Výběr SIEM - jak sledujete, co se děje v síti?

karel

Výběr SIEM - jak sledujete, co se děje v síti?
« kdy: 29. 05. 2018, 12:08:44 »
Jak prosim sledujete kdo vam utoci na vase zarizeni a co se deje  ve vasi siti?
Prosim o info jake mete zkusenosti se SIEM open source nastroji? 

Rad bych sledoval zejmena kdo se mi snazi opakovane neuspesne  prihlasit na zarizeni ci jake z mych zarizeni komunikuje co drive komunikovalo napr. Botnet IP. Pozadavky jsou komplexnejsi, ale toto je zaklad. Monitoring dostupnosti technologii resi v zasade k nasi spokojenosti zabbix.  Pekny clanek jsem nasel zde:https://devops.com/5-open-source-siem-tools-worth-checking-out/.  Mame cca 50 virtulanich serveru/dockeru s open source technologiemi a v radu stovek mikrotik routeru.

Testovane technologie:

-https://www.elastic.co/elk-stack:  sem zasilame logy-zde je asi budem i naladale shromazdovat pro budouci hlledani analyzi, alarmy - za mne pekne reseni, leckdy doporucovane jako uloziste pro SIEM systemy, nejaky cas jsme ztravily nez zacalo bezet stabilne

-https://www.splunk.com/ - pry jedne z nejrozsirejsich SIEM, free verze nema alerty-coz vadi a omezeni max 500GB denne -nevadi, za mne rozumna cenova politika i u komercni verze

-https://www.alienvault.com/products/ossim - vypada take zajimave zejmena s ohledem na https://otx.alienvault.com/, valcime s nacitamim syslogu, drazsi komercni verze

-http://www.ossec.net/ zatim nevyzkoseno

-Flow Tools  - https://www.systutorials.com/docs/linux/man/1-flow-tools/ -uvazujem pro ukladani Net Flow -aby nam to nezatelozavlo ELK - vase doporuceni zejmena idealne s heldanim pres web FrontEnd a ukladanim Net Flow do kompresenych souboru ci nejak usporne
« Poslední změna: 29. 05. 2018, 12:35:59 od Petr Krčmář »


kkt1

  • *****
  • 796
    • Zobrazit profil
Re:Vyber SIEM - jak sledujete co se deje v siti ?
« Odpověď #1 kdy: 29. 05. 2018, 12:27:16 »
splunk mame, cenova politika je silena, tool ok... Bugfixing vicemene nefunguje, na nektere zaplaty jsme cekali mesice. Jinak historicky mam zkusenosti se snortem a nestezuji si (asi 150 siti s celkove 2000+ stroji).

Edit admin: Necitujte celé příspěvky nad sebou, zhoršuje to přehlednost.
« Poslední změna: 29. 05. 2018, 12:35:28 od Petr Krčmář »

DK

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #2 kdy: 29. 05. 2018, 14:16:49 »
Pouzivame GrayLog, vicemene nadstavba na Elasticem (pridava to, co v Elasticu je jenom v placene verzi)

osulud

Potřeboval bych podobný program. Chci zařízení připojit xíti. (Přes hostednetwork na notebooku a ethernet). Jaký sw mám nainstalovat na daný "průtokový notebook", abych mohl v reálném čase  sledovat a měnit:
-dotazy na DNS, sledovat, zamítnout, vrátit jinou odpověď
-povolit traffic tcp na daný hostname
- dešifrovat https, opět sledovat, možnost zamítnout traffic, ihned nebo až poté co uvidím první request ze zařízení ven.
-možnost vidět  a zaznamenat odchozí traffic, ale nepustit ho ven
- možnost příchozí  traffic zaznamenat bbokem, ale "nepustit" do zařízení
- možnost podstrčit svůj "fake" příchozí traffic jakožto odpověď na daný odchozí trafic (koukám, už je to v podstatě proxy , ale aby to bylo i pro jiné protokoly) Avšak aby to bylo nějak "uživatelsky přijěmně konfigurovatelné" s ohledem na 2 body výše . Abych se nezanořil do psaní nějakého proxy serveru(myslet na https), ale aby to nějak bylo interaktivní.
- v reálném čase vytvářet pravidla (ve výchozím stavu bude vše zakázané, budu postupně zjišťovat kam chce komunikovat a selektivně povolovat cíle, porty, pak podle toho co uvdím, co odchází, na základě toho se rozhodnu, zda to pustím ven, pak uvidím, co přichází, rozhodnu se, zda to pustím do zařízení)

*Asi uplně "v reálném čase to nepůjde". (Jak moc zařízení má timeout na tcp pro reálný čas)  ale například když budu zjistím, že tady něco chce komunikovat, tak si to poznamenám do pravidel a zařízení restartuji.


Proč proboha musím "Souhlasím se zpracováním osobních údajů za účelem zapojení se do diskuse na fóru" u každého příspěvku? Dřív to šlo bez toho.

karel

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #4 kdy: 30. 05. 2018, 11:03:54 »
dekuji za zpetnou vazbu:
-kkt1 --mate pravdu kdyz na prvni pohled vypada splunk dostupne, ale jak se zapoctou data tak je velice drahy
--snort jsem myslel, ze ted nahrazuje suricata

-DK- dekuji za info o GrayLog. Ten pridava k ELK uzivatele a alerty nebo jeste neco jineho? Nasel jsme spravne omezni bezplatne verze na 5Gb dat denne?

-osulud- domnivam, se ze hledate jinou funkcionalotu


DK

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #5 kdy: 30. 05. 2018, 11:51:05 »
GrayLog Enterprise ma toto omezeni (mel by tam byt navic nejaky auditing a dalsi "enterprise features"), OSS varianta je neomezena. Krome uzivatelu a alertu ma taky vsechny rozdilne moznosti vstupu dat (od syslogu, pres ruzne bezne systemy az po ingest dat z ruznych MQ) a muze ty data filtrovat a predavat dal.

Cipisek

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #6 kdy: 30. 05. 2018, 19:06:22 »
Pro mensi firmicku mohu doporucit turrise a jejich PAKONe

karel

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #7 kdy: 04. 06. 2018, 07:17:45 »
i na zaklade zpetne vazby zde zkousime jako SIEM / LOGmanagenet kombinaci:
-OSSIM -https://www.alienvault.com/products/ossim -jako opensource siem
-ELK -https://www.elastic.co/elk-stack - pro ukladani udalosti
-graylog.org jako nadstavba nad ELK

Budu vdecny za vase zkusenosti s nasazenim i jednotlivych programu. Zejmena OSSIM/SIEM obecne  je pro nas neprobadane pole. pokud mate zkusenost budu vdecny i za honorovanou konzultaci. Osobne/telefon/skype kontak:karel.zem@email.cz

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #8 kdy: 04. 06. 2018, 07:35:54 »
Používáme ELK stack s tím, že alerty a přehledy generují skripty, které jsme si napsali.

Jirka4515121

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #9 kdy: 17. 12. 2018, 12:17:51 »
U nas pouzivame LOGmanager (ISP).

Proti ostatnim je prijemna cenova politika a navic to funguje jako appliance = zadne starosti s rozchazenim, aktualizacema apod...

Obecny popis maji na logmanager.cz

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #10 kdy: 30. 10. 2021, 07:54:46 »
Aktualizace na zaklade aktualnich informaci -treba to nekomu pomuze.
Vybrali jsme Graylog - relativne jednoduche nasazeni i sprava, umi vse co potrebujem v enterprise i reporty, v marketplace plno hotovych reseni napr pro FGT, zkusime nasadit i s IPFIX

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #11 kdy: 30. 10. 2021, 21:53:45 »
na síťovou vrstvu, zpravidla klienti využívají logování na routerech, pak samozřejmě věci jako splunk, qradar, elastic. Vše nechutně drahé.

Pokud to stavím někomu menšímu mimo enterprise svět, na síť využívám zeek (dříve bro), běží na router/vpn/edge serverech a sbírá kdo s kým komunikuje, v jakých protokolech, umí hlídat i použité ssl certifikáty a další metriky. Dá se s tím na linuxu v user space sledovat i gigabitový provoz aniž by to udělalo díro do podlahy. K tomu přidávám vynucený auditd pro sledování zeek procesu. Nejjednodušší to integrovat s ELK, k vyhodnocení na alerty lze k tomu použít např. https://github.com/SigmaHQ/sigma. Největší problém proti placeným SW je správné vyhodnocení, alerting a správa.

Z open source světa je také zajímavý projekt Suricata (poskytuje IDS i IPS), nastavení je ale již o trochu složitější.

Na pár projektech jsme již integrovali Azure Defender a vůbec to není špatná volba, je jasná cenová politika, není to přímo závislé pouze na Azure, ale čemkoliv co může hlásit provozní data do Azure. Při troše práce s integrací to může spoužit vhodně i jako IPS a zastavit hrozby automaticky. Lze to nasadit rychle a není tam takový vendor lock jako u custom řešení.

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #12 kdy: 01. 11. 2021, 08:27:06 »
Zdravím,
jako siem používáme ossim (agenty, netflow z centrálních síťových prvků, suricata na dedikované síťovce, testy zranitelností pravidelně).
Jako central log, graylog, na graylogu spousty sledovaní všeho co bylo potřeba, posila se mailem tomu kdo to chtěl (graylog 3 servery celkem db replikovaná).

Na perimetru Sophos pere provoz.

Stejně si ale myslím že pokud by něco přišlo přijde to odjinud, přes lidi.
Takže s průserem se u Nás počítá.

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #13 kdy: 04. 11. 2021, 11:38:32 »
ELK OSS + ElastAlert 2 (přidává podporu notifikací do ELK OSS)
Na inspekci sítě pak Flowmon (nyní se to jmenuje Kemp)
Zdar Max

Re:Výběr SIEM - jak sledujete, co se děje v síti?
« Odpověď #14 kdy: 09. 11. 2021, 18:51:39 »
Pozri Grafana stack - maju vsetko na:
- logy -> Loki - cize Splunk, Elasticsearch alternativa
- metriky -> ich Prometheus/Metrics
- traces -> Tempo - cize Jaeger, Zipkin alternativa
+ dalsie ako K6 na load testing, OnCall na oncall manazement, ...

A samozrejme na vizualizaciu Grafana - tam ta vsak neobmedzuju iba na svoje produkty - v zasade vies vizualizovat data zo vsetkych beznych log/metric/trace backendov a databaz. Grafana cloud dava 50GB priestoru zdarma, cize na zaciatok dost aj na realne hranie a testovanie.