ብዙም ሳይቆይ ስፕሉንክ ሌላ የፍቃድ አሰጣጥ ሞዴል አክሏል - በመሠረተ ልማት ላይ የተመሰረተ ፈቃድ (). በ Splunk አገልጋዮች ስር የሲፒዩ ኮሮች ብዛት ይቆጥራሉ። ከ Elastic Stack ፈቃድ አሰጣጥ ጋር በጣም ተመሳሳይ፣ የ Elasticsearch ኖዶችን ቁጥር ይቆጥራሉ። የSIEM ስርዓቶች በባህላዊ ውድ ናቸው እና ብዙ በመክፈል እና ብዙ በመክፈል መካከል ምርጫ አለ። ነገር ግን, አንዳንድ ብልሃቶችን ከተጠቀሙ, ተመሳሳይ መዋቅርን መሰብሰብ ይችላሉ.
አስፈሪ ይመስላል, ነገር ግን አንዳንድ ጊዜ ይህ አርክቴክቸር በምርት ውስጥ ይሰራል. ውስብስብነት ደህንነትን ይገድላል, እና በአጠቃላይ, ሁሉንም ነገር ይገድላል. እንደ እውነቱ ከሆነ, ለእንደዚህ አይነት ጉዳዮች (የባለቤትነት ወጪን ስለመቀነስ እየተናገርኩ ነው) አንድ ሙሉ የስርዓተ-ፆታ ክፍል አለ - ማዕከላዊ ሎግ ማኔጅመንት (CLM). ስለ እሱ , ዝቅተኛ ዋጋ ያላቸውን ግምት ውስጥ በማስገባት. ምክሮቻቸው እነኚሁና፡-
- የበጀት እና የሰው ሃይል ገደቦች፣የደህንነት ክትትል መስፈርቶች እና ልዩ የአጠቃቀም ኬዝ መስፈርቶች ሲኖሩ የCLM ችሎታዎችን እና መሳሪያዎችን ይጠቀሙ።
- የሲኢኤም መፍትሔ በጣም ውድ ወይም ውስብስብ ሆኖ ሲገኝ የምዝግብ ማስታወሻዎችን የመሰብሰብ እና የመተንተን ችሎታዎችን ለማሳደግ CLMን ይተግብሩ።
- የደህንነት ክስተት ምርመራ/ትንተና ለማሻሻል እና የአደጋ አደንን ለመደገፍ በCLM መሳሪያዎች ቀልጣፋ ማከማቻ፣ ፈጣን ፍለጋ እና ተለዋዋጭ እይታ ጋር ኢንቨስት ያድርጉ።
- የCLM መፍትሄን ከመተግበሩ በፊት የሚመለከታቸው ሁኔታዎች እና ታሳቢዎች ግምት ውስጥ መግባታቸውን ያረጋግጡ።
በዚህ ጽሑፍ ውስጥ ስለ ፈቃድ አሰጣጥ ዘዴዎች ልዩነቶች እንነጋገራለን ፣ CLM ን እንረዳለን እና ስለ አንድ የተወሰነ የዚህ ክፍል ስርዓት እንነጋገራለን - . በቆርጡ ስር ዝርዝሮች.
በዚህ ጽሑፍ መጀመሪያ ላይ ስለ ስፕላንክ ፈቃድ አሰጣጥ አዲስ አቀራረብ ተናገርኩ። የፈቃድ ዓይነቶች ከመኪና ኪራይ ዋጋ ጋር ሊመሳሰሉ ይችላሉ። ሞዴሉ ከሲፒዩ ብዛት አንፃር ያልተገደበ ማይል እና ቤንዚን ያለው ኢኮኖሚያዊ መኪና እንደሆነ እናስብ። ያለ ርቀት ገደብ ወደ የትኛውም ቦታ መሄድ ይችላሉ, ነገር ግን በፍጥነት መሄድ አይችሉም, እና በዚህ መሰረት, በቀን ብዙ ኪሎ ሜትሮችን ይሸፍናል. የውሂብ ፍቃድ መስጠት በየቀኑ የሚሌጅ ሞዴል ካለው የስፖርት መኪና ጋር ተመሳሳይ ነው። በረጅም ርቀት ላይ በግዴለሽነት ማሽከርከር ይችላሉ፣ ነገር ግን የየቀኑን ማይል ገደብ ለማለፍ ተጨማሪ መክፈል ይኖርብዎታል።
ከጭነት-ተኮር ፍቃድ ተጠቃሚ ለመሆን፣ የሚቻለው ዝቅተኛው የሲፒዩ ኮሮች እና ጂቢ የውሂብ ሬሾ ሊኖርዎት ይገባል። በተግባር ይህ ማለት እንደዚህ ያለ ነገር ማለት ነው-
- ለተጫነው መረጃ በጣም ትንሹ ሊሆኑ የሚችሉ መጠይቆች ብዛት።
- የመፍትሄው ሊሆኑ የሚችሉ ተጠቃሚዎች ትንሹ ቁጥር።
- በተቻለ መጠን ቀላል እና መደበኛ ውሂብ (ስለዚህ በቀጣይ የውሂብ ሂደት እና ትንተና ላይ የሲፒዩ ዑደቶችን ማባከን አያስፈልግም)።
እዚህ ላይ በጣም ችግር ያለበት ነገር የተለመደው መረጃ ነው. SIEM በድርጅቱ ውስጥ ያሉ የሁሉም ምዝግብ ማስታወሻዎች ሰብሳቢ እንዲሆን ከፈለጉ፣ በመተንተን እና በድህረ-ሂደት ላይ ከፍተኛ ጥረት ይጠይቃል። እንዲሁም በጭነት ውስጥ የማይፈርስ የስነ-ህንፃ ንድፍ ማሰብ እንደሚያስፈልግዎ አይርሱ, ማለትም. ተጨማሪ አገልጋዮች እና ስለዚህ ተጨማሪ ፕሮሰሰሮች ያስፈልጋሉ።
የውሂብ መጠን ፍቃድ ወደ SIEM ማው ውስጥ በተላከው የውሂብ መጠን ላይ የተመሰረተ ነው. ተጨማሪ የመረጃ ምንጮች በሩብል (ወይም ሌላ ምንዛሬ) ይቀጣሉ እና ይሄ እርስዎ በትክክል መሰብሰብ ያልፈለጉትን እንዲያስቡ ያደርግዎታል። ይህንን የፍቃድ አሰጣጥ ሞዴል ለማለፍ ውሂቡን ወደ SIEM ስርዓት ከመውጣቱ በፊት መንከስ ይችላሉ። መርፌ ከመውሰዱ በፊት የዚህ ዓይነቱ መደበኛነት አንዱ ምሳሌ ላስቲክ ስታክ እና አንዳንድ ሌሎች የንግድ SIEMዎች ነው።
በውጤቱም, በመሠረተ ልማት ፈቃድ መስጠት ውጤታማ የሚሆነው በትንሽ ቅድመ-ሂደት የተወሰኑ መረጃዎችን ብቻ መሰብሰብ ሲፈልጉ እና ፍቃድ በድምጽ ሁሉንም ነገር ለመሰብሰብ አይፈቅድልዎትም. የመካከለኛው መፍትሄ ፍለጋ ወደሚከተሉት መመዘኛዎች ይመራል.
- የውሂብ ማሰባሰብን እና መደበኛነትን ቀለል ያድርጉት።
- ጫጫታ እና በጣም አስፈላጊ ያልሆኑ መረጃዎችን ማጣራት።
- የመተንተን ችሎታዎችን መስጠት.
- የተጣራ እና መደበኛ ውሂብ ወደ SIEM ይላኩ።
በውጤቱም፣ ኢላማ ሲኢም ሲስተሞች በማቀናበር ላይ ተጨማሪ የሲፒዩ ሃይልን ማባከን አያስፈልጋቸውም እና በጣም አስፈላጊ የሆኑትን ክስተቶች ብቻ በመለየት እየተከሰተ ያለውን ታይነት ሳይቀንስ ተጠቃሚ ሊሆኑ ይችላሉ።
በሐሳብ ደረጃ፣ እንዲህ ዓይነቱ የመሃል ዌር መፍትሔ እንዲሁም አደገኛ ሊሆኑ የሚችሉ እንቅስቃሴዎችን ተፅእኖ ለመቀነስ እና አጠቃላይ የዝግጅቱን ፍሰት ወደ ጠቃሚ እና ቀላል የውሂብ ብዛት ወደ ሲኢም ለማዋሃድ በእውነተኛ ጊዜ የማወቅ እና ምላሽ ችሎታዎችን መስጠት አለበት። ደህና ፣ ከዚያ SIEM ተጨማሪ ውህዶችን ፣ ግንኙነቶችን እና የማንቂያ ሂደቶችን ለመፍጠር ጥቅም ላይ ሊውል ይችላል።
ያ ተመሳሳይ ሚስጥራዊ መካከለኛ መፍትሔ በጽሁፉ መጀመሪያ ላይ ከጠቀስኩት CLM በስተቀር ሌላ አይደለም። ጋርትነር ይህንን ያየዋል፡-
አሁን InTrust የጋርትነር ምክሮችን እንዴት እንደሚያከብር ለማወቅ መሞከር ይችላሉ፡
- ማከማቻ ለሚያስፈልጋቸው ጥራዞች እና የውሂብ ዓይነቶች ቀልጣፋ ማከማቻ።
- ከፍተኛ የፍለጋ ፍጥነት.
- የማየት ችሎታዎች መሠረታዊ CLM የሚጠይቁ አይደሉም፣ ነገር ግን ማስፈራሪያ አደን ለደህንነት እና መረጃ ትንተና እንደ BI ስርዓት ነው።
- ጥሬ መረጃን ጠቃሚ በሆነ አውድ መረጃ (እንደ ጂኦግራፊያዊ አካባቢ እና ሌሎች) ለማበልጸግ የውሂብ ማበልጸግ።
Quest InTrust የራሱን የማከማቻ ስርዓት እስከ 40፡1 የውሂብ መጭመቂያ እና ከፍተኛ ፍጥነት ማባዛትን ይጠቀማል፣ ይህም ለ CLM እና SIEM ስርዓቶች የማከማቻ ወጪን ይቀንሳል።
የአይቲ ደህንነት ፍለጋ ኮንሶል ከጎግል መሰል ፍለጋ ጋር
ልዩ በድር ላይ የተመሰረተ የአይቲ ደህንነት ፍለጋ (ITSS) ሞጁል በInTrust ማከማቻ ውስጥ ካለው የክስተት ውሂብ ጋር ሊገናኝ እና ለስጋቶች ፍለጋ ቀላል በይነገጽ ያቀርባል። በይነገጹ እንደ ጉግል ለክስተት ምዝግብ ማስታወሻ እስኪሰራ ድረስ ቀለል ይላል። ITSS ለጥያቄ ውጤቶች የጊዜ መስመሮችን ይጠቀማል፣ የክስተት መስኮችን ማዋሃድ እና ማቧደን እና በአስጊ አደን ላይ በብቃት ይረዳል።
InTrust የዊንዶውስ ክስተቶችን በደህንነት መለያዎች፣ የፋይል ስሞች እና የደህንነት መግቢያ መለያዎችን ያበለጽጋል። ከተለያዩ ምንጮች (የዊንዶውስ ቤተኛ ክስተቶች ፣ የሊኑክስ ሎግ ወይም syslog) መረጃ በአንድ ቅርጸት እና በአንድ ላይ እንዲታይ InTrust ክስተቶችን ወደ ቀላል W6 ንድፍ (ማን ፣ ምን ፣ የት ፣ መቼ ፣ ከማን እና ከየት) መደበኛ ያደርገዋል ። የፍለጋ ኮንሶል.
InTrust በአጠራጣሪ እንቅስቃሴ የሚደርሰውን ጉዳት ለመቀነስ እንደ ኢዲአር አይነት ስርዓት የሚያገለግሉ የእውነተኛ ጊዜ ማንቂያ፣ የማወቅ እና ምላሽ ችሎታዎችን ይደግፋል። አብሮገነብ የደህንነት ደንቦች የሚከተሉትን ስጋቶች ፈልጎ ያገኙታል ነገር ግን በእነዚህ ብቻ አይወሰኑም።
- የይለፍ ቃል-የሚረጭ.
- Kerberoasting.
- አጠራጣሪ የPowerShell እንቅስቃሴ፣ እንደ ሚሚካትዝ አፈፃፀም።
- አጠራጣሪ ሂደቶች፣ ለምሳሌ LokerGoga ransomware።
- የ CA4FS ምዝግብ ማስታወሻዎችን በመጠቀም ምስጠራ።
- በስራ ቦታዎች ላይ ባለው ልዩ መለያ መግባቱ።
- የይለፍ ቃል መገመት ጥቃቶች።
- የአካባቢ የተጠቃሚ ቡድኖች አጠራጣሪ አጠቃቀም።
አሁን ስለ ችሎታዎቹ እንዲሰማዎት የ InTrust እራሱን ጥቂት ቅጽበታዊ ገጽ እይታዎችን አሳይሃለሁ።
ሊሆኑ የሚችሉ ተጋላጭነቶችን ለመፈለግ አስቀድሞ የተገለጹ ማጣሪያዎች
ጥሬ መረጃን ለመሰብሰብ የማጣሪያዎች ስብስብ ምሳሌ
ለአንድ ክስተት ምላሽ ለመፍጠር መደበኛ መግለጫዎችን የመጠቀም ምሳሌ
ምሳሌ ከPowerShell የተጋላጭነት ፍለጋ ህግ ጋር
አብሮገነብ የእውቀት መሰረት ከተጋላጭነት መግለጫዎች ጋር
InTrust ከላይ እንደገለጽኩት እንደ ገለልተኛ መፍትሄ ወይም እንደ የሲኢኤም ሲስተም አካል ሆኖ የሚያገለግል ኃይለኛ መሳሪያ ነው። ምናልባት የዚህ መፍትሔ ዋነኛ ጥቅም ከተጫነ በኋላ ወዲያውኑ መጠቀም መጀመር ይችላሉ, ምክንያቱም InTrust ማስፈራሪያዎችን ለመለየት እና ለእነሱ ምላሽ ለመስጠት (ለምሳሌ ተጠቃሚን ለማገድ) ትልቅ የሕግ ቤተ-መጽሐፍት አለው።
በጽሁፉ ውስጥ ስለ ቦክስ ውህደቶች አልተናገርኩም. ነገር ግን ከተጫነ በኋላ ወዲያውኑ ክስተቶችን ወደ Splunk፣ IBM QRadar፣ Microfocus Arcsight ወይም በዌብ መንጠቆ ወደ ሌላ ማንኛውም ስርዓት መላክን ማዋቀር ይችላሉ። ከታች ከInTrust ክስተቶች ጋር የኪባና በይነገጽ ምሳሌ ነው። ቀድሞውንም ከላስቲክ ቁልል ጋር ውህደት አለ እና ነፃውን የላስቲክ ስሪት ከተጠቀሙ InTrust ስጋቶችን ለመለየት፣ ንቁ ማንቂያዎችን ለመስራት እና ማሳወቂያዎችን ለመላክ እንደ መሳሪያ ሊያገለግል ይችላል።
ጽሑፉ ስለዚህ ምርት ትንሽ ሀሳብ እንደሰጠ ተስፋ አደርጋለሁ። ለሙከራ ወይም የሙከራ ፕሮጀክት ለማካሄድ InTrust ን ለመስጠት ዝግጁ ነን። ማመልከቻው በ ላይ መተው ይቻላል በዌብሳይታችን ላይ.
ስለ የመረጃ ደህንነት ሌሎች ጽሑፎቻችንን ያንብቡ፡-
(ታዋቂ መጣጥፍ)
ምንጭ: hab.com