SIEMonster: un SIEM Open Source

SIEMonster es libre, código abierto, un correlacionador de Incidentes de Seguridad y Gestión de Eventos (SIEM), diseñado y apoyado por productos de código abierto, desarrollado para la seguridad, escalabilidad y funcionalidad. El producto fue desarrollado por Pentesters y Analistas de Security Operation Center (SOC). El objetivo fue construir una herramienta que le dio a los operadores de seguridad la capacidad de detectar anomalías en la red en la una sola herramienta. La solución es completamente gratuito y será siempre libre, para los profesionales de seguridad.

La instalación del clúster nodo base de cuatro SIEMonster se basa en cuatro servidores Linux procedentes de una misma máquina virtual (VM) o Amazon Machine Image virtual (o IAM). Los mismos están apagados o dependiendo de la función del servidor. Este fue construido para guardar la descarga de multiples imagenes de eventos. Además de proporcionar una imagen única transformadora que es más fácil de mantener en nuestro extremo. El cúmulo es también la autoconstrucción, el usuario final sólo tiene que configurar las direcciones IP y ejecutar el script de instalación en la imagen.

Opcional SIEMonster VM se han construido utilizando una sola máquina virtual para fines específicos, para la comunidad sobre una base de caso por caso.

La palabra se origina a partir SIEMonster ‘Monster SIEM’ un SIEM que era lo suficientemente escalable para clientes corporativos de la empresa. SIEM Monster luego fue modificado para convertirse en SIE-Monster y acortó a SIEMonster.

Por lo tanto, cada servidor es el nombre de un monstruo marino. En este momento hay 7 dispositivos de servidor SIEMonster con diferentes roles cada uno proporciona una función de conjunto.

servidores:

  • Proteus servidor de recepción, punto final y registros de vista del tablero de instrumentos:
    La función de Proteus en SIEMonster es hacer cola, filtro y proceso de datos de punto final entrante, aplicar conjuntos de reglas y enviar los datos al tanto de Capricornio para alertar al instante y Kraken / Tiamat base de datos para el almacenamiento a largo plazo.
  • Capricornio Server que se ejecuta Graylog respuesta a incidentes alertas en tiempo real:
    La función principal de Capricornio es proporcionar a los profesionales de seguridad con alertas en tiempo real, el análisis, la clasificación de los eventos a medida que entran en la organización. En SIEMonster Capricornio ofrece una única instancia para alertar a través de correo electrónico, SNS, Slack y HipChat.
  • Kraken Server que se ejecuta como nodo de clúster de búsqueda de base de datos 1:
    La función principal del Kraken es nodo de clúster 1 elástico, para almacenar todos sus datos SIEM a largo plazo en la base de datos. Cuando un usuario realiza una búsqueda en Kibana. “Todos los usuarios que utilizan la palabra confidencial en un envío de correo electrónico a un dominio externo de correo electrónico”, la base de datos elástico buscará las entradas y presentara las operaciones de búsqueda al usuario en Kibana.
  • Tiamat Server que se ejecuta como nodo de clúster de búsqueda de base de datos 2:
    La función principal de Tiamat es nodo de clúster 2 elástico almacenar todos sus datos SIEM a largo plazo en la base de datos. Cuando un usuario realiza una búsqueda en Kibana. “Todos los usuarios que utilizan la palabra confidencial en un envío de correo electrónico a un dominio externo de correo electrónico” base de datos elástico búsqueda buscará las entradas y presentar las operaciones de búsqueda al usuario en Kibana.
  • Hydra SIEM como un colector de registro del Servicio de Clientes:
    Hydra es utilizado por SIEMonster como un servidor que los colectores registros en el sitio de un cliente que requiere SIEM como servicio. En lugar de todos los criterios de valoración del cliente, el envío de registros directamente en el túnel de Amazon VPC, Hydra recoge todos los registros asegura la puesta en cola correcta y en el caso de un corte de la nube almacena los registros de SIEM hasta que vuelva a estar disponible.
  • Ikuturso Server que se ejecuta BRO / TARDIS Red lugar sensor en DMZ / Red:
    El papel Ikuturso es una red de sensores colocados lejos de SIEM sentado en un borde DMZ o red, ejecutando BRO y TARDIS, con la capacidad de bloquear el tráfico conocido a partir de OSINT. También proporciona capacidades forenses de ataques conocidos con profunda aplicación e inspección de paquetes de red.
  • Bruce servidor construido para Hewlett Packard (HP) SIEM impresora y alertas:
    Hewlett Packard HP solicitó SIEMonster para llegar a una solución SIEM de código abierto como SIEMonster pero una versión reducida de utilizar para la detección de alertas de impresoras en su nueva gama de impresoras que tenían la certificación de criterios comunes. HP quería que el producto no sólo para detectar ataques maliciosos en las impresoras, sino también eventos tales como usos de la impresora, alertas de nivel bajo de tóner. Estos eventos podrían ser enviadas a personal del cliente, así como la seguridad del personal de ordenar la impresora de tóner nuevo, o HP para la reubicación de las impresoras a los pisos más altos de volumen.

 

Fuente: https://siemonster.com/downloads/

Leave a Reply

%d bloggers like this: