Tek bir açık kaynaklı araç, kullanıma hazır, eksiksiz bir SIEM çözümü sunmak için kutudan çıktığı gibi çalışmaz. Her seçenek bir ödünleşmeyi içerir: ya analitikte eksiklikleri olan amaca yönelik bir SIEM elde edersiniz ya da güvenlik tespitini kendiniz entegre etmenizi gerektiren güçlü bir günlük kaydı ve analitik yığınına sahip olursunuz.
İşte SIEM kategorisine yakın, kendi çözümünüzü sıfırdan oluşturmanıza yardımcı olacak ücretsiz açık kaynaklı araçlar:
Açık kaynaklı SIEM araçları
Alet | GitHub yıldızları | Birincil kullanım senaryosu | Fiyatlandırma |
|---|---|---|---|
Wazuh | 11.000+ | SIEM | ✅ Ücretsiz (yerel kurulum sürümü) |
Graylog | 7.600+ | SIEM | ➕ Ücretsiz sürüm |
OSSEC | 4.600+ | SIEM | ➕ Ücretsiz sürüm |
GüvenlikSoğanı | 3.600+ | SIEM | ✅ Ücretsiz |
AlienVault OSSIM | 120+ | SIEM | ✅ Ücretsiz |
ELK Yığını | 17.000+ | Günlük kayıt deposu ve analizleri | ➕ Ücretsiz sürüm |
Fluentd | 13.000+ | Günlük kayıt deposu ve analizleri | ➕ Ücretsiz sürüm |
OpenSearch | 10.000+ | Günlük kayıt deposu ve analizleri | ➕ Ücretsiz sürüm |
Suricata | 5.000+ | Saldırı tespiti | ➕ Ücretsiz sürüm |
Snort3 | 2.800+ | Saldırı tespiti | ➕ Ücretsiz sürüm |
Bu araçlar genellikle , depolama ve veri politikalarına bağlı olarak yapılandırılabilir bir saklama süresi boyunca günlükleri Elasticsearch dizinlerinde saklar . Uzun süreli depolama için ek arşivleme prosedürleri veya entegrasyonlar gerekebilir.
SIEM yetenekleri
*❌: Üçüncü taraf aracı entegrasyonları gerektirir (örneğin, Elastic Agent).
SIEM platformları doğru uç nokta verilerine dayanır. Uç nokta yönetim yazılımının, cihazların iyi yönetilmesini ve güvenli olmasını sağlayarak tespit ve müdahale yeteneklerini nasıl geliştirdiğini keşfedin.
İki tür açık kaynaklı araç
SIEM odaklı araçlar, temel yeteneklerin çoğunu yerleşik olarak sunar: günlük kaydı korelasyonu, uyarı, görselleştirme ve bazı uyumluluk raporlamaları. Bunlar daha fazla görüş odaklıdır ve çalıştırılmaları daha kolaydır. Wazuh ve SecurityOnion bu kategoriye girer.
Günlük kaydı ve analiz platformları, günlükleri toplama, depolama ve görselleştirme konusunda mükemmel olan güçlü veri altyapı araçlarıdır, ancak güvenlik tespit mantığı içermezler. Bunları, üzerine bir SIEM sistemi kurduğunuz temel olarak düşünün. ELK Stack, OpenSearch ve Graylog Open bu kategoriye girer.
Ticari alternatifler
Açık kaynaklı SIEM araçları genellikle ticari araçlarda bulunan sezgisel kural oluşturma arayüzlerinden yoksundur . Ek olarak, korelasyon işlevleri daha basittir ve çoğunlukla aşağıdaki gibi kullanıma hazır özellikler sunmazlar:
- Günlük yönetimi için hazır gösterge panelleri
- uyumluluk raporları (örneğin, PCI-DSS, HIPAA)
- Güvenlik duvarları, uç nokta koruma sistemleri gibi diğer kurumsal araçlarla entegrasyonlar,
Ticari SIEM araçları , aşağıdakiler dahil olmak üzere temel SIEM yetenekleri sunar:
- olay korelasyonu, günlük analizi
- risk puanlaması yapabilme yeteneği
- risk puanlarına dayalı olarak önerilen eylemleri sunmak
- 12 aya kadar uzun vadeli saklama
- Önceden oluşturulmuş makine öğrenimi modelleriyle kullanıcı ve varlık davranış analizi
Ticari SIEM araçları ayrıca çeşitli orkestrasyon ve yanıt fonksiyonları ve SOC görevlerini otomatikleştirmenin yollarını da sunar. Bazı SIEM tedarikçileri, daha hızlı yanıt verebilmek için SOAR yeteneklerini entegre etmiştir. Bu, daha fazla güvenlik aracının kullanımını kolaylaştırmak ve verimliliği artırmak için daha fazla otomasyon özelliği eklemesiyle tipiktir. Bazı durumlarda, bu durum bu ürünleri SOAR kategorisine taşır.
Açık kaynaklı SIEM araçlarının açıklaması
Wazuh
Wazuh, günümüzde mevcut olan en eksiksiz açık kaynaklı SIEM çözümüdür. Dört bileşenden oluşan tam bir platform olarak sunulmaktadır: Bir İndeksleyici (OpenSearch üzerine kurulu, uyarıları depolayan ve indeksleyen), bir Sunucu (çekirdek motor, ajanlardan günlükleri toplar, olayları analiz eder ve güvenlik ihlali göstergelerini belirler), bir Kontrol Paneli (olayları ve tehditleri görselleştirmek için web arayüzü) ve bir Ajan (uç noktalarda çalışır ve olayları sunucuya iletir).
Üçüncü taraf entegrasyonuna gerek kalmadan, güvenlik günlüğü analizi, güvenlik açığı tespiti, güvenlik yapılandırma değerlendirmesi ve mevzuat uyumluluğu raporlamasının yanı sıra uyarı ve olay tabanlı raporlama özelliklerini de yerleşik olarak sunar.
Wazuh'un konseptine bakın:
Graylog
Graylog, logları merkezileştirir ve şık bir arayüz aracılığıyla uyarılar ve gösterge panoları sunar. Graylog'un, OSI onaylı açık kaynak lisansı olmayan, daha doğru bir şekilde açık çekirdekli veya kaynak kodu erişilebilir olarak tanımlanan Sunucu Tarafı Kamu Lisansı (SSPL) altında lisanslandığını bilmekte fayda var.
1Ücretsiz sürüm, temel günlük toplama ve uyarı işlevlerini kapsar. Günlük arama filtreleme, günlük arşivleme, anormallik tespiti, önceden oluşturulmuş görselleştirmeler ve uyumluluk raporları gibi SIEM kullanımıyla daha ilgili özellikler, ücretli Graylog Security sürümünde yer almaktadır. Graylog 7.0, LLM istemcilerinin düz İngilizce komut istemleri kullanarak canlı sorgulama için doğrudan bir Graylog örneğine bağlanmasına olanak tanıyan deneysel bir Model Bağlam Protokolü (MCP) uç noktası sunmuştur.
OSSEC
OSSEC, açık kaynaklı bir Ana Bilgisayar Saldırı Tespit Sistemi (HIDS)'dir. Günlük verilerini toplar ve analiz eder ve bazı SIEM benzeri yetenekler sunar, ancak tam bir SIEM'den beklenen günlük yönetimi ve analitik bileşenlerinden yoksundur. Büyük ölçüde OSSEC'ten türetilen ve aktif olarak geliştirilmeye devam eden Wazuh tarafından yerini almıştır.
Bileşenler:
- Yönetici: Veri kaynaklarından günlük kayıtlarını toplar.
- Ajanlar: Günlükleri toplar ve işler.
OpenSearch bir SIEM çözümü olarak: OSSEC temel SIEM yeteneklerini sağlar: verileri toplar ve analiz eder; ancak, gerekli olan bazı temel günlük yönetimi ve analiz bileşenlerinden yoksundur.
GüvenlikSoğanı
SecurityOnion, SIEM ve saldırı tespit sistemi (IDS) olarak işlev görür. Ağ ve sunucu tabanlı saldırılara karşı kapsamlı izleme ve tespit özellikleri sunmak için Snort, Suricata ve Wazuh gibi diğer açık kaynaklı araçları entegre eder.
SecurityOnion, ağ trafiği analizi için Wireshark ve paket yakalama ve ağ adli incelemesi için Network Miner gibi derinlemesine analiz için kullanışlı araçlar içerir.
SecurityOnion bir SIEM çözümü olarak:
- Sunucu tabanlı ve ağ tabanlı IDS : Sunucularda ve ağlarda şüpheli etkinlikleri izler ve tespit eder.
- Tam paket yakalama (FPC) : Veri sızdırma, kötü amaçlı yazılım, kimlik avı ve diğer saldırıları tespit etmek için netsniff-ng ile ağ trafiğini yakalar.
- Tehdit tespiti : Güvenlik duvarlarına ve etki alanı denetleyicilerine başarısız girişler de dahil olmak üzere kötü amaçlı etkinlikleri belirlemek için SecurityOnion'daki SGUIL'i kullanır, böylece görünürlüğü ve içgörüleri artırır.
AlienVault OSSIM
OSSIM, AlienVault'un Birleşik Güvenlik Yönetimi platformunun açık kaynaklı sürümüdür. En önemli güçlü yönü, açık kaynaklı bir güvenlik açığı tarayıcısı olan OpenVAS'ı içermesidir; bu sayede Snort ve Suricata'dan gelen IDS uyarılarını güvenlik açığı tarama sonuçlarıyla ilişkilendirebilir, bu da gerçekten kullanışlı bir özelliktir.
AlienVault OSSIM bir SIEM çözümü olarak: OSSIM'in en önemli güçlü yönlerinden biri, OpenVAS'ı (açık kaynaklı bir güvenlik açığı tarayıcısı) içermesidir. Bu, OSSIM'in IDS günlüklerini (Snort ve Suricata gibi araçlardan) güvenlik açığı tarayıcı sonuçlarıyla ilişkilendirmesine olanak tanır.
OSSIM şunları sunar:
- Olayların toplanması ve işlenmesi.
- Birden fazla kaynaktan elde edilen güvenlik verilerinin ilişkilendirilmesi.
- OpenVAS entegrasyonu ile güvenlik açığı değerlendirmesi.
- Güvenlik olaylarına dayalı uyarı sistemi.
Eksik olan temel özellikler :
OSSIM'in açık kaynak kodlu sürümünde, ticari sürümde bulunan bazı SIEM özellikleri eksiktir, örneğin:
- Raporlama
- Gerçek zamanlı olay yanıtı veya uyarı konsolu
- Kayıtları etiketleme ve ayırma özelliği
ELK Stack
ELK yığını, log depolama, işleme ve görselleştirme için bir altyapıdır. Bir SIEM sistemi değildir; SIEM benzeri işlevsellik oluşturabileceğiniz bir platformdur. Algılama kuralları, korelasyon mantığı ve uyarılar sizin tarafınızdan oluşturulur. Yığın artık tamamen açık kaynaklı değildir; Elastic'in tescilli lisansı altında ücretsiz bir sürümü hala mevcuttur.
Bileşenler: Elasticsearch (depolama ve indeksleme), Logstash (günlük toplama ve normalleştirme), Kibana (görselleştirme) ve Beats (hafif günlük göndericileri). SIEM kullanımı için eksik olanlar: ücretsiz sürümde yerleşik bir korelasyon motoru yok (açık kaynaklı Elastalert aracı bu açığı kısmen kapatıyor), yerleşik güvenlik kuralları yok ve yerel uyarı veya raporlama özelliği yok.
ELK Stack bir SIEM çözümü olarak: ELK Stack, log toplama, işleme ve görselleştirme özellikleri sunar; ancak eksiksiz bir SIEM sistemi değildir.
- Eksik olan temel özellikler :
- Korelasyon motoru: ELK Stack'in ücretsiz sürümünde yerleşik bir korelasyon özelliği bulunmamaktadır. Bununla birlikte, korelasyon için kullanılabilecek Yelp/Elastalert gibi açık kaynaklı alternatifler mevcuttur.
- Dahili raporlama veya uyarı sistemi : Bu, SIEM kullanımı ve genel BT operasyonları için önemli bir dezavantajdır.
- Dahili güvenlik kuralları : Bu, sistemin kaynak ve operasyonel gereksinimlerini artırır.
Fluentd
Fluentd bir SIEM değil, bir log toplayıcı ve ileticisidir. Birçok kaynaktan logları toplar ve işleme için diğer sistemlere yönlendirir. Elasticsearch, OpenSearch, Splunk ve Snowflake ile sorunsuz bir şekilde entegre olur, ancak tehdit tespiti, korelasyon veya uyarı yapmaz ve depolama katmanı yoktur.
Fluentd bir SIEM çözümü olarak
- Günlük kayıtlarının toplanması ve iletilmesi : Fluentd, çeşitli kaynaklardan günlük kayıtlarını toplama ve daha fazla analiz için SIEM platformlarına iletme konusunda son derece verimlidir.
- Entegrasyon : Fluentd, önemli bir log alım bileşeni olarak Elasticsearch, Splunk ve Snowflake gibi popüler araçlarla sorunsuz bir şekilde entegre olur.
- Gerçek Zamanlı Veri İşleme : Fluentd, günlükleri gerçek zamanlı olarak işleyerek günlük verilerinin anında iletilmesini sağlar.
Eksik olan temel özellikler :
- Tehdit tespiti : Fluentd, SIEM sistemlerinin temel bir özelliği olan tehdit tespiti veya analizi yapmaz.
- Günlük korelasyonu : Karmaşık güvenlik olaylarını belirlemek için birden fazla veri kaynağındaki olayları ilişkilendiremez.
- Uyarı ve raporlama : Fluentd, SIEM çözümlerinde tipik olarak bulunan yerleşik uyarı veya raporlama özelliklerini içermez.
- Uzun vadeli veri depolama : Fluentd, günlükler için depolama çözümleri sunmaz; verileri yalnızca harici sistemlere iletir.
OpenSearch
2021 yılında Elasticsearch ve Kibana'nın bir çatalı olarak başlatılan OpenSearch, AWS liderliğinde yürütülen açık kaynaklı bir yazılım projesidir. OpenSearch (veritabanı) ve OpenSearch Dashboards'ı (görselleştirme ve analiz için) içerir.
OpenSearch bir SIEM çözümü olarak: Tam teşekküllü bir SIEM olmasa da, OpenSearch kuruluşlar tarafından güvenlik verilerini depolamak ve analiz etmek için kullanılabilir. Ancak, ELK yığını gibi, güvenlik tespitleri ve analizleri gibi temel SIEM özelliklerinin elle yazılmasını gerektirir.
Suricata
Suricata, derin paket incelemesi ve ağ izleme sağlayan bir ağa izinsiz giriş tespit ve önleme sistemidir (IDS/IPS). Suricata, eksiksiz bir SIEM çözümü değildir.
Suricata, günlükleri depolamak ve sorgulamak için Elasticsearch , verileri iletmek için Filebeat ve ağ güvenliği olaylarını görselleştirmek ve analiz etmek için Kibana kullanarak Elastic Stack for SIEM ile entegre olur. Bu kurulum, kuruluşların güvenlik tehditlerini gerçek zamanlı olarak proaktif bir şekilde izlemelerine ve bunlara yanıt vermelerine yardımcı olur.
Suricata bir SIEM çözümü olarak:
- Temel işlevi : Suricata, protokole özgü analiz (örneğin, HTTP, DNS, SSH) ve uygulama katmanı tespiti de dahil olmak üzere, ağ trafiğini saldırılara karşı analiz eder (Snort'a benzer şekilde).
- Uyarı Sistemi : Suricata, tespit edilen anormalliklere veya tehditlere dayanarak gerçek zamanlı uyarılar oluşturur ve bu uyarılar daha fazla işlem için SIEM platformlarına iletilebilir.
- Güçlü Yönleri : HTTP ve SSH trafiği tespiti gibi daha ayrıntılı uygulama katmanı bilgileri sağlar.
Burun çekme
Snort, ağ tabanlı saldırılara odaklanan, yaygın olarak kullanılan bir ağ saldırı tespit sistemidir: DDoS, gizli port taramaları ve işletim sistemi parmak izi alma. Suricata gibi, eksiksiz bir SIEM değildir. Aşağı akış işleme için uyarılar üretir ve korelasyon için Elasticsearch, Logstash ve Splunk ile entegre olur. Bağımsız bir araç olarak, log normalizasyonu, merkezi depolama ve olay müdahalesi özelliklerinden yoksundur.
SIEM çözümü olarak Snort:
- Başlıca işlevi : DDoS saldırıları, gizli port taramaları ve işletim sistemi parmak izi alma gibi ağ tabanlı saldırıları tespit etmek.
- Uyarı Sistemi : Snort, tespit edilen tehditlere dayanarak uyarılar oluşturur ve bunları syslog veya diğer kayıt sistemlerine gönderir; bu uyarılar daha sonra bir SIEM platformu tarafından işlenip analiz edilebilir.
- Entegrasyon : Snort, ağ güvenliği olaylarının daha iyi ilişkilendirilmesi ve analizi için Elasticsearch, Logstash veya Splunk gibi diğer SIEM araçlarıyla entegre olabilir.
- Sınırlamalar : Bağımsız bir çözüm olarak Snort, log normalizasyonu, merkezi depolama ve kapsamlı olay müdahale yönetimi gibi temel SIEM özelliklerinden yoksundur. Tamamen ağa izinsiz giriş tespitine odaklanmıştır.
Zabbix
Zabbix bir ağ ve altyapı izleme aracıdır, SIEM değildir. Windows ve Linux sistemlerinden gelen günlükleri ayrıştırabilir ve geçmiş performans verilerini toplamak için kullanışlıdır. Bazı kuruluşlar onu bir SIEM ile birlikte kullanır: Zabbix altyapı sağlığı izlemesini yönetir ve web kancaları aracılığıyla uyarılar gönderirken, SIEM günlük ilişkilendirmesini ve güvenlik analizini üstlenir.
Nagios
Nagios, ana bilgisayarların, hizmetlerin ve ağların durumunu izler; ağ hizmetlerini (SMTP, HTTP, PING) ve ana bilgisayar kaynaklarını (CPU, disk) takip eder ve kullanıcı tarafından oluşturulan izleme eklentilerini destekler. Günlük sunucu motoru, verileri gerçek zamanlı olarak toplar, bir arama arayüzüne besler ve otomatik günlük döndürme ve arşivleme işlemlerini yönetir. Güvenlik olaylarının ilişkilendirilmesi veya tehdit tespiti için tasarlanmamıştır.
Başlıca özellikler:
- İzleme:
- Ağ hizmetlerini (örneğin, SMTP, HTTP, PING) ve sunucu kaynaklarını (örneğin, CPU, disk kullanımı) izler.
- Eklentiler aracılığıyla kullanıcı tarafından oluşturulan hizmetlerin izlenmesi.
- Günlük kaydı yönetimi:
- Otomatik günlük dosyası döndürme ve arşivleme.
- Günlük verilerini coğrafi kökene göre filtreler.
- Ağ durumu ve günlük kayıtlarını görüntülemek için çevrimiçi arayüz.
SSS'ler
Eğer 50'den az uç noktanız varsa, yasal gereklilikleriniz yoksa, kuruluşunuz ağırlıklı olarak minimum yerel altyapıyla SaaS uygulamaları üzerinde çalışıyorsa veya aktif olarak izleme ve ayarlama yapacak kimseniz yoksa, muhtemelen bir SIEM'e ihtiyacınız yoktur. İzlenmeyen bir SIEM, güvenlik değil, yanlış bir güven duygusu yaratır.
PCI-DSS, HIPAA veya GDPR gibi düzenleyici çerçeveler altında faaliyet gösteriyorsanız, özel bir güvenlik ekibiniz veya SOC'niz varsa veya karmaşık, çok lokasyonlu bir ortamda merkezi görünürlüğe ihtiyacınız varsa, böyle bir çözümü ciddi olarak değerlendirmelisiniz.
Bu faktörlere sahip olmayan daha küçük kuruluşlar için, bir MSSP'ye dış kaynak kullanımı, genellikle şirket içi bir SIEM sistemi çalıştırmaktan daha uygun maliyetlidir.
SIEM odaklı araçlar ve kayıt/analiz platformları mevcuttur.
Bunlar, log korelasyonu, uyarı, görselleştirme ve bazı uyumluluk raporlaması gibi temel yeteneklerin çoğunu yerel olarak sağlarlar. Daha fazla görüş odaklıdırlar ve çalıştırılmaları daha kolaydır. Wazuh ve SecurityOnion başlıca örneklerdir.
Bunlar, logları toplama, depolama ve görselleştirme konusunda mükemmel olan güçlü veri altyapı araçlarıdır, ancak güvenlik tespit mantığı içermezler. Bunları, SIEM'in kendisi olarak değil, üzerine SIEM kurduğunuz temel olarak düşünün.
Daha fazla bilgi için:
- En İyi 10+ SIEM Sistemi: En İyi Çözümü Nasıl Seçersiniz?
- En İyi 10+ SOAR Yazılımı ve Açık Kaynak Alternatifi
Referans Linkleri
Yorum yapan ilk kişi olun
E-posta adresiniz yayınlanmayacak. Tüm alanlar gereklidir.