Компания Cisco открыла под свободной лицензией фреймворк для анализа безопасности

Американская компания Cisco анонсировала доступность под свободной лицензией Apache 2.0 фреймворка, который интегрирует инструменты аналитики данных в операции по обеспечению безопасности.

«Фреймворк OpenSOC помогает компаниям объединить большие данные с их технической стратегией по обеспечению безопасности, предлагается задействовать фреймворк для обнаружения аномалий и инцидентов применимый к проблеме потери данных», — пишет в блоге Пабло Салазар (Pablo Salazar) из Cisco. OpenSOC задействует некоторые свободные инструменты Hadoop: Kafka, Storm и Elasticsearch для упрощения поиска по большим массивам данных.

OpenSOC: большие данные и аналитика безопасности / Иллюстрация с сайта Opensoc.Github.Io

Используя их возможности, OpenSOC выполняет индексацию захвата всех пакетов, хранит, дополняет данные, выполняет групповую обработку, осуществляет поиск и агрегацию телеметрии в реальном времени. Пабло Салазар утверждает, что фреймворк позволяет организациям собирать, хранить и нормализовать телеметрию безопасности на высоких скоростях, а затем передавать данные туда, где выполняется аналитика. Также OpenSOC может быть использован для обнаружения корреляции и обработки каналов угроз и других источников информации, таких как DNS и геоданные.

Для анализа OpenSOC предоставляет отчёты по сигналам тревоги, которые включают в себя и информацию, и угрозы, и продвинутый поиск по пакетам с возможностью перемещаться между различными инструментами. Таким образом, инструмент от Cisco обеспечивает единый интерфейс для работы, вместо огромного количества неструктурированных данных. Фреймворк может быть подстроен под организации и сети.

Никита Лялин по материалам Threatpost.Com.