最新消息:XAMPP默认安装之后是很不安全的,我们只需要点击左方菜单的 "安全"选项,按照向导操作即可完成安全设置。

Day 20 沒有SIEM? 試養開源的加拿大馬鹿ELK

XAMPP下载 文, 员 20浏览 0评论

從Day 13到Day 19 的介紹幾乎都和SIEM 安全資訊事件管理系統 有關聯,在社群分享交流的時候,大家常常會討論自己用過的工具和經驗,也會詢問是否有價格比較平民的選項,雖然商用的SIME價格會依不同環境變動,多數人都同意花錢買好的SIEM絕對有價值,除了售後服務和有經驗的工程師協助,SIEM與其他設備的整合也是考量之一,大量的內建政策和報表也在導入過程獲得正面迴響;然而對於社群裡的學生成員,希望找工具來學習日誌分析,或者任職於預算有限的公司資安人員,希望能多方進行測試、了解、熟悉SIEM 安全資訊事件管理系統後,再與廠商接洽,或者寧願全部自己動手來,完全使用開源軟體,享受高度自由性和客製化的人,大家通常會提供一些「我有聽說過…但是沒有試過,也許你可以試試看…」的無擔保建議。

第一個最常聽到的建議是「試試Splunk吧?」Splunk有提供免費測試帳號,可以測試雲端上各種不同授權方案,或者使用他們提供的Splunk Free授權,每天有500MB的限制,但是Splunk的情境模板例如Splunk Enterprise Security是另外授權的,現在雖然提出免費的輕量級分析應用模板Splunk Security Essentials (見文末連結),能不能和Splunk Free搭配使用呢?這個就沒試過了;另一個常聽見的建議是「試試OSSIM如何?」OSSIM全名為Open Source Security Information Management,作為開源的SIEM,已經於2008年發展成AlienVault公司,有商務授權的獨立產品Unified Security Management (USM),但是開源的OSSIM仍然存在並持續更新,可以下載使用。這麼分享了幾次,某天一位社群同好建議:「這樣給不負責任建議並不中立喔~這些東西看似免費,其實可能是廠商吸引用戶的方法,功能上很多限制。像你覺得一天500MB日誌真的夠用嗎?當你用著覺得好用,其實已經被廠商綁住了。」

「那怎麼辦?」
「可以建議他們試ELK Stack。」
「什麼?ELK?加拿大馬鹿?加拿大馬鹿疊在一起?」

因為我已經有在使用SIEM,所以並未進一步了解研究,直到這次多倫多的SecTor 2017 – Security Education Conference Toronto,台上主講人再次提到ELK Stack後,重新燃起興趣研究,才發現ELK真的不錯。 ELK Stack其實是三個不同開源專案的合稱:Elasticsearch、 Logstash和Kibana, 負責的公司正式改名為Elastic Stack (但大家還是叫習慣ELK),Elasticsearch本身作為高效率、即時性的儲存、搜尋、分析引擎開源專案,被其他產品廣泛使用;Logstash用來進行各項系統設備log日誌動態蒐集、轉換;許多其他產品也運用Kibana將資料數據視覺化的強大能力,創建自己的圖示儀表板。所以整套ELK Stack其實包括SIEM的主要零件,作為開源專案起家,有免費的開源授權,也提供一年免費的Basic授權,一年過後可以繼續更新Basic授權,做為測試環境或學生們學習非常足夠了,想要投入預算獲得廠商支援,使用更多功能,或享用雲端方案,都有不同的授權方式,可以參考文末連結。

转载请注明:XAMPP中文组官网 » Day 20 沒有SIEM? 試養開源的加拿大馬鹿ELK