SIEM SYSTEM, Quels sont les avantages?
Chaque personne de la société a un nom d'utilisateur/mot de passe unique et personne ne doit se connecter avec son nom d'utilisateur/mot de passe, mais lui.
Je souhaite un programme qui inspecterait les journaux qui inclut une liste de toutes les personnes qui sont venues au travail aujourd'hui et d'inspecter la liste des utilisateurs connectés (à partir de l'annonce ou où sont), pour trouver s'il y a quelqu'un dans le journalisé -Dans les journaux qui ne devraient pas être là (puisqu'il n'est pas dans le premier journal). Si le programme trouve ce type d'incohérence, il devrait signaler immédiatement les hommes en charge du système.
Le manifeste ci-dessus est ce que mon patron veut, et il pense qu'un système SIEM pourrait nous donner cette capacité. Ce n'est qu'un exemple de fichier journal qui fait référence à la référencement qu'il souhaite que nous ayons la capacité de faire.
À l'heure actuelle, nous avons de nombreux systèmes (de nombreuses entreprises) et chacun est d'inspecter différents aspects de la société (par exemple, un système qui nous donne des rapports des serveurs de fichiers sur quoi et qui a modifié les fichiers, combien de fichiers et tout anomalie qu'elle a trouvé; un système qui vérifie l'insertion USB sur les PC et ainsi de suite). J'aimerais trouver un système que je peux nourrir tous les rapports afin que je puisse générer un rapport de référence croisé.
Autant que j'ai compris les pages Wikipedia sur SIEM ( [~ # ~ # ~] sim [~ # ~] , - [~ # ~] SEM [~ # ~ ~] ), ce système devrait nous donner cette capacité.
Ma question est que je dois choisir l'un des 86 systèmes SIEM qui sont là-bas et enfin la mettre en œuvre à l'organisation, j'aimerais que vos conseils sur quel est le système qui conviendrait à mes besoins ci-dessus. Il devrait également être facile de travailler avec autant que possible, car à la fin de la journée, quelqu'un devra travailler avec ce système et s'il n'a pas d'interface significative et de rapports significatifs, par exemple, je n'aurais pas obtenu les résultats Je veux.
En plus de ce qui précède, je voudrais savoir quels composants je devrais être préparé pour (agent client informatique, agents de serveur, etc.).
Sortiement des informations de votre question, la réduction de la liste de cette liste de 86 ne sera pas facile - j'avais un voletage rapide, car je connais un juste bon rapport des principaux noms. Des points:
- SIEM Solutions devrait tous Pouvoir exécuter des activités de type de corrélation de journal
- La plupart comprennent la journalisation d'insertion de périphérique et les vérifications de type TripWire (ou peuvent incorporer tripwire ou tout autre journal de syslog)
- La plupart d'entre eux ont des interfaces utilisateur raisonnables
- La plupart ont des interfaces de ligne de commande scriptables
Ce que vous devriez faire, c'est répertorier les choses que vous voulez/en avez besoin pour avoir et sélectionner sur ces éléments. Si vous pouvez le réduire moins de dix ans, vous avez une bien meilleure chance de pouvoir exécuter des tests de comparaison.
J'utilise personnellement splunk pour cette chose même. Il a une fonctionnalité robuste de recherche/corrélation/tableau de bord. De plus, il peut exécuter Python scripts de manière native afin que vous puissiez générer vos propres données à partir de sources personnalisées.
Par exemple, la comparaison d'une liste de qui est censée travailler avec la liste des utilisateurs connectés serait une recherche triviale.
Splunk est tout simplement très puissant et serviable pour moi. Il a réduit 45 minutes de vérification manuelle de diverses journaux, rapports, courriels, etc. à un e-mail généré automatiquement dans le formulaire PDF.
Splunk a une courbe d'apprentissage exotique, avec des recherches de base disponibles dans littéralement minutes, puis il m'a fallu une journée pour comprendre comment construire une recherche complexe. Deux autres jours pour avoir un ensemble de graphiques (chronologies, pannes, jauges). J'ai ensuite compris qu'il est de plus logique de créer des recherches sauvegardées et de travailler à partir de la tâche (vous pouvez les éditer plus facilement).
Je suggère également de regarder les fichiers de configuration (Transforms.conf en particulier).
Depuis que je suis dans les affaires Siem depuis 5 ans, je ferai peu de déclarations pour moi jusqu'à présent. Dans la plupart des cas, SIEM est une décision politique en entreprise parce que la société dispose d'un peu de budget et souhaite élever la conscience de la sécurité. Habituellement, il s'agit d'acheter un produit coûteux, puis à la fin de la négligence. Donc, ce que je rechercherais dans Siem est des options pour l'étendre pour répondre à vos propres besoins car chaque entreprise dispose de son propre ensemble de règles et de directives de sécurité qu'elle doit/veut suivre. Avec cela à l'esprit, pour obtenir la plupart des Siem dont vous avez besoin:
aPI ouvert
option d'écrire vos indexeurs
option d'écrire des rapports personnalisés
Si vous avez des sysadmines qui ne veulent pas investir trop de temps, vous aurez également besoin de:
- mises à jour régulières pour les règles de sécurité et les indexeurs
Quoi qu'il en soit, je ne sais pas si ce que je fais est juste parce que je suggère Otus Siem comme notre propre produit sur lequel nous avons passé 4 ans jusqu'à présent, mais jusqu'à présent, nous avons eu tonne d'expérience utilisateur et nous Sachez avec quelles attentes ils commencent et ce qu'ils s'installent à la fin.