基于OSSIM 的开源安全运维平台
一个安全运维平台能否有效就要看收集数据的能力,如果数据源都有缺失,那上层的关联分析很可能会产生偏差。对于网络安全设备而言,主要采集其安全日志(包括报警)和设备运行状态信息。这本OSSIM最佳实践向您展示了其基于插件的强大数据采集和处理能力。然而目前市场上的安全设备的输出信息随着设备种类和生产厂家的不同都有所不同,并且没有一个统一的标准来格式化所有的安全日志。因此,同时收集多源异构安全设备的数据,除了OSSIM之外的各类开源工具都是一个复杂而艰难的过程。OSSIM连续4年进入Gartner信息安全与事件管理(SIEM)魔力象限也是有他的道理。
1.安全运维平台基本功能
网络管理的功能组成包括:、配置管理、性能管理、变更管理、安全管理、故障管理等。从网管角度来说,最根本的需求就是在一个统一的界面中监控网络中所有安全设备的实时运行状态,将其产生的所有报警及日志信息进行统一收集、集中分析和定时审计;并且能在一个平台中完成安全产品的更新升级、入侵事件的报警、响应处理等功能。在你没有体验过OSSIM之前,这些功能只是梦想。为了实现这个梦想,你会搭建一大堆开源系统,数据分散在各个平台之上。很多人会把他们视为“自动化运维系统”。
当你使用过OSSIM之后,能感觉到这种系统将处于不同安全设备、不同管理系统中无序并分散的海量安全事件进行收集、过滤、关联分析,得出全局视角的安全风险分析结果,再依据专家库的知识库里的经验经过安全策略,及时响应处理会造成损失的安全威胁事件,以保障企业网络环境的整味安全性。网络安全管理平台的主要组成部分包括安全事件采集、安全事件管理、安全设备监控等。
注意:安全事件管理主要是将事件釆集提供的所有事件进行关联分析、风险评估等分析处理。
2.安全运维平台管理体系
安全运维不只是在技术层面进行企业的信息安全管理,针对传统安全管理的局限性,安全运维体系建设分两个层面
1)技术保障体系:以安全运维平台为工具,通过监控、定位、告警、决策、处置、反馈等手段为保障业务系统正常运行提供有力支持。
2)管理保障体系:规范组织结构管理,完善机构人员及第三方服务人员管理,完善安全策略及制度建设,引入规范的业务处理流程,形成一套完善的安全管理体系。
OSSIM平台依据安全管理技术的研宄及质量管理体系的要求,开发了一套较为完整的信息安全运维保障体系框,但遗憾的是目前还没有完善工单处理系统,需要将OSSIM和itop组合起来应用。
SIEM管理的核心是资产,资产管理的对象是划分的安全域内的各业务信息系统及设备,主要包括:网络设备(如:路由器,交换机等)、主机设备如服务器等、安全设备(如IDS,防火墙等)、业务信息系统、数据库、中间件。
安全分析中心的核心工作是将收集到的IT资源的状态信息、性能指标和可用性指标等数据进行关联分析,发现外部入侵,识别内部违规。监控中心负责收集全网IT资源的运行状态信息、性能指标和可用性指标。在OSSIM框架下的运维中心可帮助运维人员建立一套例行化、常态化的风险管理机制。
下面就让《开源安全运维平台OSSIM最佳实践》这本书来为您讲解以资产为核心的SIEM系统吧。
本文转自 李晨光 51CTO博客,原文链接:http://blog.51cto.com/chenguang/1732262,如需转载请自行联系原作者
