移动和云计算的采用扩大了现代企业的安全范围,许多企业对其IT基础设施有了更深入的了解,以监控恶意活动或软件。这些趋势带来越来越多的威胁数据需要评估。将这些数据转化为有意义的情报需要超越传统安全信息和事件管理(SIEM)功能的工具来集成和分析不同类型的结构化和非结构化数据。 分析威胁数据可能是一项巨大的开支,尤其是对于中小型企业而言。除了软件许可费外,还有硬件、人员和培训方面的成本。但这里有一些免费工具可以提供帮助。 思科的OpenSOC 思科系统高级服务经理PabloSalazar表示:“我们不再依赖传统的威胁检测方法。”今天的安全需要使用大数据分析;去年11月,思科发布了OpenSOC开源安全分析框架。OpenSOC是一个异常检测和事件分析平台,集成了Hadoop生态系统的许多部分(包括Storm、Kafka和Elasticsearch),提供完整的数据包捕获、索引、存储、数据加固以及流和批处理。提供实时搜索和遥测聚合。此处提供免费工具(http://opensoc.github.io)。 CommunityEditionInfinit.e IKANOW的Infinit.e开源安全分析工具与第三方应用集成,提供摄取、搜索、数据小部件和导出等功能。免费社区版实际上是Infinit.e企业版的简化版。它可以收集、存储、处理、检索、分析和显示非结构化文档以及结构化记录。来自所有来源的数据被转换成一个单一的数据模型,以便可以对整个数据集执行公共查询、评分算法和数据分析等任务。社区版可在此处获得(http://www.ikanow.com/downloads/)。 Splunk Splunk支持数据发现,通过数据索引功能和谷歌首创的MapReduce功能可以分析非常大的数据集。Splunk从大多数来源收集非规范化数据,以对安全事件进行数据分析和统计分析。它允许威胁分析师解释威胁情报数据并识别和记录威胁。可在此处(http://www.splunk.com/en_us/download.html)下载。 AlienVaultOpenThreatExchange(OTX) AlienVaultOTX本身就是一个论坛,而不是软件工具:它让您可以免费访问全球威胁研究人员和安全专家社区。该平台提供社区生成的威胁数据,支持协作研究,并使用来自多个数据源的威胁态势自动更新安全基础设施的过程。论坛成员可以积极讨论、研究、证实和分享最新的威胁数据、趋势和技术。你可以在这里加入(https://otx.alienvault.com)。 构建开源威胁情报系统 印度共生国际大学共生信息技术中心的研究人员提出了一个威胁情报系统模型来解决这一需求:利用具有成本效益的动态解决方案来对抗复杂的网络威胁。 SabariGirishNair和PritiPuri博士写道:“我们的解决方案需要简单,但易于构建和实施。”这种模型的一部分包括:公共数据源和开源数据库管理系统,用于存储安全日志和高级持续威胁的配置文件信息,SpagoBI开源商业智能套件作为分析引擎。 该解决方案可能不如专有商业系统高效或完全自动化,但它几乎免费且易于更改,两人说。
