Fotolia
SIEM: Vier Open-Source-Tools, die Sie kennen sollten
Der Einstieg ins Security Information and Event Management, kurz SIEM, muss nicht teuer und zeitaufwendig sein. Der Artikel stellt vier SIEM-Tools mit einer freien Lizenz vor.
SIEM-Software (Security Information and Event Management) war früher gleichbedeutend mit relativ einfachen Lösungen zum Verwalten von Ereignissen im Firmennetz. Das hat sich in den vergangenen Jahren aber stark geändert. Aktuelle SIEM-Tools können deutlich mehr und verfügen über weit mehr Funktionen. Das ist ein großer Vorteil für Unternehmen, die nach neuen Möglichkeiten suchen, um Informationen über ihre Systeme und Netzwerke zu erhalten.
Besonders einfach gelingt der SIEM-Einstieg mit Anwendungen aus dem Open-Source-Bereich. Unternehmen können sie zunächst in Ruhe und bei niedrigen Anfangskosten ausprobieren und müssen deswegen erst später, wenn ihnen eine Lösung zusagt, größere Summen für zum Beispiel Support in ein Produkt investieren. Abhängig von den Funktionen, die Sie benötigen, stehen unterschiedliche Lösungen bereit, aus denen Sie wählen können. Im Folgenden werden kurz die wichtigsten SIEM-Tools aus dem Open-Source-Bereich vorgestellt.
ELK Stack
Eine bei vielen Anwendern beliebte Option ist ELK Stack. Dabei handelt es sich um keine singuläre Lösung, sondern um ein Paket aus drei unterschiedlichen Open-Source-Tools, die zusammengenommen viele Funktionen bieten. Sie heißen Elasticsearch, Logstash und Kibana.
Elasticsearch ist die Basis von ELK Stack. Die Anwendung stellt die zentrale Engine zum Suchen und Analysieren der gesammelten Daten zur Verfügung. Sie kann entweder auf einem nur relativ schwach ausgestatteten Rechner oder auch in einem Cluster mit 300 Nodes aufgesetzt werden. Je nach Ausstattung und Konfiguration kann sie so auch Hunderte von PBytes an Daten indexieren.
Logstash ist die Komponente in ELK Stack, mit der sich die Log-Daten parsen lassen. Das Tool kann Daten aus einer Vielzahl von Quellen beziehen. Ein Beispiel sind etwa Logs, die auf mehreren Servern gespeichert sind. Anschließend werden die Daten an Elasticsearch zum Indexieren übergeben.
Kibana ist dagegen eine BI-Engine (Business Intelligence). Mit ihr ist es unter anderem möglich, Dashboards mit unterschiedlichsten Visualisierungen zu erstellen, um die vorhandenen Daten auszuwerten. Neben dieser Fähigkeit, Daten zu visualisieren, nutzt Kibana außerdem Methoden aus dem Bereich Maschinelles Lernen, um Anomalien in den analysierten Daten zu entdecken. Aus diesem Grund lässt sich ELK Stack auch als Werkzeug für Business Analytics einsetzen, obwohl es eigentlich eine Tool-Sammlung zum Überwachen und Verbessern der IT-Sicherheit ist.
Apache Metron
Ein weiteres SIEM-Tool mit einer freien Lizenz ist Apache Metron. Während ELK Stack ein auch allgemein einsetzbares Werkzeug ist, um Logs und Daten zu parsen und zu analysieren, fokussiert sich Apache Metron rein auf das Thema Sicherheit.
Dazu verfügt Apache Metron über vier Hauptfähigkeiten. Erstens bietet das Tool die Möglichkeit, per Telemetrie gewonnene Daten über einen langen Zeitraum zu speichern. Die Funktion wird auch als Data Lake bezeichnet. Zweitens enthält sie ein umfangreiches Framework, um Daten aus verschiedensten Quellen zu sammeln und um sie an Endpoints zur Analyse zu übergeben. Drittens erledigt Apache Metron übliche SIEM-Aufgaben wie das Aufnehmen von Daten und das Auslösen von Alarmen bei erkannten Bedrohungen. Die vierte Fähigkeit ist Threat Intelligence. Sie basiert auf einer mit Machine Learning gestützten Erkennung von Anomalien.
OSSEC Project
Wie auch bereits Apache Metron wurde OSSEC Project (Open Source HIDS Security) vor allem entwickelt, um die IT-Sicherheit in Unternehmen zu verbessern. Zu den wichtigsten Fähigkeiten von OSSEC Project gehört die Analyse von Logfiles. Die Lösung ist deswegen zuallererst ein IDS (Intrusion Detection System). Die Analyse von Logfiles ermöglicht dem Werkzeug, Datendiebstähle und Einbrüche durch Hacker zu erkennen.
Darüber hinaus kann OSSEC Project eingesetzt werden, um Integritäts-Checks durchzuführen, um Rootkits zu entdecken und zum Überwachen von Richtlinien. Sollte dabei ein Hackerangriff entdeckt werden, kann die Software einen Alarm in Echtzeit auslösen.
Die Architektur von OSSEC Project ist so ausgelegt, dass sie relativ leicht skaliert werden kann. Außerdem ist die Software Host-basiert und unterstützt die wichtigsten Plattformen. Es ist deswegen damit möglich, mit einem Server gleichzeitig zahlreiche viele andere Systeme zu überwachen. OSSEC Project bieten IDS-Fähigkeiten für Linux, Open BSD, macOS, Solaris sowie Windows.
Alien Vault OSSIM
OSSIM (Open Source SIEM) lässt sich am besten als abgespeckte Version der USM-Tools (Unified Security Management) von Alien Vault beschreiben. Die kommerzielle Lösung USM Anywhere von Alien Vault ist Cloud-basiert und wird einmal im Jahr abgerechnet. OSSIM ist dagegen Open Source, kostenlos und für den On-Premises-Einsatz ausgelegt.
Mit OSSIM ist es möglich, viele der Funktionen bereits zu nutzen, die in den kostenpflichtigen Lösungen von Alien Vault enthalten sind. Das Tool kann jedoch nur auf einem einzigen Server installiert werden. Mit OSSIM können Unternehmen eine Bestandsaufnahme der vorhandenen Assets im Netzwerk erstellen, ein Schwachstellen-Assessment durchführen, nach Eindringlingen suchen, verdächtige Verhaltensweisen überwachen und unterschiedliche SIEM-Ereignisse miteinander in Beziehung setzen.
Unternehmen, die erweiterte Möglichkeiten für das Management ihrer Log-Dateien benötigen, sollten auf die Cloud-basierte Version upgraden. Diese Version bietet Funktionen, die über die Fähigkeiten der reinen Open-Source-Version hinausgehen. Ein Beispiel dafür ist etwa das damit verfügbare Security-Monitoring für AWS (Amazon Web Services), Microsoft Azure und andere Anwendungen in der Cloud. Außerdem kann sie direkt in Ticket-Systeme anderer Anbieter integriert werden.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
