浅析SIEM、态势感知平台、安全运营中心

近年来SIEM、态势感知平台、安全运营中心等概念炒的火热,有的人认为这都是安全管理产品,这些产品就是一回事,有人认为还是有所区分。那么到底什么是SIEM、什么是态势感知平台、什么是安全运营中心,他们之间有什么联系和区别呢?

一、SIEM

SIEM英文是security information and event managemen安全信息和事件管理
SIEM是一个由多个监视和分析组件组成的安全系统,旨在帮助组织检测和减轻威胁
一款典型的SIEM产品是将许多其他安全规则和工具结合在一个综合的框架下形成的一个合集。
典型的包括以下模块
日志管理(LMS)——用于传统日志收集和存储的工具。
安全信息管理(SIM)——集中于从多个数据源收集和管理与安全相关的数据的工具或系统。例如,这些数据源可以是防火墙、DNS服务器、路由器和防病毒应用程序。
安全事件管理(SEM)——基于主动监视和分析的系统,包括数据可视化、事件相关性和警报
大多数的SIEM包括以下元素
1、安全数据采集
主要是基于安全日志数据,日志表示在数字环境中运行的进程的原始输出,是提供实时发生的事情的准确图像的最佳来源,因此是SIEM系统的主要数据源。无论是防火墙日志、服务器日志、数据库日志,还是在实际网络环境中生成的任何其他类型的日志,SIEM系统都能够收集这些数据并将其存储在一个中心位置以进行扩展的保留。此采集过程通常由代理或应用程序执行,部署在监视的系统上,并配置为将数据转发到SIEM系统的中央数据存储。
2、安全数据解析处理和标准化
为了能够跨不同源和事件相关性高效地解释数据,SIEM系统能够规范化日志。这个规范化过程包括将日志处理为可读的结构化格式,从日志中提取重要数据,并映射日志中包含的不同字段。
3、安全数据集中存储
安全信息数据存储的目地当然是为了利用数据进行管理分析发现安全事件。
4、安全数据分析
一旦收集、解析和存储,SIEM系统中的下一步将负责连接这些点并关联来自不同数据源的事件。这种关联工作基于各种SIEM工具提供的规则、为不同的攻击场景预定义的规则,或者由分析人员创建和调整的规则。大多数SIEM系统还提供生成报告的内置机制。这些报告可以用于管理、审计或合规性原因。例如,可以将详细描述触发警报或规则的每日报告嵌入到仪表板中。
5、安全数据呈现
可视化数据和事件的能力是SIEM系统中的另一个关键组件,因为它允许分析人员方便地查看数据。包含多个可视化或视图的仪表板有助于识别趋势、异常情况,并监控环境的总体健康或安全状态。一些SIEM工具将附带预先制作的仪表板,而另一些工具将允许用户创建和调整自己的仪表板。
基于目前海量的安全信息数据,大数据架构已经成为主流。并不是说SIEM必须使用大数据架构,因为这是一个应用场景问题而非技术问题。但面对大量数据需要处理的场景时,基于大数据架构的SIEM则必不可少。所以有些厂商提出了SDC(security data center)安全大数据中心的概念就是把所有的安全数据集中管理起来,在SDC的基础上构建安全数据分析和展现能力,形成SIEM平台。

目前成熟的SIEM产品有很多,开源的有OSSIM、Elastic SIEM、Opensoc
OSSIM是SIEM的代表性产品,在产品形式上和Kali类似是一个基于Debain进行二次开发的Linux发行版,当前5.6.5版本基于Dibian 8(jessie)。
OSSIM使用Nmap等实现资产发现、使用Nessus等实现漏洞扫描、使用Snort等实现入侵检测、使用MySQL等进行数据存储,自己实现的部分主要是工具、数据整合和可视化展示。ossim存储架构是mysql,支持多种日志格式,包括鼎鼎大名的Snort、Nmap、 Nessus以及Ntop等,对于数据规模不大的情况是个不错的选择,新版界面很酷炫
从架构上来看,OSSIM系统是一个开放的框架,它的核心价值在于创新的集成各开源软件之所长,它里面的模块既有C/S架构,又有B/S架构,但作为最终用户主要掌握OSSIM WebUI主要采用B/S架构,Web服务器使用Apache。OSSIM系统结构示意图如下图所示。
在这里插入图片描述
第1层,属于数据采集层,使用各种采集技术采集流量信息、日志、各种资产信息,经过归一化处理后传入核心层。改层体现安全事件来源,入侵检测、防火墙、重要主机发出的日志都是安全事件来源,它们按发出机制分为两类:模式侦查器和异常监控(两者都采集警告信息,功能互补)由它们采集的安全事件,再被Agent转换为统一的格式发到OSSIM服务器,这一层就是Sensor要完成的内容。
第2层,属于核心处理层,主要实现对各种数据的深入加工处理,包括运行监控、安全分析、策略管理、风险评估、关联分析、安全对象管理、脆弱性管理、事件管理、报表管理等。该层中OSSIM Server是主角,OSSIM服务器,主要功能是安全事件的集中并对集中后的事件进行关联分析、风险评估及严重性标注等。所谓的集中就是以一种统一格式组织所有系统产生的安全事件告警信息(Alarms)并将所有的网络安全事件告警存储到数据库,这样就完成了对网络中所产生事件的一个庞大视图。系统通过事件序列关联和启发式算法关联来更好的识别误报和侦查攻击的能力。
OSSIM本质上通过对各种探测器和监控产生的告警进行格式化处理,再进行关联分析,通过后期这些处理能提高检测性能,即减少告警数量,减小关联引擎的压力,从整体上提高告警质量。
第3层,属于数据展现层,主要负责完成与用户之间的交互,达到安全预警和事件监控、安全运行监控、综合分析的统一展示,形式上以图形化方式展示给用户。Web框架(Framework)控制台界面即OSSIM的Web UI(Web User Interface,Web用户界面),其实就是OSSIM系统对外的门户站点,它主要由仪表盘、SIEM控制台、Alarm控制台、资产漏洞扫描管理、可靠性监控、报表及系统策略等部分组成。
OSSIM主要模块的关系
OSSIM系统主要使用了PHP、Python、Perl和C等四种编程语言,从软件层面上看OSSIM框架系统包括五大模块:Agent模块、Server模块、Database数据库模块、Frameworkd模块以及Framework模块,逻辑结构如图所示。
在这里插入图片描述
Elastic SIEM 的核心是全新的 SIEM 应用,此应用是安全团队的交互式工作空间,可允许他们对事件进行分类并开展初期调查。其中包括的时间线事件查看器 (Timeline Event Viewer) 能够允许分析师收集和存储攻击证据,固定相关活动并添加注释,以及添加评论并分享他们的发现,而且这一切在 Kibana 中即可完成;这样一来,您便能够轻松处理符合 ECS 格式的任何数据了。
在这里插入图片描述Opensoc是思科2014年在BroCon大会上公布的开源项目,但是没有真正开源其源代码,只是发布了其技术框架。可以参考Opensoc发布的架构,结合实际落地SIEM的方案。Opensoc完全基于开源的大数据框架kafka、storm、spark和es等,天生具有强大的横向扩展能力
在这里插入图片描述
所以从SIEM的定义和功能来看有两个核心能力,一个是安全信息数据的采集汇聚能力,一个就是安全事件的分析能力。

二、安全态势感知平台

“态势感知”早在 20 世纪 80 年代由美国空军提出,其包含感知、理解和预测三个层次。截止目前,业界对网络安全态势感知还没有一个统一全面的定义,基于美国Endsley 博士的理论对网络安全态势感知做出的定义:“网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势,并以可视化的方式展现给用户,并给出相应的报表和应对措施。”
什么是态势感知平台,大家都认为应该是利用大数据、机器学习等技术对态势感知态势海量数据进行提取,进行多维度的关联分析。能够提供对安全风险保持报警、趋势预测等,海量数据、关联分析、大屏展示和趋势预测是四个重点。而趋势预测最核心,目前做起来也比较难。
个人理解,SIEM重点在于对安全事件的感知和理解,态势感知重点在于通过大数据、机器学习等技术加深了对安全趋势的预测。国外一般不提态势感知系统,而国内,很多厂商都推出了态势感知系统。
目前国内安全厂商提供的“态势感知产品”包含的功能模块有:资产管理、漏洞管理、大数据平台、日志分析平台、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、威胁捕捉等能力。
几个关键点:
1、 大数据平台。随着监测范围的扩大,数据量也在扩大,需要一个具备大数据处理和计算能力的平台,这是整个态势感知平台建设很重要的基础。
2、 基于威胁情报的监测。威胁情报对于降低大量数据和报警中的垃圾数据或者报警噪声,帮助更快速、更高效的发现攻击行为和攻击者非常关键,威胁情报的质量是检验态势感知平台能力的很重要的方面。
3、 全要素数据的采集。利用态势感知这样的平台能力的核心目的,是要监测到复杂的、高级的攻击,就需要态势感知平台首先要捕获到微观的状态,低成本、高效率的全要素数据采集能力是基础。
4、 基于攻击场景的分析研判。攻击不再是基于特征的监测,需要运用威胁情报、运用一些专家的经验,来构建基于场景的分析系统,它不是一个静态的东西,是一个与时俱进的攻防对抗过程中不断学习、学习参考的过程,需要持续运营这样的分析管理,需要更多的专家的经验和安全运营人员的参与。

三、安全运营中心

SOC(安全运营中心)来源于NOC(网络运营中心)。
随着信息安全问题的日益突出,安全管理理论与技术的不断发展,需要从安全的角度去管理整个网络和系统,而传统的NOC在这方面缺少技术支撑,于是,出现了SOC的概念。
以前大家所说的SOC是SOC 1.0阶段,只是在SOC的核心部件SIEM的买卖,国外所说的SOC是一个复杂的系统,它使用SIEM产品进行运维又以此向客户提供服务,也就是我们所说的SOC 2.0
SOC(安全运营中心)是以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件及风险分析,预警管理,应急响应的集中安全管理系统。
SOC是一个复杂的系统,它既有产品,又有服务,还有运维,SOC是技术、流程和人的有机结合。
随着安全态势感知平台的兴起,安全运营中心将以态势感知平台作为智能安全运营的载体,在风险监测、分析研判、通知协作、响应处置、溯源取证等各方面进行了增强,同时融入了当前流行的技术和平台作为支撑,如大数据技术、东西向流量采集技术,EDR 终端检测响应技术、机器学习、欺骗攻击技术等。同时态势感知平台与 ITIL(Information Technology Infrastructure Library,ITIL)理念与信息安全管理标准相融合,将安全运营划分为不同角色,如安全管理人员、安全专家、安全运维、安全分析师、安全应急响应人员、安全研究人员等,在集成了安全事件管理全生命周期的流程中,通过工作流程将其串联起来,使安全运营流程更加规范和有序。

所以个人认为SDC<SIEM<态势感知<安全运营中心

0%