企业安全建设之云上落地开源SIEM初级实践指南

最新推荐文章于 2024-09-20 14:16:52 发布
最新推荐文章于 2024-09-20 14:16:52 发布
阅读量954 收藏 1
点赞数
分类专栏: 企业安全建设 文章标签: 企业安全 SIEM 云安全 SELKS ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/M110K/article/details/114299616
版权

首发于Freebuf ,此处仅摘录部分内容
https://www.freebuf.com/articles/es/252504.html

文章目录
前言
云上创建SELKS镜像
具体操作
完善SELKS基本配置
查看SELKS各个服务运行情况
配置ElasticSearch服务
配置Kibana服务
配置Suricata服务
云上流量镜像
解决方案:
解决遇到的几个问题
解决关机时,关闭logstash服务占用太长时间
解决Kibana启动报错:Kibana server is not ready yet
清除elasticsearch数据
解决存储不够的问题
解决重启网络无法连接问题
优化Suricata规则
定制Kibana展示
总结
参考

万物上云的时代,如何让开源SIEM落地云环境?

前言

由于笔者所在公司业务环境使用的是华为云,所以就以华为云环境部署开源SIEM落地为例,其他云环境情况也应大致相同。

笔者所采用的开源SIEM系统是由Stamus Networks开发的SELKS,介于Freebuf上已有相关介绍和部署文章,所以安装部署部分的内容就不再赘述了(话说还是我留言给作者介绍简洁干练的SELKS系统,自己却一直拖着没写文章分享出来)。

云上创建SELKS镜像

首先,从Stamus Networks官网下载对应ISO镜像文件到本地,推荐第一次部署使用桌面版,图像化界面更容易熟悉基本操作。

我们需要将ISO文件部署到云ECS上,所以下面进行:

进入华为云控制台,参考其帮助文档,将本地的SELKS-6.0-desktop.iso镜像文件导入至镜像服务IMS私有镜像中,操作流程图如下:
在这里插入图片描述

云上流量镜像

我们知道SELKS系统的核心就是Suricata,而我们一般部署在本地的话都是以旁路方式,利用交换机的流量镜像功能,将业务往来流量导入到Suricata中,再根据其规则进行威胁告警。

然而,笔者并未在华为云控制台中找到有关流量镜像的功能,Googel搜索一番,似乎大部分云平台都还未支持这一功能,仅看到AWS提供VPC Traffic Mirroring功能。
在这里插入图片描述
如果不能将云业务流量导入到Suricata中,那SELKS所依托Suricata告警规则的核心告警功能就基本废了。

解决方案

经过不断的搜索相关解决方案,终于,在Github中找到一位大牛的开源项目Netis Packet Agent。

Netis Packet Agent是一个用于解决如下问题的开源项目:设备A上抓取的数据包,之后在设备B上使用分析。

在很多时候,当你希望监控网络的流量,但是并没有可用的设备,例如:

物理环境中不存在TAP和SPAN设备。

虚拟环境中,Virtual Switch Flow Table不支持SPAN功能。

因此,该项目提供一套低开销但是高性能的抓包工具,用于应对上述困难。

pktminerg是第一个发布的工具。该工具可以轻松地在网卡上抓数据包,用GRE头进行封装并发送到远端的设备,来进行数据包监控和分析。

由于笔者所在公司基本都是用CentOS系统,所以仅以此为例来介绍实践部署方式。
。。。。。。略。。。。。。

首发于Freebuf ,此处仅摘录部分内容
https://www.freebuf.com/articles/es/252504.html

网络安全 | 安全信息与事件管理(SIEM)系统的选型与实施
优快云博客专家,系统架构师,有合作、疑惑请私信博主。
02-11 4万+
网络安全 | 安全信息与事件管理(SIEM)系统的选型与实施,本文详细探讨了安全信息与事件管理(SIEM)系统在企业网络安全架构中的关键作用,深入剖析了 SIEM 系统选型过程中需考量的多方面因素,包括功能需求、可扩展性、易用性、数据整合能力以及成本效益等。同时,全面阐述了 SIEM 系统实施的各个阶段,从前期规划与设计,到安装部署、配置优化,再到后续的监控运维以及与其他安全工具的集成协同等方面,为企业在构建和部署 SIEM 系统时提供了一套系统、全面且具有高度可操作性的指南。此外,还对 SIEM 系……
企业安全体系建设—理论与实践本》PDF版本下载.txt
07-17
综上所述,《企业安全体系建设—理论与实践本》PDF版本下载提供了丰富的理论知识和实践经验,对于正在或即将从事这方面工作的读者来说具有很高的参考价值。希望通过对这份资料的学习,大家能够更好地理解企业安全...
AlienVault OSSIM:开源SIEM-开源
04-14
OSSIM是AlienVault的开源安全信息和事件管理(SIEM)产品,提供事件收集,规范化和关联。 要获得更多高级功能,AlienVault统一安全管理(USM)在OSSIM上具有以下附加功能:*日志管理*通过持续更新的预构建关联规则库进行高级威胁检测* AlienVault Labs安全研究团队提供了可行的威胁情报更新*丰富的分析仪表板和数据可视化
企业安全建设之搭建开源SIEM平台(上)
djph26741的博客
02-24 387
前言 SIEM(security information and event management),顾名思义就是针对安全信息和事件的管理系统,针对大多数企业是不便宜的安全系统,本文结合作者的经验介绍下如何使用开源软件搭建企业的SIEM系统,数据深度分析在下篇。 SIEM的发展 对比Gartner2009年和2016年的全球SIEM厂商排名,可以清楚看出,基于大...
企业安全建设之搭建开源SIEM平台
dechen6073的博客
04-01 641
https://www.freebuf.com/special/127172.html https://www.freebuf.com/special/127264.html https://www.freebuf.com/articles/network/127988.html 前言 SIEM(security information and event managemen...
基于开源项目构建SIEM
2401_84466325的博客
06-03 1605
Gartner的定义:安全信息和事件管理( Security Information Event Management)技术通过对来自各种事件和上下文数据源的安全事件的实时收集和历史分析来支持威胁检测和安全事件响应。它还通过分析来自这些来源的历史数据来支持合规报告和事件调查。SIEM技术的核心功能是广泛的事件收集,以及跨不同来源关联和分析事件的能力。
开源 SIEM - 安全信息和事件管理系统
最新发布
zengliguang的专栏
09-20 817
以下是一些常见的开源 SIEM(安全信息和事件管理系统):
「攻防靶场」互联网企业安全建设落地实践 - NGFW.zip
11-11
标题中的“「攻防靶场」互联网企业安全建设落地实践 - NGFW”指的是一个关于互联网企业如何实施安全建设,特别是采用下一代防火墙...对于想要了解和提升互联网企业安全实践的人来说,这将是一份非常有价值的资源。
SIEM 买方指南-Splunk.pdf
06-25
SIEM能够实时收集来自各种事件和上下文数据源的安全事件,并支持威胁检测和安全事件响应。SIEM的核心功能并非新技术,其基本功能已经存在了近15年。传统的SIEM解决方案往往因为难以调整和识别攻击而变得复杂且不可...
企业安全威胁统一应对指南.pdf
08-31
这份指南由FreeBuf研究院编制,结合了行业专家的见解和实践经验,为企业提供了全面的安全规划和产品选择建议。 首先,企业安全体系架构是构建安全防线的基础。这包括法律与监管合规,确保企业在遵循相关法律法规的...
开源SIEM解决方案:低成本网络安全配置指南
总结而言,本资源深入探讨了开源网络安全配置的重要性,强调了SIEM系统在企业安全运营中的作用,以及开源工具在降低成本和提高中小企业安全能力方面所扮演的角色。同时,指出了人工智能技术在网络安全领域的应用潜力...
suricata+elk+kibana+logstash安装手册.docx
08-13
最近因为工作花了两天时间原因搭了一套完整的IPS和IDS,包括suricata、kibana、elk、logstash等内容,中间遇到很多问题,我把整个搭建的过程记录了下来,给搭建分享下经验。大神绕路~
开源SIEM软件 Cyberoam iView
cnbird's blog
05-31 1819
http://www.oschina.net/p/cyberoam-iview
开源组件搭建一套SIEM/SOC/SOAR平台
loujun2016的博客
06-14 7084
开源组件搭建一套SIEM/SOC/SOAR平台
开源安全信息和事件管理(SIEM)平台OSSIM
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-24 1000
OSSIM,开源安全信息和事件管理(SIEM)产品,提供了经过验证的核心SIEM功能,包括事件收集、标准化和关联。OSSIM作为一个开源平台,具有灵活性和可定制性高的优点,允许用户根据自己的特定需求进行配置和扩展。它能够从各种来源收集安全事件,并通过标准化的过程使这些事件变得易于理解和分析。此外,OSSIM还能够自动关联这些事件,帮助安全团队识别潜在的安全威胁和攻击模式。更多OSSIM相关的信息可以参考官方网站。
开源XDR-SIEM一体化平台 Wazuh (1)基础架构
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-22 1671
Wazuh索引器是一个高度可扩展的全文搜索和分析引擎。作为Wazuh平台的核心组件之一,它负责索引和存储由Wazuh服务器生成的警报,并提供接近实时的数据搜索和分析功能。Wazuh索引器可以配置为单节点或多节点集群,以实现可扩展性和高可用性。Wazuh索引器以JSON文档的形式存储数据。每个文档将一组键(或字段名、属性)与其对应的值相关联,这些值可以是字符串、数字、布尔值、日期、值数组、地理位置或其他类型的数据。索引是相关文档的集合。
OSSIM(开源SIEM产品)
weixin_34194317的博客
01-07 330
1.OSSIM简介OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。 OSSIM明确定位为一个集成解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值