企业应该投资并部署开源SIEM(安全信息和事件管理)工具吗?SIEM是现代企业网络安全的重要组成部分。实际上,SIEM解决方案提供了关键的IT环境保护和合规性标准实现。只有通过日志管理,安全分析和关联以及报告模板,企业才能抵御现代网络攻击。
但是,SIEM也会给你的企业IT部门带来严重问题。通常,SIEM的部署和维护成本高昂;其解决方案在资源和时间方面都需要运营成本。此外,SIEM在部署时需要不断进行调整和评估,以确保最佳性能。所有这些都可能让企业放弃部署SIEM解决方案。
然而,你的企业可能有获得所需重要安全分析的途径:开源SIEM。
什么是开源SIEM?
开源SIEM工具从字面上向公众开放他们的网络安全设计。这使IT专业人员可以更自由地修改和共享工具代码,提供重要的可定制性和适应性。
通常,企业可以免费获得这些开源InfoSec工具;因此,与完整的企业级解决方案相比,企业在部署和维护时所面临的成本负担较小。虽然免费的SIEM工具无法提供企业级解决方案的全面性,但开源SIEM确实以合理的成本提供可靠的功能。值得注意的是,一些免费的SIEM工具不会对其使用或保留的数据施加限制,这使其吸引了很多中小型企业(SMB)。
为了帮助你企业找到理想的免费安全分析工具,以下提供了10种最佳开源SIEM工具列表,供你参考和选择!
SIEMonster
SIEMonster跨越了免费SIEM和付费解决方案之间的界限,因为它提供了两者的选择。与许多列出的解决方案一样,SIEMonster提供了一个结合多个开源工具的平台。因此,它确实提供了一个集中的界面来控制这些工具,数据可视化和威胁情报。与其他一些开源SIEM解决方案不同,企业可以将其部署在云上。
Apache Metron
作为最新的开源SIEM工具之一,Apache Metron从思科的Open SOC平台发展而来。与SIEMonster非常相似,它还将多个开源解决方案集中在一个集中平台中。Apache Metron可以将安全事件解析并标准化为标准JSON语言,以便于分析。此外,它还可以提供安全警报,丰富数据和标签。此外,Apache Metron可以索引和存储安全事件,这是各种规模企业的一大福音。
AlienVault OSSIM
AT&T Cyber??security提供的AlienVault OSSIM是一款基于AlienVault USM解决方案的开源SIEM工具。与上述工具类似,AlienVault OSSIM将多个开源项目组合到一个包中。此外,AlienVault OSSIM允许设备监控和日志收集。它还提供规范化和事件关联。
MozDef
MozDef由Mozilla创建,可自动执行安全事件处理,提供可扩展性和弹性;可扩展性特别吸引中小型企业。这个开源的SIEM解决方案使用基于微服务的架构;MozDef可以提供事件关联和安全警报。而且,它可以与多个第三方集成。
OSSEC
从技术上讲,OSSEC是一种开源入侵检测系统,而不是SIEM解决方案。但是,它仍然提供用于日志收集的主机代理和用于处理这些日志的中央应用程序。总的来说,此工具可监控日志文件和文件完整性,以防止潜在的网络攻击,它可以从多个网络服务执行日志分析,并为IT团队提供众多警报选项。
Wazuh
Wazuh实际上是从不同的开源SIEM解决方案演变而来的,即OSSEC。然而,Wazuh现在是它自己独特的解决方案。实际上,它支持基于代理的数据收集以及syslog聚合。因此,Wazuh可以轻松监控本地设备。它具有独特的Web UI和全面的规则集,可轻松实现IT管理。
Prelude OSS
Prelude OSS提供了Prelude SIEM解决方案的开源版本。它支持多种日志格式,并可与其他安全工具集成。它还将事件数据规范化为标准语言,可以帮助支持其他网络安全工具和解决方案。Prelude OSS也受益于持续开发,因此它可以与最新的威胁情报保持同步。
Snort
另一个开源入侵检测系统,Snort致力于提供日志分析;它还对网络流量进行实时分析,以消除潜在的危险。Snort还可以显示实时流量或将数据包流转储到日志文件中。此外,它还可以使用输出插件来确定在网络中存储数据的方式和位置。
Sagan
作为一个平台,Sagan几乎完全与其他开源SIEM工具Snort一起工作;Sagan支持Snort的规则。Sagan设计为轻量级,可以写入Snort数据库。对于那些有兴趣使用Snort的人来说,这可能是另一个必不可少的工具。
ELK Stack
此解决方案也适用于ELK或Elastic Stack。ELK Stack解决方案还包含多个免费的SIEM产品。例如,使用嵌入式Logstash组件,ELK可以聚合来自几乎所有数据源的日志。此外,它可以通过各种插件关联该日志数据,尽管它需要手动安全规则。ELK Stack还可以使用其他组件可视化数据。
开源SIEM工具和解决方案的缺陷
在部署免费的SIEM工具时,有许多缺点和好处。大多数开源SIEM解决方案都不提供基本功能,例如完整的日志管理,可视化,自动化或第三方集成。而且,许多免费的SIEM无法处理云环境;这可能会给企业数字化转型工作带来重大障碍。
无论你的业务规模如何,都应该优先考虑使用企业级SIEM解决方案,在技术能力允许,而且成本实在有限的情况下,可选择免费的SIEM工具。企业级的SIEM拥有更多功能,可以加强企业网络安全工作。
来源:oschina
链接:https://my.oschina.net/u/1777508/blog/3133327