文档章节

10大开源安全信息和事件管理SIEM工具

simpower
 simpower
发布于 2019/11/25 10:55
字数 1752
阅读 44
收藏 1

企业应该投资并部署开源SIEM(安全信息和事件管理)工具吗?SIEM是现代企业网络安全的重要组成部分。实际上,SIEM解决方案提供了关键的IT环境保护和合规性标准实现。只有通过日志管理,安全分析和关联以及报告模板,企业才能抵御现代网络攻击。

  

  但是,SIEM也会给你的企业IT部门带来严重问题。通常,SIEM的部署和维护成本高昂;其解决方案在资源和时间方面都需要运营成本。此外,SIEM在部署时需要不断进行调整和评估,以确保最佳性能。所有这些都可能让企业放弃部署SIEM解决方案。

  然而,你的企业可能有获得所需重要安全分析的途径:开源SIEM。

  什么是开源SIEM?

  开源SIEM工具从字面上向公众开放他们的网络安全设计。这使IT专业人员可以更自由地修改和共享工具代码,提供重要的可定制性和适应性。

  通常,企业可以免费获得这些开源InfoSec工具;因此,与完整的企业级解决方案相比,企业在部署和维护时所面临的成本负担较小。虽然免费的SIEM工具无法提供企业级解决方案的全面性,但开源SIEM确实以合理的成本提供可靠的功能。值得注意的是,一些免费的SIEM工具不会对其使用或保留的数据施加限制,这使其吸引了很多中小型企业(SMB)。

  为了帮助你企业找到理想的免费安全分析工具,以下提供了10种最佳开源SIEM工具列表,供你参考和选择!

  SIEMonster

  SIEMonster跨越了免费SIEM和付费解决方案之间的界限,因为它提供了两者的选择。与许多列出的解决方案一样,SIEMonster提供了一个结合多个开源工具的平台。因此,它确实提供了一个集中的界面来控制这些工具,数据可视化和威胁情报。与其他一些开源SIEM解决方案不同,企业可以将其部署在云上。

  Apache Metron

  作为最新的开源SIEM工具之一,Apache Metron从思科的Open SOC平台发展而来。与SIEMonster非常相似,它还将多个开源解决方案集中在一个集中平台中。Apache Metron可以将安全事件解析并标准化为标准JSON语言,以便于分析。此外,它还可以提供安全警报,丰富数据和标签。此外,Apache Metron可以索引和存储安全事件,这是各种规模企业的一大福音。

  AlienVault OSSIM

  AT&T Cyber??security提供的AlienVault OSSIM是一款基于AlienVault USM解决方案的开源SIEM工具。与上述工具类似,AlienVault OSSIM将多个开源项目组合到一个包中。此外,AlienVault OSSIM允许设备监控和日志收集。它还提供规范化和事件关联。

  MozDef

  MozDef由Mozilla创建,可自动执行安全事件处理,提供可扩展性和弹性;可扩展性特别吸引中小型企业。这个开源的SIEM解决方案使用基于微服务的架构;MozDef可以提供事件关联和安全警报。而且,它可以与多个第三方集成。

  OSSEC

  从技术上讲,OSSEC是一种开源入侵检测系统,而不是SIEM解决方案。但是,它仍然提供用于日志收集的主机代理和用于处理这些日志的中央应用程序。总的来说,此工具可监控日志文件和文件完整性,以防止潜在的网络攻击,它可以从多个网络服务执行日志分析,并为IT团队提供众多警报选项。

  Wazuh

  Wazuh实际上是从不同的开源SIEM解决方案演变而来的,即OSSEC。然而,Wazuh现在是它自己独特的解决方案。实际上,它支持基于代理的数据收集以及syslog聚合。因此,Wazuh可以轻松监控本地设备。它具有独特的Web UI和全面的规则集,可轻松实现IT管理。

  Prelude OSS

  Prelude OSS提供了Prelude SIEM解决方案的开源版本。它支持多种日志格式,并可与其他安全工具集成。它还将事件数据规范化为标准语言,可以帮助支持其他网络安全工具和解决方案。Prelude OSS也受益于持续开发,因此它可以与最新的威胁情报保持同步。

  Snort

  另一个开源入侵检测系统,Snort致力于提供日志分析;它还对网络流量进行实时分析,以消除潜在的危险。Snort还可以显示实时流量或将数据包流转储到日志文件中。此外,它还可以使用输出插件来确定在网络中存储数据的方式和位置。

  Sagan

  作为一个平台,Sagan几乎完全与其他开源SIEM工具Snort一起工作;Sagan支持Snort的规则。Sagan设计为轻量级,可以写入Snort数据库。对于那些有兴趣使用Snort的人来说,这可能是另一个必不可少的工具。

  ELK Stack

  此解决方案也适用于ELK或Elastic Stack。ELK Stack解决方案还包含多个免费的SIEM产品。例如,使用嵌入式Logstash组件,ELK可以聚合来自几乎所有数据源的日志。此外,它可以通过各种插件关联该日志数据,尽管它需要手动安全规则。ELK Stack还可以使用其他组件可视化数据。

  开源SIEM工具和解决方案的缺陷

  在部署免费的SIEM工具时,有许多缺点和好处。大多数开源SIEM解决方案都不提供基本功能,例如完整的日志管理,可视化,自动化或第三方集成。而且,许多免费的SIEM无法处理云环境;这可能会给企业数字化转型工作带来重大障碍。

  无论你的业务规模如何,都应该优先考虑使用企业级SIEM解决方案,在技术能力允许,而且成本实在有限的情况下,可选择免费的SIEM工具。企业级的SIEM拥有更多功能,可以加强企业网络安全工作。

本文转载自:http://dy.163.com/v2/article/detail/EELANPO90511VRHU.html

simpower
粉丝 29
博文 708
码字总数 53502
作品 0
海淀
程序员
私信 提问
加载中

评论(0)

Gartner:2017年SIEM(安全信息与事件管理)市场分析

2017年度的Gartner SIEM魔力象限在比往常推迟了4个月之后终于发布了。在Gartner眼中,SIEM已经是一个成熟市场。但这个市场依然十分活跃:客户需求在变化,市场格局也在变化,技术革新也在不断...

叶蓬
2017/12/06
0
0
大数据能帮企业抓住网络入侵者吗?

安全圈子中最近热议的“大数据”话题是:如果企业把自己的与安全有关的事件数据与业务信息库结合起来,企业就能通过分析这个大数据来抓住窃取敏感信息的入侵者。 让大数据服务于企业信息安全...

Cashcow
2012/03/22
0
0
OSSIM连续5年进入Gartner信息安全与事件管理(SIEM)魔力象限

OSSIM连续5年进入Gartner信息安全与事件管理(SIEM)魔力象限 开源的OSSIM系统,从2012年起连续5年进入Gartner信息安全与事件管理(SIEM)魔力象限。 Gartner一直被认为是客观技术思想领导的...

李晨光
2016/01/03
0
0
《开源安全运维平台OSSIM最佳实践》实验环境下载

《开源安全运维平台OSSIM最佳实践》实验环境下载 由清华大学出版社首发、当当、京东自营店、天猫、亚马逊均有销售。 OSSIM开源安全交流QQ群: 179084574 经多年潜心研究开源技术,历时三年创...

李晨光
2015/07/28
0
0
《开源安全运维平台OSSIM最佳实践》

《开源安全运维平台-OSSIM最佳实践》2016年元月出版 经多年潜心研究开源技术,历时三年创作的《开源安全运维平台OSSIM最佳实践》一书即将出版。该书用100多万字记录了作者10多年的OSSIM研究应...

OSSIM
2015/11/26
2.2K
0

没有更多内容

加载失败,请刷新页面

加载更多

SpringBoot和SpringCloud的区别

一、SpringBoot和SpringCloud简介 1、SpringBoot:是一个快速开发框架,通过用Maven依赖的继承方式,帮助我们快速整合第三方常用框架,完全采用注解化(使用注解方式启动SpringMVC),简化X...

安然_oschina
30分钟前
13
0
IMX6ULL开发板-虚拟机安装Ubuntu系统

安装好了 VMware 虚拟机以后,我们就可以在 VMware 上安装 Ubuntu 系统了,首先我们去 Ubuntu 的 官网获取系统镜像,下载地址为:https://www.ubuntu.com/download/desktop,如下图所示: 从...

书白
38分钟前
11
0
MyBatis Plus自定义SQL使用条件构造器QueryWrapper

1.注解的方式: @Select("select * from user_collection uc left join post p on uc.post_id = p.id ${ew.customSqlSegment}")IPage<Post> selectPosts(Page page, @Param(Constants.WRAP......

code-ortaerc
42分钟前
13
0
DNS负载均衡

DNS是什么? DNS(Domain Name System)是域名和IP地址相互映射的一个分布式数据库。在DNS系统中有一个比较重要的的资源类型叫做主机记录也称为A记录。A记录是用于名称解析的重要记录,它将...

简到珍
43分钟前
12
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部