來源：https://logz.io/blog/open-source-siem-tools/

SIEM系統(tǒng)有助于保護IT環(huán)境免受網絡攻擊，并遵守日益嚴格的合規(guī)性標準，它正在成為越來越多的組織實現(xiàn)的安全范例的基石。

在前一篇文章中，我們解釋了SIEM系統(tǒng)實際上是什么——組織為什么需要它，它由哪些組件組成，以及它如何幫助減輕攻擊。這篇文章得出的結論之一是，SIEM本身并不是一個工具，而是由多個監(jiān)視和分析組件組成的。

有些專有平臺確實提供了一種一體化的SIEM解決方案，例如LogRhythm、QRadar和ArcSight。這些解決方案可能會變得非常昂貴，尤其是在長期和大型組織中，因此越來越多的公司都在尋找開源的SIEM平臺。

但是是否有一個包含所有基本SIEM元素的開源平臺呢?

答案很簡單——不。沒有一個完整的開源SIEM系統(tǒng)?，F(xiàn)有的解決方案要么缺少核心的SIEM功能，比如事件相關性和報告，要么需要與其他工具相結合。不過，像往常一樣，也有一些不錯的競爭者，在本文中，我們將研究其中的6個平臺。

我們將在本文之后對專有工具進行類似的分析。

1. OSSIM

作為AlienVault提供的統(tǒng)一安全管理(USM)的開源版本，OSSIM可能是比較流行的開源SIEM平臺之一。OSSIM包括關鍵的SIEM組件，即事件收集、處理和規(guī)范化，最重要的是-事件相關性。

為了構建一個完整的SIEM, OSSIM將本機日志存儲和相關功能與許多開源項目結合起來。OSSIM中包含的開源項目列表包括:FProbe、Munin、Nagios、NFSen/NFDump、OpenVAS、OSSEC、PRADS、Snort、Suricata和TCPTrack。

OpenVAS的包含尤其有趣，因為OpenVAS通過將IDS日志與漏洞掃描結果關聯(lián)來用于漏洞評估。

正如人們所預期的那樣，開源OSSIM并不像它的商業(yè)“老大哥”那樣功能豐富。這兩種解決方案都適用于小型部署，但是OSSIM用戶在規(guī)模上遇到了嚴重的性能問題，最終導致他們轉向商業(yè)產品。例如，開源版本的OSSIM中的日志管理功能實際上是不存在的。

2. ELK堆棧

ELK堆棧，或者Elastic Stack ，正如它最近被重新命名的那樣，可以說是當今作為SIEM系統(tǒng)構建塊使用的最流行的開源工具。一個構建塊——是的。一個完整的SIEM系統(tǒng)——不，因為關于麋鹿堆棧是否符合“一個完整的”SIEM系統(tǒng)有很多爭論的空間。

ELK堆棧包括開源產品Elasticsearch、Logstash、Kibana和Beats系列的日志傳輸者。

Logstash是一個日志聚合器，可以從幾乎任何數(shù)據源收集和處理數(shù)據。它可以過濾、處理、關聯(lián)和增強所收集的任何日志數(shù)據。Elasticsearch是一種存儲引擎，是該領域存儲和索引時間序列數(shù)據的最佳解決方案之一。Kibana是堆棧中的可視化層，在這方面非常強大。Beats包括各種輕量級的日志傳輸者，他們負責收集數(shù)據并通過Logstash將其發(fā)送到堆棧中。

Logstash使用大量的輸入插件來收集日志。但是，它也可以接受來自更專用的解決方案(如OSSEC或Snort)的輸入(見下文)。結合起來，ELK堆棧的日志處理、存儲和可視化功能在功能上是不匹配的。然而，就SIEM的目的而言，ELK堆棧(至少是原始開源格式的堆棧)缺少一些關鍵組件。

首先，它沒有內置的報告或警報功能。這是一個已知的痛點，不僅對于試圖將堆棧用于安全性的用戶，對于更常見的用例(例如IT操作)也是如此。警報可以通過使用X-Pack、Elastic商業(yè)產品或添加開源安全插件來添加。

也沒有可以使用的內置安全規(guī)則。這使得堆棧的處理成本增加了一些，包括資源和操作成本。

3.OSSEC

OSSEC是一種流行的開源主機入侵檢測系統(tǒng)(HIDS)，可用于各種操作系統(tǒng)，包括Linux、Windows、MacOS、Solaris以及OpenBSD和FreeBSD。

OSSEC本身分為兩個主要組件:負責從不同數(shù)據源收集日志數(shù)據的管理器(或服務器)和代理程序(代理程序是負責收集和處理日志并使其更易于分析的應用程序)。

OSSEC項目本身不包括可視化層。有一個UI是廢除的，相反，建議使用外部可視化工具，如Kibana和Grafana。

OSSEC直接監(jiān)視主機上的許多參數(shù)。這包括日志文件、文件完整性、rootkit檢測和Windows注冊表監(jiān)控。OSSEC可以從其他網絡服務執(zhí)行日志分析，包括大多數(shù)流行的開源FTP、郵件、DNS、數(shù)據庫、web、防火墻和基于網絡的IDS解決方案。OSSEC還可以分析來自許多商業(yè)網絡服務和安全解決方案的日志。

OSSEC有許多報警選項，可以用作自動入侵檢測或主動響應解決方案的一部分。OSSEC有一個基本的日志存儲引擎。默認情況下，不保留來自主機代理的日志消息。一旦分析完畢，OSSEC將刪除這些日志，除非OSSEC管理器的OSSEC.conf文件中包含<logall>選項。</logall>如果啟用此選項，OSSEC將來自代理的傳入日志存儲在每天滾動的文本文件中。

OSSEC是否可以算作“一種”SIEM系統(tǒng)還存在爭議。OSSEC在實現(xiàn)SIEM系統(tǒng)時確實做了大量的工作:它收集數(shù)據并對其進行分析，但是缺少一些必需的核心日志管理和分析組件。值得指出的是，OSSEC項目已經被其他HIDS解決方案(例如Wazuh)所開發(fā)，這些解決方案擴展了OSSEC的功能，使其成為一個更完整的SIEM選項。

4. Apache Metron

Apache Metron從Cisco的OpenSOC平臺發(fā)展而來，并于2016年首次發(fā)布，它是該行業(yè)中一個相對較新的參與者，也是將多個開放源碼項目組合到一個平臺的安全框架的另一個例子。

從架構的角度來看，Metron依賴于其他Apache項目來收集、流化和處理安全數(shù)據。Apache Nifi和Metron探測從安全數(shù)據源收集數(shù)據，然后將這些數(shù)據推送到單獨的Apache Kafka主題中。事件隨后被解析并規(guī)范化為標準JSON，然后被充實，在某些情況下被標記。如果確定了某些事件類型，則可以觸發(fā)警報。為了可視化，使用Kibana(盡管是一個過時的版本)

對于存儲，事件被索引并持久化到Apache Hadoop中，并且可以根據組織的首選項進行Elasticsearch或Solr。在這些數(shù)據之上，Metron提供了一個接口，用于使用警報摘要和豐富的數(shù)據集中分析數(shù)據。

Metron最強大的特性之一是可插入和可擴展的體系結構。例如，Bro、pycapa和fastcapa傳感器可以用來將特定的數(shù)據發(fā)送到Metron。使用簡單的DSL Stellar，用戶可以編寫自己的函數(shù)來轉換收集到的數(shù)據。廣泛的REST API允許用戶與Metron交互，因此用戶可以通過編程方式管理警報。

Metron相對年輕，在一些方面還比較欠缺。Metron只能安裝在有限數(shù)量的操作系統(tǒng)和環(huán)境中，不過它支持通過Docker(僅適用于Mac和Windows)進行可分析和安裝的自動化場景。UI有點不成熟，例如不支持身份驗證。

5. SIEMonster

SIEMonster是另一個年輕的SIEM播放器，但也非常受歡迎，在短短兩年內下載量超過10萬次。SIEMonster基于開源技術，可以免費獲得，并且是一種付費解決方案(Premium和MSSP多租戶)。

雖然SIEMonster使用自己的“怪物”術語來命名系統(tǒng)中不同的SIEM功能(例如Kraken)，但是底層組件是眾所周知的開源技術。ELK堆棧用于收集(Filebeat和Logstash)、處理、存儲和可視化所收集的安全數(shù)據。RabbitMQ用于隊列。SearchGuard用于對Elasticsearch和ElastAlert進行加密和身份驗證，用于報警。給HIDS的分支OSSEC Wazuh。這樣的例子不勝枚舉。

從功能的角度來看，SIEMonster包含了分析師可能希望得到的所有好處，每個好處都可以通過主菜單訪問——用于搜索和可視化數(shù)據的Kibana UI、用于威脅情報的MineMeld UI、用于創(chuàng)建和管理基于事件的通知的警報。其他集成的開源工具有DRADIS、OpenAudit和FIR。

SIEMonster可以使用Docker容器部署在云上，這意味著更容易跨系統(tǒng)移植，也可以部署在vm和裸機上(Mac、Ubuntu、CentOS和Debian)。盡管缺少在線版本，但文檔非常豐富。

6. Prelude

與OSSIM類似，Prelude是一個結合了其他各種開源工具的SIEM框架。與OSSIM一樣，它也是同名商業(yè)工具的開源版本。Prelude旨在填補OSSEC和Snort等工具所遺漏的角色。

Prelude接受來自多個源的日志和事件，并使用入侵檢測消息交換格式(IDMEF)將它們存儲在一個位置。它提供過濾、關聯(lián)、警報、分析和可視化功能。

同樣，與OSSIM一樣，與所有這些功能的商業(yè)產品相比，Prelude的開源版本受到了很大的限制，這可能就是它不太受歡迎的原因。引用官方文檔:“Prelude OSS的目的是在非常小的環(huán)境中進行評估、研究和測試。請注意，Prelude OSS的表現(xiàn)遠遠低于Prelude SIEM版。

沒有“一枚戒指可以統(tǒng)治所有人”

一個完整的SIEM解決方案包括從各種數(shù)據源收集信息、長時間保留這些信息、在不同事件之間建立關聯(lián)、創(chuàng)建關聯(lián)規(guī)則或警報、分析數(shù)據并使用可視化和儀表板對其進行監(jiān)視。

為了滿足這些需求，本文中列出的許多開源SIEM系統(tǒng)都使用了ELK堆棧，這并非巧合。OSSEC Wazuh, SIEMonster, Metron -都采用ELK。但ELK本身缺乏一些關鍵的SIEM組件，如關聯(lián)規(guī)則和事件管理。

基于上面的分析，一個簡單的結論是，“一體式開源SIEM解決方案”并沒有明確的贏家。在實現(xiàn)基于上述解決方案的SIEM系統(tǒng)時，您很可能會發(fā)現(xiàn)自己在功能或與其他開源工具結合方面受到了限制。

用于SIEM的開源工具是通用的和強大的。但是，它們需要大量的專業(yè)知識，而且最重要的是——正確地部署。正是由于這個原因，即使開源工具是這些商業(yè)產品的核心，商業(yè)產品仍然主導著SIEM的發(fā)展。

為您處理80%的SIEM解決方案要比自己處理好。商業(yè)解決方案處理安裝、基本配置，并為最常見的用例提供過濾器、相關配置和可視化設計。不要低估這些商業(yè)特性的價值:在當今的數(shù)據中心中，要監(jiān)視的東西似乎是無限的，我們沒有人有時間手動配置應用程序來監(jiān)視它們。