6大开源SIEM工具，安全信息和事件管理的“利器”

1.OSSIM

OSSIM将本地日志存储和关联功能与众多开源项目结合在一起，以构建完整的SIEM。OSSIM中包含的开源项目列表包括FProbe，Munin，Nagios，NFSen / NFDump，OpenVAS，OSSEC，PRADS，Snort，Suricata和TCPTrack。

OpenVAS的引入特别引起用户的兴趣，因为OpenVAS通过将IDS日志与漏洞扫描结果关联起来用于漏洞评估。

2.ELK Stack

Logstash是一个日志聚合器，可以收集和处理来自几乎任何数据源的数据。它可以过滤，处理，关联并且通常增强它收集的任何日志数据。Elasticsearch是存储引擎，是其时间序列数据存储和索引领域的最佳解决方案之一。 Kibana是堆栈中的可视化层，它是一个非常强大的可视化层。Beats包括各种轻量级日志传送，负责收集数据并通过Logstash将其发送到堆栈。

3.OSSEC

OSSEC是一种流行的开源主机入侵检测系统（HIDS），可与各种操作系统（包括Linux，Windows，MacOS，Solaris以及OpenBSD和FreeBSD）协同工作。

OSSEC本身分为两个主要组件：负责收集来自不同数据源的日志数据的管理器（或服务器），以及负责收集和处理日志并使其更易于分析的应用程序。

OSSEC直接监视主机上的多个参数。这包括日志文件，文件完整性，rootkit检测和Windows注册表监视。OSSEC可以从其他网络服务（包括大多数流行的开源FTP，邮件，DNS，数据库，Web，防火墙和基于网络的IDS解决方案）执行日志分析。OSSEC还可以分析来自许多商业网络服务和安全解决方案的日志。

4.Apache Metron

从架构的角度来看，Metron依靠其他Apache项目来收集，传输和处理安全数据。 Apache Nifi和Metron探针从安全数据源收集数据，然后将这些数据推送到单独的Apache Kafka中。事件随后被解析并归一化为标准的JSON，然后被强化并在某些情况下被标记。如果确定某些事件类型，则可以触发警报。为了可视化，使用Kibana（尽管是过时的版本）

对于存储，事件被索引并保存在Apache Hadoop中，并且基于企业的首选项在Elasticsearch或Solr中保存。在这些数据的基础上，Metron提供了一个界面，用于集中分析数据，并提供警报摘要和丰富的数据。

5.SIEMonster

从功能的角度来看，SIEMonster包含了我们希望获得的所有好东西，每一种都可以通过主菜单访问 – 用于搜索和可视化数据的Kibana UI，用于威胁情报的UI，用于创建和管理基于事件的通知的警报。其他集成的开源工具是DRADIS，OpenAudit和FIR。

SIEMonster可以使用Docker容器部署在云上，这意味着跨系统更容易移植，但也可以在VM和裸机（Mac，Ubuntu，CentOS和Debian）上移植。文档非常丰富，但缺少在线版本。

6.Prelude

Prelude接受来自多个来源的日志和事件，并使用入侵检测消息交换格式（IDMEF）将它们全部存储在单个位置。它提供过滤，关联，警报，分析和可视化功能。