Разработка учебной SIEM
Источник вдохновения — статья «Глубины SIEM: корреляции „из коробки“».
Цель: разработать программную систему (типа Security information and event management), демонстрирующую возможности сбора и анализа событий безопасности (логи МЭ, АВ) с элементами слабого ИИ.
Требования к системе:
— модульность (внешний API);
— в основе конечных автоматов (ДРАКОН-схемы);
— в основе система управления знаниями (вместо правил ЕСЛИ, ТО);
— анализ поведения пользователя (выявление аномальной активности на хосте) [тут];
— активация правил МЭ;
— сигнатуры и поддержка SIGMA правил;
— интеграция алгоритмов машинного обучения и неглубоких нейронных сетей;
— прогнозная аналитика;
— веб-интерфейс (Flask, Django);
— elastic stack (noSQL);
— ... на этом фантазия пока закончилась.
Язык реализации: Python 3.7 и выше.
Платформа: ОС Debian
Кодовое название системы: pySIEM
Аналоги в РФ (буду следить за успехами):
— Ankey ASAP;
— кто-то еще.
Пишут, что можно за 1 день разработать SIEM.
Более подробное описание системы будет в Вики.
Сравнение SIEM-систем:
— Сравнение SIEM-систем. Часть 1
— Сравнение SIEM-систем. Часть 2