Több SIEM rendszer alkalmazásának van létjogosultsága?

Security-all

Sziasztok!

Van egy működő kereskedelmi SIEM rendszerünk, ami a hálózati forgalmat figyeli jelenleg, viszont nem gyűjti a kliensekről a naplókat. E mellé van egy vírusvédelmi rendszerünk is. E mellé szerintetek van értelme még egy SIEM rendszert (ez a Wazuh lenne) beüzemelni a felhasználók gépeit terhelni az agent-ével? Több felé próbáltam utána nézni, én nem találtam meggyőző érvet (inkább a mostani SIEM-nek kellene tárhelyet bővíteni és bővíteni a tárolandó adatok körét). Olyat is láttam, hogy egy log gyűjtő szerver összeszedi a naplókat és tárolja (NXlog-gal), és ezt elemzi a SIEM. Várom a javaslatokat!

  • 295 megtekintés

( wladek1 | 2025. 06. 24., k – 22:29 )

Sub

Error: nmcli terminated by signal Félbeszakítás (2)

( zrubi v | 2025. 06. 24., k – 22:32 )

Szerkesztve: 2025. 06. 24., k – 22:59

Már a kérdés is elég sok problémát 'elárul', de lássuk:

 

Röviden: nincs, több SIEM-mel csak magadat (illetve a SOC csapatot) szivatod. És várhatóan az üzemeltetési kölségek is többszöröződnének...

 

Bővebben:

Attól függ, mi a jelenlegi, és mirt nem gyűjt naplókat?

Sőt: egyátalán nem gyűjt, vagy csak a kliensekről nem?

De az is fontos hány kliensről beszélünk, és mekkora (Event Per Sec /Flow Per Minute) SIEM-ről?

 

Kliensekről egyébként direktben nem is szokták ám gyűjteni, mert az nagyon drága móka...

és ugye a kliensek jellgükből adodóan nincsenek is mindig live kapcsolatban a SIEM-mel. 

Tehát mindenképp kell valami buffer - azaz köztes loggyűjtés/elemzés/szűrés szokott lenni a megoldás.

És/Vagy: komolyabb helyeken lokális EDR fut a klienseken, aminek eleve van központi log gyűjtő megoldása, ahonnan csak a problémás 'eseteket' küldi a SIEM-nek.

 

szerk: én a kliensek alatt a desktopokat értettem, ha te a szervereket és a hálózati eszközöket is, akkor kicsit más a helyzet:

- Linux/Unix szerverek, és hálózati eszközök (általában) alapból tudnak remote syslog-ot, azoknál ez a bevett módszer.

- Windows-ok esetén a Microsoft saját log gyűjtő (WEC) megoldása, amire ugyan kell valamilyen agent, hogy eljusson végül a SIEM-re, de így nem kell minden serverre agent.

zrubi.hu

A kliensek Windows-os munkaállomások (kb. 2000 darab), amiknek én a naplóállományait gyűjteném a hálózati sávszél eléggé változó, belól még megvan a Gbit, de több telephelyról kb 30-50-es gépparknál max. a 100Mbit felém. Én talán amit ezekről naplóznék, az néhány mappa (TEMP, Windows teljes, vagy részbeni struktúrája, user saját mappája), illetve szokatlan tevékenységek, illetve felhasználói ki- és bejelentkezések.

A mostani SIEM naplózza a hálózati tevékenységet. Egy log gyűjtó szervert gondoltam annak a buffernak (Oracle Linux alapú syslog szerver), amit írtál. EDR-t próbáltam feléleszteni (de sajnos ESXi-m nincs, a fizikai Dell vason meg nem volt hajlandó felállni rendesen (pedig CentOS-re volt telepítve az image-ben, a support meg nem tudott segíteni, mert nem támogatott platformra akartam felvarázsolni).

Windows log gyűjtésre NXlog-ra gondoltam (vagy az Edoceo winlogd-je).

Én talán amit ezekről naplóznék, az néhány mappa (TEMP, Windows teljes, vagy részbeni struktúrája, user saját mappája

Háát, a naplózás nem egészen így működik :)

Windows-on vannak Security logok, Applikációs logok, ezeket 'szokás' gyűjteni. Ezeken belül lehet még severity-re szűrni, de: ha tovább megyünk, akkor már kell valami extra pl sysmon, ami audit szerű megoldást kínál, de az is fel kell tudni konfigurálni rendesen, hogy érjen valamit.

 

És akkor jöhet a számolgatás, hogy mindez mekkora EPS-t fog eredményezni. 

2000 munkaállomásról ha csak a security eventeket gyűjtöd, az is lesz vagy 20K peak EPS. De ha audit eventeket is szeretnél (pl sysmon), akkor akár 200K is lehet! Ezt nem egyszerű (és főleg nem olcsó) sem 'bufferelni', de még gyűjteni sem. Ezért szokták csak az EDR, Defender  filterezett és közponsotsított logjait gyűjteni, és nem direktben a kliensekről.

 

persze, ha ez (audit) kell, ezt is lehet, csak ahhoz már rendesen megtervezett gyűjtés kell, nem csak úgy puffneki küldjünk valamit a SIEM-be.

ilyenre az NXLog kiváló megoldás lehet, főleg ha már eleve használjátok.

 

illetve szokatlan tevékenységek

És azt ki dönti el, hogy mi a szokatlan??! - bármi is, azt már nevezhetjük EDR-nek ;)

zrubi.hu

( zrubi v | 2025. 06. 24., k – 22:43 )

(ez a Wazuh lenne) beüzemelni a felhasználók gépeit terhelni az agent-ével?

Ez önmagában sem túl jó ötlet, az az agent az sajanos eléggé butácska.

Inventory management-nek, és/vagy compliance szempontból talán érdekes lehet  - ha nincs jobb megoldás.

De a 'loggyűjtés' része az több sebből vérzik, látszik hogy csak toldozzák-foldozzák az elavult forkolt kódokat.

bővebben lásd:

https://hup.hu/node/182797

 

Előnye, hogy ingyenes és open-source, de ez csak akkor előny, ha hajlandó vagy belefejleszteni ;)

legtöbben azonban csak ingyen akarnak Enterprise megoldást. De ez - jelen állapotában - biztosan nem az.

zrubi.hu

Azt láttam, a másik témában, hogy nem egy zseni ...

Egyébként én az inventory management-nek a GLPI-t tenném be, mivel több rétűbb, jobban használható, mivel hardver és szoftver leltért is tudsz benne csinálni (arról nem is beszélve, hogy ticketing-re is haználható, meg sok minden másra). Eddig a hálózati nyomtatókról nem sikerólt sehogyan sem begyűjteni vele a számlálóállásokat, pedig az jó lenne.

Én sem érzem annak, de hadakozok a kollégával, mert szerinte jó (igaz még nem láttam tőle a teszt rendszerén épkézláb beállítást) ...

( Friczy v | 2025. 06. 24., k – 23:21 )

Még az egy SIEM-nek se mindig látom a létjogosultságát. :) Mondjuk ha tárterület eladásban lenne érdekeltségem, akkor propagálnám, de nem ez a helyzet.

Nagy céges hálózatnál pedig biztosan van (főleg több telephelynél, és mást már nem is írok ...). Az biztos, hogy a világ tárterúletét fel tudja használni. Főleg ha mondjuk egy illetéktelen használatból eredően visszamenőleg kellenének egy eszközről naplók mondjuk visszamenőleg x évre.

Az, hogy bizonyos eseményekről visszamenőleg több évre kellenek logok (törvényi kötelezettség miatt), nem keverendő össze a SIEM-mel, az teljesen más eset. És jellemzően olyankor nem egy eszköz minden logja kell, hanem egy/több adott rendszer bizonyos típusú logjai. Ez pedig nem (csak) gyűjtési, hanem archiválási kérdés is. A SIEM tipikusan sok mindent gyűjt, nem annyira célzottan, és ebből az adathalmazból próbál kiemelni dolgokat (jellemzően előre megadott minták alapján), illetve korreláltatni több eszköz hasonló logjai alapján, ugyanakkor pont a tárterület miatt ezeket nem fogja évekig tárolni (nagy rendszereknél már egy negyedév tárolás is komoly kihívás tud lenni).