SEAL SIEM Monster – Einleitung

vPierre Automation, AWS (Amazon Web Services), Sin categorizar, Cloud Computing, Compliance, DevOps, DevSecOps, Microsoft Azure, SEAL Kit, SEAL SIEM Monster, Sicherheit / Security, vSphere

SEAL SIEM Monster Version 3 basiert auf den besten Open Source-Komponenten und wird aus einer Wunschliste der SEAL SIEM Monster-Community individuell entwickelt. In diesem Dokument werden die Architektur, die Funktionen und die Open Source-Komponenten von SEAL SIEM Monster behandelt, sodass alle Sicherheitsexperten in ihren Organisationen ein SIEM ohne Budget betreiben können. Weitere Informationen zur Architektur finden Sie in unserem High-Level-Design.

SEAL SIEM Monster basiert auf CoreOS, Docker mit Rancher und Kubernetes-Orchestrierung. Das Produkt ist als Vbox-, VMware-, Bare-Metal- oder Cloud-Installation auf AWS/Azure erhältlich. SEAL SIEM Monster kann horizontal und vertikal skaliert werden, um jeden Unternehmens-Client zu unterstützen.

Einige dieser Funktionen umfassen:

  • OSINT aus dem Palo Alto Mine Meld.
  • OSSEC (Open Source HIDS SECurity) Wazuh Fork. Vollständige Integration mit OSSEC Wazuh Fork für Host Intrusion Detection und PCI-DSS-Regelsatz in Elastic.
  • Demonstriert auf der DEFCON. Instant Incident Alerting per E-Mail, SMS oder Konsolenansicht über ein sicheres Portal und Integration mit „Slack”/”PagerDuty”/”Jira“ unter Verwendung von 411 Streams.
  • Open Source AuditIT von Opmantek.
  • Open Source Incident-Antwort. Alarme können als Tickets für andere Betreiber oder als Whiteboard eskaliert werden, um die aktuellen Probleme der Nachtschichtanalysten anzuzeigen.
  • Elastalert, das auf Anomalien, Spitzen oder andere Muster in Elasticsearch aufmerksam macht.
  • Prometheus-Metrik-Exporteure mit Prometheus Alert Manager für die Systemüberwachung.
  • Benutzeroberfläche für Datenkorrelation, Community-Regelsätze und -Dashboards, kostenlose Communitys und Open-Source-Plugins, die das Security Information and Event Management (SIEM) ausmachen
  • Integrieren Sie Ihre bestehenden Schwachstellenscans mithilfe von Dradis in das Dashboard (OpenVAS, Nexpose, Metasploit, Burp, Nessus usw.).

Wir haben auch LDAP-Integration, erweiterte Korrelation und Zwei-Faktor-Authentifizierung entwickelt und integriert.

HIGH-LEVEL-KOMPONENTEN

Diese Lösung umfasst die folgenden übergeordneten Komponenten:

  • SIEM & SIM/SEM – Ist für die Erfassung von Ereignissen rund um die Uhr, Korrelation und Reaktion auf Vorfälle konzipiert. Risikoidentifikation, visuelle Alarmierung, Analyse und sekundäre E-Mail-/SMS-/Slack-Warnungen an den User.
  • Softwarekomponenten – Alle Open Source-Komponenten, die in SEAL SIEM Monster enthalten sind.
  • Hardwarekomponenten  – Virtuelle Hardwareanforderungen für die virtuelle Umgebung
  • Konfiguration – SEAL SIEM Monster-Konfiguration, Regelsätze, Architektur, Ausrüstungsanforderungen, Backups und Wartung.
  • Dashboards – Visuelle Darstellung von konfigurierten Warnungen und Risiken in der Umgebung.
  • Regeln und Suche – Konfigurieren von Regeln und Ausführen von Suchen mithilfe von Elastic Search.
  • Warnmeldungen und Ticketing auf Vorfallreaktionen – Ticketing-System zur Aufzeichnung von Vorfallsreaktionen und Dokumentation für Sicherheitsanalysten sowie 411 für Warnmeldungen und die Benutzeroberfläche
  • Host Based Intrusion Detection Alerting– Integration mit OSSEC Wazuh Fork für HIDS-Alarme und vorgefertigte Regelsätze, einschließlich PCI-DSS.
  • OSINT– Integration mit Open Source Threat Intelligence für Echtzeitbedrohungen in freier Wildbahn mit Palo Alto Mine Meld.
  • Scannen nach Schwachstellen– Verwenden Sie Ihr vorhandenes Tool zum Scannen nach Schwachstellen, das in ein World-View-Dashboard integriert ist und Hotspots in Ihrem Netz mithilfe der Dradis IDE aufzeigt
  • Berichterstellung– Berichterstellung von Snapshots Ihres SIEM über geplante E-Mails im PDF- und Excel-Format mit Skedler.
  • Plugin-Entwicklung– Wie Sie eigene Plugins für spezifische Geräte wie SCADA oder kundenspezifische Geräte entwickeln oder wie Sie Hilfe von der Kustodian-Community erhalten, um bestimmte Geräte wie Hochofen, Farbspritzpistolen, Roboterarme oder Fertigungsstraßen zu überwachen.

UMFANG

Dieses Dokument enthält alle Software- und Hardware-Infrastrukturkomponenten für das Security Operations Center SEAL SIEM Monster-Produkt. Separate Dokumente wie Aufbauhandbücher, Standardarbeitsanweisungen, Fehlerbehebung und Wartung befinden sich in anderen Dokumenten der Document Suite. Schulungsvideos und Anleitungen zur Verwendung von Leitfäden finden Sie auf der SIEM Monster-Website.

ZIELGRUPPE

Dieses Dokument richtet sich an technische Vertreter von Unternehmen, SOC-Verantwortlichen sowie Sicherheitsanalysten und -fachleuten. Es wird erwartet, dass die Benutzer dieses Dokuments über umfassende Kenntnisse in den Bereichen Sicherheit, Software und Serverarchitektur verfügen.

Die relevanten Teile sind hier zur Vereinfachung enthalten und können sich natürlich ändern. Sie werden aktualisiert, wenn eine Benachrichtigung von den jeweiligen Eigentümern eingeht.

 

nächster Artikel: Funktionsüberblick