Система сбора, хранения и обработки информации и событий безопасности на основе средств Elastic Stack
Ключевые слова:
мониторинг и управление инцидентами компьютерной безопасности, SIEM-системы, Elastic Stack, Elasticsearch, Logstash, KibanaАннотация
В статье рассматривается подход к построению системы сбора, хранения и обработки информации и событий безопасности на основе средств Elastic Stack. Анализируются задачи мониторинга и управления инцидентами безопасности, исследуются архитектуры систем мониторинга, выявляются требования к ним, и предлагается архитектура системы сбора, хранения и обработки информации и событий безопасности. Описывается разработанный программный прототип системы и представляются результаты экспериментов с разработанным прототипом.Литература
1. Котенко И.В., Саенко И.Б. Создание новых систем мониторинга и управления кибербезопасностью // Вестник Российской академии наук. 2014. Том 84. № 11. С. 993–1001.
2. Котенко И.В., Саенко И.Б. SIEM-системы для управления информацией и событиями безопасности // Защита информации. Инсайд. 2012. № 5(47). С. 54–65.
3. Котенко И.В., Саенко И.Б. Архитектура системы интеллектуальных сервисов защиты информации в критически важных инфраструктурах // Труды СПИИРАН. 2013. № 1(24). С. 21–40.
4. Kotenko I., Polubelova O., Saenko I. Data Repository for Security Information and Event Management in Service Infrastructures // Proceedings of the International Conference on Security and Cryptography (SECRYPT 2012). 2012. pp. 308–313.
5. Котенко И.В., Саенко И.Б., Юсупов Р.М. Новое поколение систем мониторинга и управления инцидентами безопасности // Научно-технические ведомости СПбГПУ. Информатика. Телекоммуникации. Управление. 2014. № 3(198). C. 7–18.
6. Котенко И.В., Саенко И.Б. Построение системы интеллектуальных сервисов для защиты информации в условиях кибернетического противоборства // Труды СПИИРАН. 2012. № 3(22). С. 84–100.
7. Big Data Analytics for Security Intelligence. Cloud Security Alliance. 2013. pp. 1–12.
8. Zuech R., Khoshgoftaar T.M., Wald R. Intrusion detection and Big Heterogeneous Data: a Survey // Journal of Big Data. 2015. pp. 1–42.
9. Apache Hadoop 2.7.2. URL: http://hadoop.apache.org/docs/current/ (дата обращения: 20.02.2017).
10. Dean J., Ghemawat S. MapReduce: Simplified Data Processing on Large clusters // Communications of the ACM. 2008. vol. 51. no. 1. pp. 107–113.
11. Shim K. MapReduce algorithms for big data analysis // International Workshop on Databases in Networked Information Systems. 2013. LNCS 7813. pp. 44–48.
12. Apache Storm. URL: http://storm.apache.org/ (дата обращения 20.02.2017).
13. Santos O. Network Security with NetFlow and IPFIX: Big Data Analytics for Information Security // Cisco Press. 2015. 320 p.
14. Kavanagh K.M., Rochford O., Bussa T. Magic Quadrant for SIEM // Gartner. 2016.
15. HPE Security ArcSight ESM. URL: https://saas.hpe.com/en-us/software/siem-security-information-event-management (дата обращения: 20.02.2017).
16. IBM Security QRadar SIEM. URL: http://www-03.ibm.com/software/products/en/qradar-siem (дата обращения: 20.02.2017).
17. Alienvault OSSIM. URL: https://www.alienvault.com/products/ossim (дата обращения: 20.02.2017).
18. Splunk Enterprise. URL: https://www.splunk.com/ru_ru/products/splunk-enterprise.html (дата обращения: 20.02.2017).
19. ManageEngine EventLog Analyzer. URL: https://www.manageengine.com/products/eventlog/ (дата обращения: 20.02.2017).
20. Cisco Systems OpenSOC. URL: https://github.com/OpenSOC/ (дата обращения: 20.02.2017).
21. Apache Metron. URL: http://metron.incubator.apache.org/ (дата обращения: 20.02.2017).
22. GitHub Apache Metron. URL: https://github.com/apache/incubator-metron/pulls (дата обращения: 20.02.2017).
23. Graylog. URL: https://www.graylog.org/ (дата обращения: 20.02.2017).
24. Documentation Graylog. URL: http://docs.graylog.org/en/2.2/pages/configuration/elasticsearch.html (дата обращения: 20.02.2017).
25. Elastic Stack. URL: https://www.elastic.co/ (дата обращения: 20.02.2017).
26. Chen J. et al. A Parallel Random Forest Algorithm for Big Data in a Spark Cloud Computing Environment // IEEE Transactions on Parallel and Distributed Systems. 2017. vol. 28. no. 4. pp. 919–933.
27. Shu X., Smiy J., Yao D., Lin H. Massive Distributed and Parallel Log Analysis For Organizational Security // IEEE Globecom Workshops. December 2013. pp. 194–199.
28. Leveraging a Big Data Model in the Network Monitoring Domain. White Paper. VSS Monitoring. 2014. URL: http://www.vssmonitoring.com/ resources/whitepapers/Leveraging-a-BD-Model-Whitepaper.pdf (дата обращения: 03.12.2016).
29. Dumitras T., Shou D. Toward a Standard Benchmark for Computer Security Research: the Worldwide Intelligence Network Environment (WINE) // Proceedings of the First Workshop on Building Analysis Datasets and Gathering Experience Returns for Security (BADGERS’11). 2011. pp. 89–96.
30. Giura P., Wang W. Using Large Scale Distributed Computing to Unveil Advanced Persistent Threats // Science Journal. 2013. vol. 1. no. 3. pp. 93–105.
2. Котенко И.В., Саенко И.Б. SIEM-системы для управления информацией и событиями безопасности // Защита информации. Инсайд. 2012. № 5(47). С. 54–65.
3. Котенко И.В., Саенко И.Б. Архитектура системы интеллектуальных сервисов защиты информации в критически важных инфраструктурах // Труды СПИИРАН. 2013. № 1(24). С. 21–40.
4. Kotenko I., Polubelova O., Saenko I. Data Repository for Security Information and Event Management in Service Infrastructures // Proceedings of the International Conference on Security and Cryptography (SECRYPT 2012). 2012. pp. 308–313.
5. Котенко И.В., Саенко И.Б., Юсупов Р.М. Новое поколение систем мониторинга и управления инцидентами безопасности // Научно-технические ведомости СПбГПУ. Информатика. Телекоммуникации. Управление. 2014. № 3(198). C. 7–18.
6. Котенко И.В., Саенко И.Б. Построение системы интеллектуальных сервисов для защиты информации в условиях кибернетического противоборства // Труды СПИИРАН. 2012. № 3(22). С. 84–100.
7. Big Data Analytics for Security Intelligence. Cloud Security Alliance. 2013. pp. 1–12.
8. Zuech R., Khoshgoftaar T.M., Wald R. Intrusion detection and Big Heterogeneous Data: a Survey // Journal of Big Data. 2015. pp. 1–42.
9. Apache Hadoop 2.7.2. URL: http://hadoop.apache.org/docs/current/ (дата обращения: 20.02.2017).
10. Dean J., Ghemawat S. MapReduce: Simplified Data Processing on Large clusters // Communications of the ACM. 2008. vol. 51. no. 1. pp. 107–113.
11. Shim K. MapReduce algorithms for big data analysis // International Workshop on Databases in Networked Information Systems. 2013. LNCS 7813. pp. 44–48.
12. Apache Storm. URL: http://storm.apache.org/ (дата обращения 20.02.2017).
13. Santos O. Network Security with NetFlow and IPFIX: Big Data Analytics for Information Security // Cisco Press. 2015. 320 p.
14. Kavanagh K.M., Rochford O., Bussa T. Magic Quadrant for SIEM // Gartner. 2016.
15. HPE Security ArcSight ESM. URL: https://saas.hpe.com/en-us/software/siem-security-information-event-management (дата обращения: 20.02.2017).
16. IBM Security QRadar SIEM. URL: http://www-03.ibm.com/software/products/en/qradar-siem (дата обращения: 20.02.2017).
17. Alienvault OSSIM. URL: https://www.alienvault.com/products/ossim (дата обращения: 20.02.2017).
18. Splunk Enterprise. URL: https://www.splunk.com/ru_ru/products/splunk-enterprise.html (дата обращения: 20.02.2017).
19. ManageEngine EventLog Analyzer. URL: https://www.manageengine.com/products/eventlog/ (дата обращения: 20.02.2017).
20. Cisco Systems OpenSOC. URL: https://github.com/OpenSOC/ (дата обращения: 20.02.2017).
21. Apache Metron. URL: http://metron.incubator.apache.org/ (дата обращения: 20.02.2017).
22. GitHub Apache Metron. URL: https://github.com/apache/incubator-metron/pulls (дата обращения: 20.02.2017).
23. Graylog. URL: https://www.graylog.org/ (дата обращения: 20.02.2017).
24. Documentation Graylog. URL: http://docs.graylog.org/en/2.2/pages/configuration/elasticsearch.html (дата обращения: 20.02.2017).
25. Elastic Stack. URL: https://www.elastic.co/ (дата обращения: 20.02.2017).
26. Chen J. et al. A Parallel Random Forest Algorithm for Big Data in a Spark Cloud Computing Environment // IEEE Transactions on Parallel and Distributed Systems. 2017. vol. 28. no. 4. pp. 919–933.
27. Shu X., Smiy J., Yao D., Lin H. Massive Distributed and Parallel Log Analysis For Organizational Security // IEEE Globecom Workshops. December 2013. pp. 194–199.
28. Leveraging a Big Data Model in the Network Monitoring Domain. White Paper. VSS Monitoring. 2014. URL: http://www.vssmonitoring.com/ resources/whitepapers/Leveraging-a-BD-Model-Whitepaper.pdf (дата обращения: 03.12.2016).
29. Dumitras T., Shou D. Toward a Standard Benchmark for Computer Security Research: the Worldwide Intelligence Network Environment (WINE) // Proceedings of the First Workshop on Building Analysis Datasets and Gathering Experience Returns for Security (BADGERS’11). 2011. pp. 89–96.
30. Giura P., Wang W. Using Large Scale Distributed Computing to Unveil Advanced Persistent Threats // Science Journal. 2013. vol. 1. no. 3. pp. 93–105.
Опубликован
2017-10-12
Как цитировать
Котенко, И. В., Кулешов, А. А., & Ушаков, И. А. (2017). Система сбора, хранения и обработки информации и событий безопасности на основе средств Elastic Stack. Труды СПИИРАН, 5(54), 5-34. https://doi.org/10.15622/sp.54.1
Раздел
Информационная безопасность
Авторы, которые публикуются в данном журнале, соглашаются со следующими условиями:
Авторы сохраняют за собой авторские права на работу и передают журналу право первой публикации вместе с работой, одновременно лицензируя ее на условиях Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным указанием авторства данной работы и ссылкой на оригинальную публикацию в этом журнале.
Авторы сохраняют право заключать отдельные, дополнительные контрактные соглашения на неэксклюзивное распространение версии работы, опубликованной этим журналом (например, разместить ее в университетском хранилище или опубликовать ее в книге), со ссылкой на оригинальную публикацию в этом журнале.
Авторам разрешается размещать их работу в сети Интернет (например, в университетском хранилище или на их персональном веб-сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению, а также к большему количеству ссылок на данную опубликованную работу (Смотри The Effect of Open Access).
