ProHoster > بلوق > إدارة > كيفية تقليل تكلفة ملكية نظام SIEM ولماذا تحتاج إلى إدارة السجلات المركزية (CLM)

كيفية تقليل تكلفة ملكية نظام SIEM ولماذا تحتاج إلى إدارة السجلات المركزية (CLM)

منذ وقت ليس ببعيد، أضافت Splunk نموذج ترخيص آخر - الترخيص القائم على البنية التحتية (الآن هناك ثلاثة منهم). يقومون بحساب عدد مراكز وحدة المعالجة المركزية ضمن خوادم Splunk. تشبه إلى حد كبير ترخيص Elastic Stack، فهي تحسب عدد عقد Elasticsearch. تعد أنظمة SIEM باهظة الثمن تقليديًا وعادةً ما يكون هناك خيار بين دفع الكثير ودفع الكثير. ولكن، إذا كنت تستخدم بعض البراعة، يمكنك تجميع هيكل مماثل.

كيفية تقليل تكلفة ملكية نظام SIEM ولماذا تحتاج إلى إدارة السجلات المركزية (CLM)

يبدو الأمر مخيفًا، لكن في بعض الأحيان تعمل هذه البنية في الإنتاج. التعقيد يقتل الأمن، وبشكل عام يقتل كل شيء. في الواقع، في مثل هذه الحالات (أنا أتحدث عن تقليل تكلفة الملكية) هناك فئة كاملة من الأنظمة - إدارة السجل المركزي (CLM). حوله يكتب جارتنرمعتبرا أنها أقل من قيمتها الحقيقية. وهنا توصياتهم:

  • استخدم إمكانات وأدوات CLM عندما تكون هناك قيود على الميزانية والتوظيف، ومتطلبات مراقبة الأمان، ومتطلبات حالة الاستخدام المحددة.
  • قم بتنفيذ CLM لتحسين قدرات جمع السجلات وتحليلها عندما يكون حل SIEM مكلفًا للغاية أو معقدًا.
  • استثمر في أدوات CLM ذات التخزين الفعال والبحث السريع والتصور المرن لتحسين التحقيق/تحليل الحوادث الأمنية ودعم البحث عن التهديدات.
  • تأكد من أخذ العوامل والاعتبارات المعمول بها في الاعتبار قبل تنفيذ حل CLM.

في هذه المقالة سنتحدث عن الاختلافات في طرق الترخيص، وسوف نفهم CLM ونتحدث عن نظام معين من هذه الفئة - كويست إنترست. التفاصيل تحت القطع.

في بداية هذه المقالة، تحدثت عن النهج الجديد لترخيص Splunk. يمكن مقارنة أنواع التراخيص بأسعار تأجير السيارات. لنتخيل أن النموذج من حيث عدد وحدات المعالجة المركزية هو سيارة اقتصادية ذات عدد غير محدود من الأميال والبنزين. يمكنك الذهاب إلى أي مكان دون قيود المسافة، ولكن لا يمكنك الذهاب بسرعة كبيرة، وبالتالي قطع عدة كيلومترات في اليوم. يشبه ترخيص البيانات السيارة الرياضية بنموذج الأميال اليومية. يمكنك القيادة بتهور لمسافات طويلة، ولكن سيتعين عليك دفع المزيد مقابل تجاوز الحد الأقصى لعدد الأميال اليومية.

كيفية تقليل تكلفة ملكية نظام SIEM ولماذا تحتاج إلى إدارة السجلات المركزية (CLM)

للاستفادة من الترخيص القائم على التحميل، يجب أن يكون لديك أقل نسبة ممكنة من مراكز وحدة المعالجة المركزية لكل جيجابايت من البيانات المحملة. عمليًا، هذا يعني شيئًا مثل:

  • أصغر عدد ممكن من الاستعلامات على البيانات المحملة.
  • أقل عدد ممكن من مستخدمي الحل.
  • بيانات بسيطة وموحدة قدر الإمكان (بحيث لا تكون هناك حاجة لإضاعة دورات وحدة المعالجة المركزية في معالجة البيانات وتحليلها لاحقًا).

الشيء الأكثر إشكالية هنا هو البيانات الطبيعية. إذا كنت تريد أن يكون SIEM مجمعًا لجميع السجلات في المؤسسة، فإن ذلك يتطلب قدرًا كبيرًا من الجهد في التحليل والمعالجة اللاحقة. لا تنس أنك تحتاج أيضًا إلى التفكير في بنية لن تنهار تحت الحمل، أي. ستكون هناك حاجة إلى خوادم إضافية وبالتالي معالجات إضافية.

يعتمد الترخيص المجمع للبيانات على كمية البيانات التي يتم إرسالها إلى مستودع SIEM. مصادر البيانات الإضافية يعاقب عليها بالروبل (أو أي عملة أخرى) وهذا يجعلك تفكر فيما لا تريد جمعه حقًا. للتغلب على نموذج الترخيص هذا، يمكنك استخلاص البيانات قبل إدخالها في نظام SIEM. أحد الأمثلة على هذا التطبيع قبل الحقن هو Elastic Stack وبعض أنظمة SIEM التجارية الأخرى.

ونتيجة لذلك، أصبح الترخيص حسب البنية التحتية فعالاً عندما تحتاج إلى جمع بيانات معينة فقط مع الحد الأدنى من المعالجة المسبقة، ولن يسمح لك الترخيص حسب الحجم بجمع كل شيء على الإطلاق. إن البحث عن حل وسط يؤدي إلى المعايير التالية:

  • تبسيط تجميع البيانات وتطبيعها.
  • تصفية البيانات الصاخبة والأقل أهمية.
  • توفير إمكانيات التحليل.
  • إرسال البيانات التي تمت تصفيتها وتطبيعها إلى SIEM

ونتيجة لذلك، لن تحتاج أنظمة SIEM المستهدفة إلى إهدار طاقة إضافية لوحدة المعالجة المركزية في المعالجة ويمكنها الاستفادة من تحديد الأحداث الأكثر أهمية فقط دون تقليل إمكانية رؤية ما يحدث.

ومن الناحية المثالية، يجب أن يوفر حل البرامج الوسيطة هذا أيضًا إمكانات الكشف والاستجابة في الوقت الفعلي التي يمكن استخدامها لتقليل تأثير الأنشطة التي يحتمل أن تكون خطرة وتجميع التدفق الكامل للأحداث في كمية مفيدة وبسيطة من البيانات نحو SIEM. حسنًا، يمكن استخدام SIEM لإنشاء مجموعات وارتباطات وعمليات تنبيه إضافية.

نفس الحل الوسيط الغامض ليس سوى CLM، الذي ذكرته في بداية المقال. هكذا ترى جارتنر الأمر:

كيفية تقليل تكلفة ملكية نظام SIEM ولماذا تحتاج إلى إدارة السجلات المركزية (CLM)

يمكنك الآن محاولة معرفة كيفية امتثال InTrust لتوصيات Gartner:

  • تخزين فعال لحجم وأنواع البيانات التي يجب تخزينها.
  • سرعة بحث عالية.
  • قدرات التصور ليست هي ما يتطلبه CLM الأساسي، ولكن صيد التهديدات يشبه نظام ذكاء الأعمال للأمان وتحليلات البيانات.
  • إثراء البيانات لإثراء البيانات الأولية ببيانات سياقية مفيدة (مثل تحديد الموقع الجغرافي وغيرها).

تستخدم Quest InTrust نظام التخزين الخاص بها مع ما يصل إلى 40:1 من ضغط البيانات وإلغاء البيانات المكررة بسرعة عالية، مما يقلل من حمل التخزين لأنظمة CLM وSIEM.

كيفية تقليل تكلفة ملكية نظام SIEM ولماذا تحتاج إلى إدارة السجلات المركزية (CLM)
وحدة تحكم بحث أمن تكنولوجيا المعلومات مع بحث يشبه جوجل

يمكن لوحدة بحث أمن تكنولوجيا المعلومات (ITSS) المتخصصة المستندة إلى الويب الاتصال ببيانات الأحداث في مستودع InTrust وتوفر واجهة بسيطة للبحث عن التهديدات. تم تبسيط الواجهة إلى درجة أنها تعمل مثل Google فيما يتعلق ببيانات سجل الأحداث. يستخدم ITSS الجداول الزمنية لنتائج الاستعلام، ويمكنه دمج حقول الأحداث وتجميعها، ويساعد بشكل فعال في البحث عن التهديدات.

يعمل InTrust على إثراء أحداث Windows بمعرفات الأمان وأسماء الملفات ومعرفات تسجيل الدخول الآمنة. تقوم InTrust أيضًا بتطبيع الأحداث إلى مخطط W6 بسيط (من وماذا وأين ومتى ومن ومن أين) بحيث يمكن رؤية البيانات من مصادر مختلفة (أحداث Windows الأصلية أو سجلات Linux أو سجل النظام) بتنسيق واحد وفي ملف واحد وحدة التحكم في البحث.

يدعم InTrust إمكانات التنبيه والكشف والاستجابة في الوقت الفعلي والتي يمكن استخدامها كنظام يشبه EDR لتقليل الأضرار الناجمة عن الأنشطة المشبوهة. تكتشف قواعد الأمان المضمنة، على سبيل المثال لا الحصر، التهديدات التالية:

  • رش كلمة المرور.
  • تحميص Kerbero.
  • نشاط PowerShell المشبوه، مثل إعدام Mimikatz.
  • العمليات المشبوهة، على سبيل المثال، برنامج الفدية LokerGoga.
  • التشفير باستخدام سجلات CA4FS.
  • تسجيل الدخول باستخدام حساب مميز على محطات العمل.
  • هجمات تخمين كلمة المرور.
  • الاستخدام المشبوه لمجموعات المستخدمين المحلية.

سأعرض لك الآن بعض لقطات الشاشة لـ InTrust نفسها حتى تتمكن من الحصول على فكرة عن قدراتها.

كيفية تقليل تكلفة ملكية نظام SIEM ولماذا تحتاج إلى إدارة السجلات المركزية (CLM)
مرشحات محددة مسبقًا للبحث عن نقاط الضعف المحتملة

كيفية تقليل تكلفة ملكية نظام SIEM ولماذا تحتاج إلى إدارة السجلات المركزية (CLM)
مثال على مجموعة من المرشحات لجمع البيانات الأولية

كيفية تقليل تكلفة ملكية نظام SIEM ولماذا تحتاج إلى إدارة السجلات المركزية (CLM)
مثال على استخدام التعبيرات العادية لإنشاء استجابة لحدث ما

كيفية تقليل تكلفة ملكية نظام SIEM ولماذا تحتاج إلى إدارة السجلات المركزية (CLM)
مثال على قاعدة البحث عن الثغرات الأمنية في PowerShell

كيفية تقليل تكلفة ملكية نظام SIEM ولماذا تحتاج إلى إدارة السجلات المركزية (CLM)
قاعدة معرفية مدمجة مع أوصاف لنقاط الضعف

تعد InTrust أداة قوية يمكن استخدامها كحل مستقل أو كجزء من نظام SIEM، كما هو موضح أعلاه. ربما تكون الميزة الرئيسية لهذا الحل هي أنه يمكنك البدء في استخدامه مباشرة بعد التثبيت، لأنه لدى InTrust مكتبة كبيرة من القواعد لاكتشاف التهديدات والاستجابة لها (على سبيل المثال، حظر مستخدم).

لم أتحدث في المقالة عن التكاملات المعبأة. ولكن بعد التثبيت مباشرة، يمكنك تكوين إرسال الأحداث إلى Splunk أو IBM QRadar أو Microfocus Arcsight أو عبر خطاف ويب إلى أي نظام آخر. فيما يلي مثال لواجهة Kibana مع أحداث من InTrust. يوجد بالفعل تكامل مع Elastic Stack، وإذا كنت تستخدم الإصدار المجاني من Elastic Stack، فيمكن استخدام InTrust كأداة لتحديد التهديدات وإجراء تنبيهات استباقية وإرسال الإشعارات.

كيفية تقليل تكلفة ملكية نظام SIEM ولماذا تحتاج إلى إدارة السجلات المركزية (CLM)

آمل أن يكون المقال قد أعطى فكرة بسيطة عن هذا المنتج. نحن على استعداد لمنح InTrust لك للاختبار أو تنفيذ مشروع تجريبي. يمكن ترك التطبيق في نموذج الملاحظات على موقعنا

اقرأ مقالاتنا الأخرى حول أمن المعلومات:

نحدد هجوم فيروس الفدية ونحصل على حق الوصول إلى وحدة تحكم المجال ونحاول مقاومة هذه الهجمات

ما يمكن أن يكون مفيدًا من سجلات محطة العمل استنادًا إلى نظام التشغيل Windows (مقال شعبي)

تتبع دورة حياة المستخدمين بدون كماشة أو شريط لاصق

ومن فعلها؟ نقوم بأتمتة تدقيق أمن المعلومات

المصدر: www.habr.com

إضافة تعليق