Die 7 besten kostenlosen Open-Source-SIEM-Tools
Sicherheitsinformations- und Ereignismanagement(SIEM)-Software ist ein Tool, das eine einzige zentrale Plattform für die Erfassung, Überwachung und Verwaltung sicherheitsrelevanter Ereignisse und Protokolldaten aus dem gesamten Unternehmen bereitstellt. Da ein SIEM Daten aus einer Vielzahl von Ereignis- und Kontextdatenquellen korreliert, kann es Sicherheitsteams in die Lage versetzen, verdächtige Verhaltensmuster effektiver zu erkennen und darauf zu reagieren, als dies durch die bloße Betrachtung von Daten einzelner Systeme möglich wäre.
Hier ist unsere Liste der sieben besten kostenlosen Open-Source-SIEM-Tools:
- AlienVault OSSIM DIE WAHL DES HERAUSGEBERS Dies ist eines der ältesten SIEM-Systeme auf dem Markt, wird jedoch von AT&T sehr gut unterstützt, sodass es immer noch auf der Grundlage solider, zuverlässiger Codes verbessert wird, die ausgiebig in der Praxis getestet wurden. Läuft als virtuelle Appliance.
- ELK-StapelEine kostenlose Suite von Datenerfassungs-, Sortier- und Visualisierungstools, mit denen Sie Ihre eigenen SIEM-Bedrohungserkennungsregeln erstellen können. Verfügbar für Windows, Linux und macOS.
- OSSECDieses Tool verfügt über gute Routinen zur Bedrohungserkennung, aber schwache Protokollverwaltungsfunktionen. Kombinieren Sie es daher mit ELK Stack, um das Beste seiner Art zu erhalten. Agenten sind für Windows, Linux, macOS und Unix verfügbar, der Server läuft jedoch nur unter Linux oder Unix.
- WazuhEin Zweig von OSSEC, der über bessere Protokolldateiverwaltungsdienste als das Original verfügt und auf ELK basiert. Läuft unter Linux.
- Apache MetronDatensortiertool mit hervorragender Bedrohungserkennung, aber Sie müssen einen Protokollsammler eines Drittanbieters finden, um Daten einzuspeisen (Hinweis: Probieren Sie Logstash aus). Installieren Sie es auf Ihrem AWS EC2-Konto.
- MozDefEin einfaches SIEM für kleine Unternehmen, das ELK Stack integriert. Führen Sie es unter Docker oder CentOS Linux aus.
- SIEMonsterEin kompetentes SIEM für kleine Unternehmen mit einer kostenpflichtigen Version für größere Organisationen. Läuft auf Docker, Linux und macOS oder als virtuelle Appliance.
Sicherheit wird durch eine Kombination aus Präventions-, Erkennungs- und Reaktionsmaßnahmen erreicht. Es scheint jedoch, dass die meisten Sicherheitsfehler heutzutage eher der Erkennung und Reaktion als der Prävention dienen, und hier kommt SIEM ins Spiel. Eine SIEM-Lösung bietet Unternehmen eine großartige Möglichkeit, ihre Sicherheitsprobleme zu verwalten, insbesondere im Bereich der Erkennung und Reaktion von Vorfällen, der Abwehr von Insider-Bedrohungen und der Einhaltung gesetzlicher Vorschriften.
Open-Source-SIEM-Tools
Zweifellos spielen die Kosten bei den meisten IT-Entscheidungen eine wichtige Rolle. Für KMU kann die Investition in SIEM-Tools der Enterprise-Klasse kapitalintensiv sein. Die Option der Open-Source-SIEM-Software erfreut sich immer größerer Beliebtheit und wird von Unternehmen sowohl im öffentlichen als auch im privaten Sektor übernommen. Open-Source-SIEMs sind im Laufe der Jahre erheblich ausgereifter geworden und bieten grundlegende Funktionen, die den Anforderungen von KMU gerecht werden, die beginnen, ihre Sicherheitsereignisinformationen zu protokollieren und zu analysieren. Es hilft, die Lizenzkosten zu senken und bietet die Möglichkeit, bestimmte Funktionen zu evaluieren, bevor Investitionen in Premiumprodukte ausgeweitet werden. Open-Source-SIEM kann zwar nicht den Umfang von Unternehmenslösungen bieten, bietet aber solide Funktionalität zu einem erschwinglichen Preis. Dies macht es für KMUs und andere Organisationen attraktiv, die ihre Kosten minimieren möchten.
Natürlich haben Open-Source-SIEM-Lösungen auch Nachteile, daher ist es wichtig, einige der damit verbundenen Nachteile zu berücksichtigen. Nachfolgend sind einige der mit Open Source verbundenen Nachteile aufgeführt SIEM-Tools :
- Es besteht die Möglichkeit, dass die Open-Source-Software nicht immer verfügbar ist: Wenn die Community, die hinter der Pflege und Aktualisierung des Quellcodes steht, ihr Geschäft aufgibt, müssen Sie möglicherweise die Last der Pflege selbst tragen. Möglicherweise sparen Sie Geld bei den Lizenzkosten, müssen aber letztendlich mehr für die kontinuierliche Wartung ausgeben.
- Support ist nicht immer verfügbar oder zuverlässig: Bei Open-Source-Software ist Support nicht immer garantiert, und wenn doch, würden die Vorteile, die mit SLA-Support verbunden sind, fehlen.
- Aufgrund der riesigen Menge an aggregierten Daten stellen die meisten Open-Source-SIEMs keinen Speicher bereit und verwalten diesen auch nicht. Möglicherweise müssen sie Open-Source-SIEM mit anderen Tools kombinieren, um die erwarteten Vorteile zu erzielen.
- Vielen Open-Source-SIEM-Lösungen fehlen wichtige SIEM-Funktionen, wie z. B. Funktionen der nächsten Generation, Berichterstellung, Ereigniskorrelation und Fernverwaltung von Protokollsammlern.
Premium SIEM-Tools für Unternehmen
Während der Hauptgrund für die Einführung von Open-Source-SIEM geringere Lizenzkosten sind, ist es wichtig, die Tatsache hervorzuheben, dass die Lizenzkosten nur einen Bruchteil der Gesamtbetriebskosten einer SIEM-Lösung ausmachen, insbesondere wenn andere Faktoren wie Hardware und Speicher berücksichtigt werden , und Humankapital werden berücksichtigt. Wenn Sie die Einführung einer Open-Source-SIEM-Software planen, sollten Sie die Vor- und Nachteile sorgfältig abwägen und bereit sein, die damit verbundenen Risiken in Kauf zu nehmen.
Premium-SIEM-Lösungen für Unternehmen bieten jedoch bessere Konfigurations- und Installationsprozesse, Korrelations- und Berichtsfunktionen, maschinelles Lernen und SaaS-Optionen, zuverlässigen Anbietersupport und viele andere nützliche Funktionen. Sie ermöglichen es Unternehmen, die Aktivitäten großer Rechenzentren zu überwachen und die Sicherheit wichtiger Anwendungen und Netzwerkinfrastruktur zentral zu verwalten. Am wichtigsten ist vielleicht, dass nur SIEM-Plattformen für Unternehmen Optionen für On-Premise- oder Cloud-Bereitstellungen sowie die Funktionen von SIEM der nächsten Generation bieten. Unternehmens-SIEMs der nächsten Generation verfügen über leistungsstarke Technologien wie User and Event Behavior Analytics (UEBA) und Security Orchestration sowie Automation and Response (SOAR), die die Effektivität der Erkennung und Reaktion auf Vorfälle erheblich verbessern.
Wir haben einige davon überprüft und dokumentiert Die besten Premium-SIEM-Tools der Enterprise-Klasse auf dem Markt. Einige von ihnen, wie der SolarWinds Security & Event Manager (SEM) und der ManageEngine EventLog Analyzer, bieten kostenlose Testversionen an, die die Möglichkeit bieten, bestimmte Funktionen zu testen, bevor Sie sich für eine Investition in das Produkt entscheiden.
Dennoch sind Premium-SIEM-Tools für Unternehmen nicht billig und die meisten Unternehmen können sie sich möglicherweise nicht leisten. Hier zeichnen sich Open-Source-SIEM-Tools aus. Da es eine Vielzahl von Open-Source-SIEMs gibt, kann es eine Herausforderung sein, das richtige für Ihr Unternehmen auszuwählen. Was in Bezug auf Features und Funktionalität für eine Organisation perfekt passt, passt möglicherweise nicht für eine andere. Um Ihnen die Entscheidung zwischen den unzähligen kostenlosen und Open-Source-SIEM-Tools auf dem Markt zu erleichtern, haben wir eine Liste der sieben besten Open-Source-SIEM-Software zusammengestellt. Wir hoffen, dass dies Sie bei der Auswahl des richtigen Anbieters für Ihr Unternehmen unterstützt.
Unsere Methodik zur Auswahl eines kostenlosen SIEM-Systems
Wir haben den Markt für Open-Source-SIEM-Tools untersucht und die Optionen anhand der folgenden Kriterien analysiert:
- Protokollweiterleitung zum Sammeln von Protokollnachrichten aus verschiedenen Quellen
- Protokollnachrichtenkonsolidierung zur Standardisierung von Formaten
- Protokolldateiverwaltung
- Ein Live-Datenfeed von SNMP oder einem anderen Netzwerkprotokoll
- Anomalieerkennung
- Ein kostenloser Dienst, der SIEM vollständig implementieren kann, kein Demopaket
- Ein kompetentes SIEM, das mit bezahlten Konkurrenten voll konkurriert
Anhand dieser Kriterien haben wir nach zuverlässigen SIEM-Systemen gesucht, die nachweislich Eindringlinge und Insider-Bedrohungen erkennen.
Die besten Open-Source-SIEM-Tools
1. AlienVault OSSIM
Der Open Source SIEM (OSSIM )-Software von AT&T Cybersecurity ist stolz darauf, das weltweit am häufigsten verwendete Open-Source-SIEM zu sein. OSSIM nutzt die Leistungsfähigkeit des AT&T Open Threat Exchange (OTX), der offenen Zugang zu einer globalen Gemeinschaft von Bedrohungsforschern und Sicherheitsexperten bietet; Dadurch können Benutzer Informationen über böswillige Aktivitäten beisteuern und in Echtzeit erhalten. AT&T bietet fortlaufende Entwicklung und Wartung für OSSIM.
Zu den Funktionen und Fähigkeiten gehören:
- Asset-Erkennung und Inventarisierung
- Schwachstellenanalyse
- Einbrucherkennung
- Verhaltensüberwachung
- SIEM-Ereigniskorrelation
OSSIM umfasst wichtige SIEM-Komponenten wie Ereigniserfassung, Normalisierung und Korrelation.
Vorteile:
- Verfügbar für Mac und Windows
- Kann Protokolldateien scannen und Schwachstellenbewertungsberichte basierend auf im Netzwerk gescannten Geräten und Anwendungen bereitstellen
- Das benutzergesteuerte Portal ermöglicht es Kunden, ihre Bedrohungsdaten zu teilen, um das System zu verbessern
- Nutzt künstliche Intelligenz, um Administratoren bei der Suche nach Bedrohungen zu unterstützen
Nachteile:
- Wünschenswert wäre eine längere Testphase
Für Unternehmen, die nach einer glaubwürdigen Open-Source-Alternative zu SIEM-Tools der Enterprise-Klasse suchen, bietet OSSIM die Möglichkeit, Kernfunktionen von SIEM zu erleben, ohne so viel für Lizenzkosten auszugeben. OSSIM kann vor Ort entweder in physischen oder virtuellen Umgebungen bereitgestellt werden, die Installation ist jedoch auf nur einen einzelnen Server beschränkt. Community-Support wird über Produktforen bereitgestellt. OSSIM ist verfügbar für Hier herunterladen .
Der Nachteil dieses Open-Source-Tools besteht jedoch darin, dass die Einrichtung und Anpassung insbesondere in Windows-Umgebungen etwas schwierig und mühsam sein kann. Es verfügt außerdem über eingeschränkte Protokollverwaltung, Anwendungs- und Datenbanküberwachung. Für Unternehmen, die eine umfassendere SIEM-Lösung suchen: AlienVault Unified Security Management (USM) ist ein in der Cloud gehosteter Dienst, der zusätzliche Funktionen bietet, die alles bieten, was für eine effektive Bedrohungserkennung, Reaktion auf Vorfälle und Compliance-Management erforderlich ist.
DIE WAHL DES HERAUSGEBERS
AlienVault OSSIMist unsere erste Wahl für ein kostenloses Open-Source-SIEM-Tool, da es sich um das ursprüngliche SIEM handelt – erstellt, bevor der Begriff „SIEM“ existierte. Die Nutzung dieses Pakets ist weiterhin kostenlos, seine Wartung und Entwicklung wird jedoch vollständig von AT&T Cybersecurity finanziert. Die Kombination aus Einfallsreichtum, langjähriger Erfahrung und großem Budget macht OSSIM zu einem Dienst, der mit kostenpflichtigen Tools voll konkurriert. Durch die Kombination von OSSIM mit seinem Partnersystem, dem Open Threat Exchange (OTX), entsteht ein umfassendes System, das sowohl neue Bedrohungen als auch alte Angriffsstrategien identifizieren kann.
Herunterladen: Laden Sie das Tool kostenlos herunter
Offizielle Seite: https://cybersecurity.att.com/products/ossim/
DU:Virtuelle Appliance
2. ELK-Stack
Der ELK Stack (Elastic Stack) ist die weltweit beliebteste Protokollverwaltungsplattform und Open-Source-Baustein für SIEM. Der ELK-Stack ist beliebt, weil er einen wichtigen Bedarf im SIEM-Bereich erfüllt. Es bietet Unternehmen eine leistungsstarke Plattform, die Daten aus mehreren Quellen sammelt und verarbeitet, diese Daten in einem zentralen Datenspeicher speichert, der bei wachsendem Datenvolumen skaliert werden kann, sowie eine Reihe von Tools zur Analyse der Daten. Der ELK-Stack wird entwickelt, verwaltet und gewartet von Elastisch .
Hauptmerkmale:
- Modulare Suite
- Guter Protokollaggregator und Dateimanager
- Anpassbares Frontend
- Erstellen Sie Ihre eigenen Regeln zur Bedrohungserkennung
Das Dienstprogramm ELK Stack besteht aus den Open-Source-Tools: Logstash , Elasticsearch , Kibana Und Schläge :
- Logstash ist ein Protokollaggregator und Analysetool, das Daten aus verschiedenen Quellen sammelt und verarbeitet. Logstash spielt eine entscheidende Rolle im Stack – es ermöglicht Ihnen, Ihre Daten auf eine Weise zu filtern, zu massieren und zu formen, die die Arbeit damit erleichtert.
- Elasticsearch ist die Speicher-, Volltextsuch- und Analyse-Engine zum Speichern und Indizieren von Zeitreihendaten. Seine Rolle ist so zentral, dass er zum Synonym für den Namen des Stacks selbst geworden ist.
- Kibana ist die Visualisierungsebene, die auf Elasticsearch aufsetzt und Benutzern die Möglichkeit bietet, Daten zu analysieren und zu visualisieren.
- Beats sind leichtgewichtige Agenten, die auf Edge-Hosts installiert werden und für das Sammeln und Versenden der Daten an den Stack über Logstash verantwortlich sind.
Vorteile:
- Die Einrichtung ist unkompliziert und einfach
- Die Skriptsprache ist einfacher zu erlernen als einige ähnliche Tools auf dem Markt
- Massiver, von der Community unterstützter Support und Plugins
- Unterstützt sowohl Cloud- als auch On-Premise-Bereitstellungen
Nachteile:
- Wünschenswert wäre eine längere Probezeit zum Testen
ELK kann lokal vor Ort oder in der Cloud mithilfe von Docker und Konfigurationsmanagementsystemen wie Ansible, Puppet und Chef installiert werden. Für Unternehmen, die Investitionen in die Infrastruktur und das Personal vor Ort vollständig vermeiden möchten, gibt es eine fertige SaaS-basierte Cloud-Plattform namens Elastische Cloud (mit einer 14-tägigen kostenlosen Testversion), das Funktionen wie maschinelles Lernen, Sicherheit und Berichterstellung umfasst, die von den Erstellern des Stacks verwaltet werden.
3. OSSEC
Open Source Security (OSSEC) ist ein 2004 gegründetes Open-Source-Sicherheitsprojekt für Cybersicherheit. Dieses Open-Source-Tool ist technisch als Host-based Intrusion Detection System (HIDS) bekannt. Jedoch, OSSEC verfügt über eine Protokollanalyse-Engine, die in der Lage ist, Protokolle von mehreren Geräten und Formaten zu korrelieren und zu analysieren und so als SIEM zu fungieren. Durch die umfangreichen Konfigurationsoptionen können Sie OSSEC an Ihre SIEM-Anforderungen anpassen.
Hauptmerkmale:
- Funktioniert gut mit ELK
- Regeln zur Bedrohungserkennung
- Anpassbar an verschiedene Quelldaten-Feeds
OSSEC wird von verschiedenen Betriebssystemen wie Linux, Windows, macOS, Solaris sowie OpenBSD und FreeBSD unterstützt. Es ist in zwei Hauptkomponenten unterteilt:
- Der Server – verantwortlich für die Erfassung von Protokolldaten aus verschiedenen Datenquellen.
- Die Agenten – Anwendungen, die für das Sammeln und Verarbeiten der Protokolle verantwortlich sind und deren Analyse erleichtern.
Zusätzlich zu seinen Protokollanalysefunktionen bietet OSSEC die Erkennung von Eindringlingen für die meisten Betriebssysteme und führt Integritätsprüfungen, Überwachung der Windows-Registrierung, Rootkit-Erkennung und Warnungen durch.
Vorteile:
- Kann auf einer Vielzahl von Betriebssystemen verwendet werden, Linux, Windows, Unix und Mac
- Kann als Kombination aus SIEM und HIDS fungieren
- Die Benutzeroberfläche ist einfach anzupassen und sehr visuell
- Von der Community erstellte Vorlagen ermöglichen Administratoren einen schnellen Einstieg
Nachteile:
- Erfordert sekundäre Tools wie Graylog und Kibana für die weitere Analyse
Das OSSEC-Projekt wird derzeit von betreut Atomicorp Wer verwaltet die kostenlose und Open-Source-Version und bietet auch eine an erweiterte kommerzielle Version . Der größte Nachteil dieses Tools besteht jedoch darin, dass ihm einige der zentralen Protokollverwaltungs- und Analysekomponenten eines typischen SIEM fehlen. Diese Einschränkung motivierte andere HIDS-Lösungen wie Wazuh, OSSEC abzuspalten, um dessen Funktionalität zu erweitern und zu verbessern und es zu einem umfassenderen SIEM-Tool zu machen. Allerdings hat Atomicorp in jüngster Zeit viele Änderungen, Upgrades und Erweiterungen an OSSEC vorgenommen, wodurch es wettbewerbsfähiger wurde.
4. Wazuh
Wazuh ist ein kostenloses Open-Source-Projekt für Cybersicherheit, das 2015 als Ableger von OSSEC gegründet wurde. Genau wie OSSEC ist dieses Open-Source-Tool technisch als Host-based Intrusion Detection System (HIDS) bekannt. Heute, Wazuh steht als einzigartige Lösung mit über 10.000 Open-Source-Community-Benutzern, darunter Top-Fortune-100-Unternehmen. Wazuh beschreibt sich selbst als „eine kostenlose, unternehmenstaugliche Sicherheitsüberwachungslösung zur Bedrohungserkennung, Integritätsüberwachung, Reaktion auf Vorfälle und Compliance“.
Hauptmerkmale:
- Integriert ELK
- Protokollaggregator
- Große Gemeinschaft
Die Hauptkomponenten von Wazuh sind der Agent, der Server und der Elastic Stack:
- Der Wazuh-Agent ist eine kompakte App, die eine Reihe von Aufgaben zur Erkennung und Reaktion auf Bedrohungen übernimmt.
- Der Wazuh-Server ist für die Verarbeitung und Analyse der von den Agenten empfangenen Daten verantwortlich und verwendet Bedrohungsinformationen, um nach bekannten Anzeichen einer Kompromittierung zu suchen.
- Die Elasticsearch-Komponente des Elastic Stack empfängt, indiziert und speichert von Wazuh generierte Warnungen. Die Kibana-Komponente des Elastic Stack bietet eine Benutzeroberfläche für die Datenvisualisierung und -analyse.
Wazuh wird zum Sammeln, Aggregieren, Analysieren und Korrelieren von Daten verwendet. Helfen Sie Unternehmen dabei, Bedrohungen und Sicherheitsvorfälle zu erkennen und darauf zu reagieren sowie Compliance-Anforderungen zu erfüllen, ohne so viel für Lizenzkosten auszugeben. Es kann vor Ort, in Hybrid- oder Cloud-Umgebungen bereitgestellt werden. Es verfügt über eine zentralisierte, plattformübergreifende Architektur, die die einfache Überwachung und Verwaltung mehrerer Systeme ermöglicht.
Vorteile:
- Ist eine leichte Gabel von OSSEC
- Lässt sich für einen einfacheren Arbeitsablauf in Plattformen wie ELK integrieren
- Einsatz einer Reihe von Technologien zur Identifizierung von Indikatoren oder Kompromissen
- Unterstützt die plattforminterne Datenvisualisierung
Nachteile:
- Ist ziemlich umfangreich und es kann einige Zeit dauern, bis es vollständig verstanden/erkundet ist
Eine cloudbasierte Premium-Version namens Wazuh-Wolke ist auch vorhanden. Wazuh Cloud zentralisiert die Erkennung von Bedrohungen, die Reaktion auf Vorfälle und das Compliance-Management in Ihren Cloud- und lokalen Umgebungen. Wazuh Cloud verwendet leichtgewichtige Agenten, die auf überwachten Systemen ausgeführt werden, um Ereignisse zu sammeln und an die Wazuh-Cloud-Infrastruktur weiterzuleiten, wo Daten gespeichert, indiziert und analysiert werden.
5. Apache Metron
Apache Metron ist ein Sicherheitsanwendungs-Framework, das Unternehmen die Möglichkeit bietet, eine Vielzahl von Datenfeeds in großem Maßstab aufzunehmen, zu verarbeiten und zu speichern, um Cyber-Bedrohungen zu erkennen und darauf zu reagieren. Apache Metron wurde 2016 erstmals veröffentlicht und ist ein relativ neuer Akteur in der Branche und ein weiteres Beispiel für ein Sicherheits-Framework, das eine Sammlung von Open-Source-Tools auf einer Plattform vereint.
Hauptmerkmale:
- Big-Data-Prozessor
- Integriert Daten aus Netzwerkprotokollen
- Schnelle Bedrohungserkennung
Metron bietet Funktionen für Protokollaggregation, Indizierung, Speicherung, Verhaltensanalyse und Datenanreicherung und wendet dabei die neuesten Bedrohungsinformationen an. Aus architektonischer Sicht ist Metrons stärkstes Merkmal seine steckbare und erweiterbare Architektur. Wie das obige Diagramm zeigt, bietet das Metron-Framework vier Schlüsselfunktionen:
- Security Data Lake: Wie der Name schon sagt, stellt ein Data Lake eine große Sammlung von Daten bereit, die für Erkennungsanalysen und einen Mechanismus zum Suchen und Abfragen von Betriebsanalysen verwendet werden.
- Pluggable Framework: Bietet Parser für gängige Sicherheitsdatenquellen (pcap, NetFlow, bro, snort, fireye, Sourcefire); und ein steckbares Framework zum Hinzufügen neuer benutzerdefinierter Parser für neue Datenquellen. Es kann neue Anreicherungsdienste hinzufügen, um mehr Kontextinformationen zu den Rohdaten des Streamings bereitzustellen, steckbare Erweiterungen für Threat-Intelligence-Feeds und die Möglichkeit, die Sicherheits-Dashboards anzupassen.
- Sicherheitsanwendung: Bietet standardmäßige SIEM-ähnliche Funktionen (Warnung, Threat-Intelligence-Framework, Agents zur Aufnahme von Datenquellen). Es verfügt außerdem über Dienstprogramme zur Paketwiedergabe, einen Beweisspeicher und Suchdienste, die häufig von SOC-Analysten verwendet werden.
- Threat Intelligence-Plattform: Bietet Verteidigungstechniken der nächsten Generation, die aus einer Klasse von Anomalieerkennungs- und maschinellen Lernalgorithmen bestehen, die in Echtzeit angewendet werden können, wenn Ereignisse eintreffen.
Vorteile:
- Verwendet eine Sammlung von Open-Source-Tools zum Aufbau seiner Plattform
- Funktioniert als allgemeines Framework und nicht als SIEM-Tool
- Unterstützt größere Netzwerke mit großen Datenmengen
Nachteile:
- Besser geeignet für Unternehmensumgebungen
Metron nutzt die Apache-Big-Data-Technologien wie Apache Hadoop, um ein zentralisiertes Tool für die Sicherheitsüberwachung und -analyse anzubieten. Der größte Nachteil dieses Tools besteht jedoch darin, dass es nur auf einer begrenzten Anzahl von Betriebssystemen und Umgebungen installiert werden kann. Metron ist verfügbar für Hier herunterladen .
6. MozDef
Die Mozilla Defense Platform (MozDef) ist eine Reihe von Mikrodiensten, die als Open-Source-SIEM verwendet werden können. Es wurde 2014 von der Mozilla Foundation mit dem Ziel ins Leben gerufen, den Prozess zur Bearbeitung von Sicherheitsvorfällen zu automatisieren und die Echtzeitaktivitäten von Vorfallbearbeitern zu erleichtern, so die MozDef-Dokumente .
Hauptmerkmale:
- Integriert sich in ELK
- Protokollkonsolidierer
- Sanierungsorchestrierung
MozDef beschreibt sich selbst als SIEM-Add-on, das Elasticsearch zum Protokollieren und Speichern von Daten und Kibana für Dashboarding-Funktionen nutzt. Das bedeutet, dass Sie, wenn Sie MozDef für Ihre Protokollverwaltung verwenden, die Funktionen von Elasticsearch problemlos nutzen können, um Ereignisdaten mit Kibana zu speichern, zu archivieren, zu indizieren und zu durchsuchen.
Die MozDef-Architektur ist so konzipiert, dass Protokollversender (rsyslog, syslog-ng, beaver, nxlog, heka, logstash) keinen direkten Zugriff auf Elasticsearch ermöglichen. Vielmehr platziert sich MozDef zwischen Elasticsearch und den Protokollversendern und ermöglicht so den Protokollversendern die direkte Interaktion mit MozDef, wie im Diagramm unten dargestellt. Dadurch unterscheidet sich MozDef von anderen Protokollverwaltungstools, die Elasticsearch verwenden, und ermöglicht die Bereitstellung grundlegender und erweiterter SIEM-Funktionen wie Ereigniskorrelation, Aggregation und maschinelles Lernen.
Vorteile:
- Läuft als leichter Microservice
- Konzentriert sich stark auf die automatisierte Behebung
- Nutzt viele ELK-Funktionen für die Datensuche und -indizierung
Nachteile:
- Ist eher ein SIEM-Add-on als ein eigenständiges Produkt
Wenn Sie nach einem Tool suchen, das grundlegende SIEM-Funktionen bietet, ist MozDef sicherlich eine gute Lösung. Erwarten Sie jedoch nicht, dass es alle Ihre Anforderungen erfüllt, da es nicht über viele Funktionen verfügt. Es eignet sich am besten für KMUs, jedoch nicht für Unternehmensumgebungen. Die Hauptprobleme dieses Tools bestehen darin, dass es zeitaufwändig und technisch anspruchsvoll sein kann, es zum Laufen zu bringen. Außerdem fehlen Hochverfügbarkeitsoptionen sowie wichtige Berichts- und Compliance-Funktionen.
7. SIEMonster
SIEMonster ist eine anpassbare und skalierbare SIEM-Software, die aus einer Sammlung der besten Open-Source- und intern entwickelten Sicherheitstools besteht, um eine SIEM-Lösung für jedermann bereitzustellen. SIEMonster ist ein relativ junger, aber überraschend beliebter Akteur in der Branche. SIEMonster wurde von der Notwendigkeit inspiriert, eine SIEM-Lösung zu entwickeln, die die durch die exorbitanten Lizenzkosten kommerzieller SIEM-Produkte verursachten Frustrationen minimiert.
Hauptmerkmale:
- Kostenlos für kleine Unternehmen
- Eingeschränkter Service
- Schöne Konsolendisplays
SIEMonster bietet für jeden etwas – KMUs, Großkonzerne, Managed Service Provider und die Community. Der Gemeinschaftsausgabe ist die kostenlose Open-Source-Einzelserver-Edition für Unternehmen mit bis zu 100 Endpunkten. Die Community Edition (kostenlose Version) unterstützt Echtzeit-Bedrohungsinformationen und Berichtsfunktionen. Es kann in der Cloud mithilfe von Docker-Containern sowie auf physischen und virtuellen Maschinen (macOS, Ubuntu, CentOS und Debian) bereitgestellt werden.
Vorteile:
- Kostenlos für kleinere Umgebungen (bis zu 100 Endpunkte)
- Entwickelt für kleinere Netzwerke
- Einfache, aber intuitiv anpassbare Dashboards
Nachteile:
- Nicht die beste Option für größere Unternehmen
Der größte Nachteil der kostenlosen Version besteht jedoch darin, dass sie nicht einfach aktualisierbar ist und keine Analyse des Benutzerverhaltens, kein maschinelles Lernen und vor allem keinen Support bietet. Darüber hinaus ist die Berichtsfunktion auf nur zwei Berichte beschränkt. Für Organisationen, die die Einschränkungen der Community Edition und Investitionen in die Infrastruktur und das Humankapital vor Ort vollständig vermeiden möchten, ist SIEMonster SIEM as-a-Service Option ist die beste Wahl.
Kostenlose Open-Source-SIEM-FAQs
Was ist das beste Open-Source-SIEM?
Wir ordnen Open-Source-SIEMs in der folgenden Reihenfolge ein:
- AlienVault OSSIM
- ELK-Stapel
- OSSEC
- Wazuh
- Apache Metron
- MozDef
- SIEMonster
Ist Suricata ein SIEM?
Suricata ist als Intrusion Detection System (IDS) klassifiziert. Das System scannt den vorbeikommenden Netzwerkverkehr. Dies macht es zu einem netzwerkbasierten Intrusion Detection System (NIDS). Der andere IDS-Typ ist hostbasiert (HIDS) und durchsucht Protokolldateien. SIEM kombiniert diese beiden Strategien, sodass Suricata ein partielles SIEM ist.
Verfügt AWS über ein SIEM?
Es gibt kein natives AWS SIEM. Es gibt jedoch eine Reihe von SIEWM-Systemen von Drittanbietern, die auf der Amazon-Plattform installiert werden und über den AWS Marketplace zugänglich sind.