)單的DSL Stellar，用戶可以編寫自己的函數(shù)來(lái)轉(zhuǎn)換收集到的數(shù)據(jù)篇亭。廣泛的REST API允許用戶與Metron交互缠捌，因此用戶可以通過(guò)編程方式管理警報(bào)。

Metron相對(duì)年輕译蒂，在一些方面還比較欠缺曼月。Metron只能安裝在有限數(shù)量的操作系統(tǒng)和環(huán)境中，不過(guò)它支持通過(guò)Docker(僅適用于Mac和Windows)進(jìn)行可分析和安裝的自動(dòng)化場(chǎng)景柔昼。UI有點(diǎn)不成熟哑芹，例如不支持身份驗(yàn)證。

5. SIEMonster

SIEMonster是另一個(gè)年輕的SIEM播放器捕透，但也非常受歡迎聪姿，在短短兩年內(nèi)下載量超過(guò)10萬(wàn)次。SIEMonster基于開(kāi)源技術(shù)乙嘀，可以免費(fèi)獲得末购，并且是一種付費(fèi)解決方案(Premium和MSSP多租戶)。

雖然SIEMonster使用自己的“怪物”術(shù)語(yǔ)來(lái)命名系統(tǒng)中不同的SIEM功能(例如Kraken)虎谢，但是底層組件是眾所周知的開(kāi)源技術(shù)盟榴。ELK堆棧用于收集(Filebeat和Logstash)、處理嘉冒、存儲(chǔ)和可視化所收集的安全數(shù)據(jù)曹货。RabbitMQ用于隊(duì)列咆繁。SearchGuard用于對(duì)Elasticsearch和ElastAlert進(jìn)行加密和身份驗(yàn)證，用于報(bào)警顶籽。給HIDS的分支OSSEC Wazuh玩般。這樣的例子不勝枚舉。

從功能的角度來(lái)看礼饱，SIEMonster包含了分析師可能希望得到的所有好處坏为，每個(gè)好處都可以通過(guò)主菜單訪問(wèn)——用于搜索和可視化數(shù)據(jù)的Kibana UI、用于威脅情報(bào)的MineMeld UI镊绪、用于創(chuàng)建和管理基于事件的通知的警報(bào)匀伏。其他集成的開(kāi)源工具有DRADIS、OpenAudit和FIR蝴韭。

SIEMonster可以使用Docker容器部署在云上够颠，這意味著更容易跨系統(tǒng)移植，也可以部署在vm和裸機(jī)上(Mac榄鉴、Ubuntu履磨、CentOS和Debian)。盡管缺少在線版本庆尘，但文檔非常豐富剃诅。

6. Prelude

與OSSIM類似，Prelude是一個(gè)結(jié)合了其他各種開(kāi)源工具的SIEM框架驶忌。與OSSIM一樣矛辕，它也是同名商業(yè)工具的開(kāi)源版本。Prelude旨在填補(bǔ)OSSEC和Snort等工具所遺漏的角色付魔。

Prelude接受來(lái)自多個(gè)源的日志和事件聊品，并使用入侵檢測(cè)消息交換格式(IDMEF)將它們存儲(chǔ)在一個(gè)位置。它提供過(guò)濾抒抬、關(guān)聯(lián)杨刨、警報(bào)、分析和可視化功能擦剑。

同樣妖胀，與OSSIM一樣，與所有這些功能的商業(yè)產(chǎn)品相比惠勒，Prelude的開(kāi)源版本受到了很大的限制赚抡，這可能就是它不太受歡迎的原因。引用官方文檔:“Prelude OSS的目的是在非常小的環(huán)境中進(jìn)行評(píng)估纠屋、研究和測(cè)試涂臣。請(qǐng)注意，Prelude OSS的表現(xiàn)遠(yuǎn)遠(yuǎn)低于Prelude SIEM版。

沒(méi)有“一枚戒指可以統(tǒng)治所有人”

一個(gè)完整的SIEM解決方案包括從各種數(shù)據(jù)源收集信息赁遗、長(zhǎng)時(shí)間保留這些信息署辉、在不同事件之間建立關(guān)聯(lián)、創(chuàng)建關(guān)聯(lián)規(guī)則或警報(bào)岩四、分析數(shù)據(jù)并使用可視化和儀表板對(duì)其進(jìn)行監(jiān)視哭尝。

為了滿足這些需求，本文中列出的許多開(kāi)源SIEM系統(tǒng)都使用了ELK堆棧剖煌，這并非巧合材鹦。OSSEC Wazuh, SIEMonster, Metron -都采用ELK。但ELK本身缺乏一些關(guān)鍵的SIEM組件耕姊，如關(guān)聯(lián)規(guī)則和事件管理桶唐。

基于上面的分析，一個(gè)簡(jiǎn)單的結(jié)論是茉兰，“一體式開(kāi)源SIEM解決方案”并沒(méi)有明確的贏家尤泽。在實(shí)現(xiàn)基于上述解決方案的SIEM系統(tǒng)時(shí)，您很可能會(huì)發(fā)現(xiàn)自己在功能或與其他開(kāi)源工具結(jié)合方面受到了限制。

用于SIEM的開(kāi)源工具是通用的和強(qiáng)大的。但是芹壕，它們需要大量的專業(yè)知識(shí)盒蟆，而且最重要的是——正確地部署。正是由于這個(gè)原因网棍，即使開(kāi)源工具是這些商業(yè)產(chǎn)品的核心黔龟，商業(yè)產(chǎn)品仍然主導(dǎo)著SIEM的發(fā)展。

為您處理80%的SIEM解決方案要比自己處理好滥玷。商業(yè)解決方案處理安裝氏身、基本配置，并為最常見(jiàn)的用例提供過(guò)濾器惑畴、相關(guān)配置和可視化設(shè)計(jì)蛋欣。不要低估這些商業(yè)特性的價(jià)值:在當(dāng)今的數(shù)據(jù)中心中，要監(jiān)視的東西似乎是無(wú)限的如贷，我們沒(méi)有人有時(shí)間手動(dòng)配置應(yīng)用程序來(lái)監(jiān)視它們陷虎。