Bir müddət əvvəl Splunk başqa bir lisenziyalaşdırma modelini əlavə etdi - infrastruktur əsaslı lisenziyalaşdırma (). Splunk serverləri altında CPU nüvələrinin sayını hesablayırlar. Elastic Stack lisenziyasına çox bənzəyir, onlar Elasticsearch qovşaqlarının sayını hesablayırlar. SIEM sistemləri ənənəvi olaraq bahalıdır və adətən çox ödəmək və çox ödəmək arasında seçim var. Ancaq bir az ixtiraçılıqdan istifadə etsəniz, bənzər bir quruluş yığa bilərsiniz.
Bu ürpertici görünür, lakin bəzən bu memarlıq istehsalda işləyir. Mürəkkəblik təhlükəsizliyi öldürür və ümumiyyətlə, hər şeyi öldürür. Əslində, belə hallar üçün (mülkiyyətin dəyərini azaltmaqdan danışıram) bütün sistemlər sinfi var - Mərkəzi Log İdarəetmə (CLM). Bunun haqqında , onların aşağı qiymətləndirildiyini nəzərə alaraq. Budur onların tövsiyələri:
- Büdcə və kadr məhdudiyyətləri, təhlükəsizlik monitorinqi tələbləri və xüsusi istifadə halı tələbləri olduqda CLM imkanları və alətlərindən istifadə edin.
- SIEM həllinin çox bahalı və ya mürəkkəb olduğu sübut olunduqda, log toplama və təhlil imkanlarını artırmaq üçün CLM tətbiq edin.
- Səmərəli saxlama, sürətli axtarış və çevik vizuallaşdırma ilə CLM alətlərinə sərmayə qoyun ki, təhlükəsizlik insidentlərinin təhqiqatını/analizini təkmilləşdirin və təhdid ovunu dəstəkləyin.
- CLM həllini tətbiq etməzdən əvvəl müvafiq amillərin və mülahizələrin nəzərə alındığından əmin olun.
Bu yazıda lisenziyalaşdırmaya yanaşmalardakı fərqlər haqqında danışacağıq, CLM-ni başa düşəcəyik və bu sinfin xüsusi bir sistemi haqqında danışacağıq - . Kəsmə altındakı detallar.
Bu məqalənin əvvəlində mən Splunk lisenziyasına yeni yanaşma haqqında danışdım. Lisenziyalaşdırma növlərini avtomobil icarəsi qiymətləri ilə müqayisə etmək olar. Təsəvvür edək ki, model CPU sayı baxımından qeyri-məhdud yürüş və benzinlə qənaətcil avtomobildir. Məsafə məhdudiyyəti olmadan istənilən yerə gedə bilərsiniz, lakin çox sürətli gedə bilməzsiniz və buna görə də gündə bir çox kilometr qət edə bilərsiniz. Məlumat lisenziyası gündəlik yürüş modeli olan idman avtomobilinə bənzəyir. Siz uzun məsafələrə ehtiyatsızlıqla avtomobil sürə bilərsiniz, lakin gündəlik yürüş limitini aşdığınız üçün daha çox pul ödəməli olacaqsınız.
Yük əsaslı lisenziyalaşdırmadan faydalanmaq üçün siz CPU nüvələrinin yüklənmiş GB məlumatlara mümkün olan ən aşağı nisbətinə sahib olmalısınız. Praktikada bu belə bir şey deməkdir:
- Yüklənmiş məlumat üçün mümkün olan ən kiçik sorğu sayı.
- Həllin mümkün istifadəçilərinin ən az sayı.
- Mümkün qədər sadə və normallaşdırılmış məlumatlar (sonrakı məlumatların işlənməsi və təhlili üçün CPU dövrlərini sərf etməyə ehtiyac qalmaması üçün).
Burada ən problemli şey normallaşdırılmış məlumatlardır. Əgər siz SIEM-in təşkilatdakı bütün qeydlərin aqreqatoru olmasını istəyirsinizsə, o, təhlil və sonrakı emalda çoxlu səy tələb edir. Unutmayın ki, siz də yük altında dağılmayacaq bir memarlıq haqqında düşünməlisiniz, yəni. əlavə serverlər və buna görə də əlavə prosessorlar tələb olunacaq.
Məlumat həcminin lisenziyalaşdırılması SIEM-ə göndərilən məlumatların miqdarına əsaslanır. Əlavə məlumat mənbələri rubl (və ya digər valyuta) ilə cəzalandırılır və bu, həqiqətən toplamaq istəmədiyiniz şeylər barədə düşünməyə vadar edir. Bu lisenziyalaşdırma modelindən üstün olmaq üçün siz məlumatları SIEM sisteminə daxil edilməzdən əvvəl dişləyə bilərsiniz. Enjeksiyondan əvvəl belə normallaşmanın bir nümunəsi Elastic Stack və bəzi digər kommersiya SIEM-lərdir.
Nəticə etibarı ilə, biz infrastruktur üzrə lisenziyalaşdırmanın, minimal ilkin emalla yalnız müəyyən məlumatları toplamaq lazım gəldiyi zaman təsirli olur və həcm üzrə lisenziyalaşdırma sizə ümumiyyətlə hər şeyi toplamağa imkan verməyəcək. Aralıq həllin axtarışı aşağıdakı meyarlara gətirib çıxarır:
- Məlumatların toplanması və normallaşdırılmasını sadələşdirin.
- Səs-küylü və ən az vacib məlumatların filtrasiyası.
- Analiz imkanlarının təmin edilməsi.
- Filtrlənmiş və normallaşdırılmış məlumatları SIEM-ə göndərin
Nəticədə, hədəf SIEM sistemlərinin emal üçün əlavə CPU gücünü sərf etməsinə ehtiyac qalmayacaq və baş verənlərin görmə qabiliyyətini azaltmadan yalnız ən vacib hadisələri müəyyən etməkdən faydalana bilər.
İdeal olaraq, belə bir ara proqram həlli potensial təhlükəli fəaliyyətlərin təsirini azaltmaq və bütün hadisələr axınını SIEM-ə doğru faydalı və sadə məlumat kvantına toplamaq üçün istifadə edilə bilən real vaxt rejimində aşkarlama və reaksiya imkanlarını təmin etməlidir. Yaxşı, onda SIEM əlavə birləşmələr, korrelyasiyalar və xəbərdarlıq prosesləri yaratmaq üçün istifadə edilə bilər.
Eyni sirli ara həll məqalənin əvvəlində qeyd etdiyim CLM-dən başqa bir şey deyil. Gartner bunu belə görür:
İndi InTrust-un Gartner tövsiyələrinə necə uyğun gəldiyini anlamağa cəhd edə bilərsiniz:
- Saxlanılması lazım olan məlumatların həcmi və növləri üçün səmərəli saxlama.
- Yüksək axtarış sürəti.
- Vizuallaşdırma imkanları əsas CLM-nin tələb etdiyi şey deyil, lakin təhlükə ovlanması təhlükəsizlik və məlumat analitikası üçün BI sistemi kimidir.
- Xam məlumatları faydalı kontekst məlumatları (geolokasiya və digərləri kimi) ilə zənginləşdirmək üçün verilənlərin zənginləşdirilməsi.
Quest InTrust, CLM və SIEM sistemləri üçün saxlama xərclərini azaldan 40:1-ə qədər məlumatların sıxılması və yüksək sürətli təkmilləşdirmə ilə öz yaddaş sistemindən istifadə edir.
Google kimi axtarışa malik İT Təhlükəsizliyi Axtarış konsolu
İxtisaslaşdırılmış veb əsaslı İT Təhlükəsizliyi Axtarışı (ITSS) modulu InTrust repozitoriyasındakı hadisə məlumatlarına qoşula bilər və təhdidlərin axtarışı üçün sadə interfeys təqdim edir. İnterfeys o qədər sadələşdirilmişdir ki, hadisə jurnalı məlumatları üçün Google kimi fəaliyyət göstərir. ITSS sorğu nəticələri üçün vaxt qrafiklərindən istifadə edir, hadisə sahələrini birləşdirə və qruplaşdıra bilər və təhlükənin ovlanmasında effektiv köməklik göstərir.
InTrust Windows hadisələrini təhlükəsizlik identifikatorları, fayl adları və təhlükəsizlik giriş identifikatorları ilə zənginləşdirir. InTrust həmçinin hadisələri sadə W6 sxeminə (Kim, Nə, Haradan, Nə vaxt, Kimdən və Haradan) normallaşdırır ki, müxtəlif mənbələrdən (Windows yerli hadisələri, Linux jurnalları və ya sistem qeydləri) bir formatda və bir formatda görünə bilsin. axtarış konsolu.
InTrust, şübhəli fəaliyyətin vurduğu zərəri minimuma endirmək üçün EDR kimi sistem kimi istifadə oluna bilən real vaxt rejimində xəbərdarlıq, aşkarlama və cavab vermə imkanlarını dəstəkləyir. Daxili təhlükəsizlik qaydaları aşağıdakı təhlükələri aşkar edir, lakin bunlarla məhdudlaşmır:
- Parol püskürtmə.
- Kerberoasting.
- Mimikatz-ın icrası kimi şübhəli PowerShell fəaliyyəti.
- Şübhəli proseslər, məsələn, LokerGoga ransomware.
- CA4FS qeydlərindən istifadə edərək şifrələmə.
- İş stansiyalarında imtiyazlı hesabla daxil olur.
- Parol təxmin edən hücumlar.
- Yerli istifadəçi qruplarının şübhəli istifadəsi.
İndi sizə InTrust-un bir neçə skrinşotunu göstərəcəyəm ki, onun imkanları haqqında təəssürat əldə edə biləsiniz.
Potensial zəiflikləri axtarmaq üçün əvvəlcədən təyin edilmiş filtrlər
Xam məlumatların toplanması üçün filtrlər dəsti nümunəsi
Bir hadisəyə reaksiya yaratmaq üçün müntəzəm ifadələrdən istifadə nümunəsi
PowerShell zəifliyi axtarış qaydası ilə nümunə
Zəifliklərin təsviri ilə daxili bilik bazası
InTrust, yuxarıda təsvir etdiyim kimi, müstəqil bir həll və ya SIEM sisteminin bir hissəsi kimi istifadə edilə bilən güclü bir vasitədir. Yəqin ki, bu həllin əsas üstünlüyü ondan ibarətdir ki, quraşdırmadan dərhal sonra istifadə etməyə başlaya bilərsiniz, çünki InTrust-da təhdidləri aşkar etmək və onlara cavab vermək (məsələn, istifadəçini bloklamaq) üçün böyük qaydalar kitabxanası var.
Məqalədə qutulu inteqrasiyalardan danışmadım. Lakin quraşdırmadan dərhal sonra hadisələrin Splunk, IBM QRadar, Microfocus Arcsight və ya veb-qanca vasitəsilə hər hansı digər sistemə göndərilməsini konfiqurasiya edə bilərsiniz. Aşağıda InTrust-dan hadisələrlə Kibana interfeysinin nümunəsi verilmişdir. Artıq Elastic Stack ilə inteqrasiya mövcuddur və əgər siz Elastic-in pulsuz versiyasından istifadə edirsinizsə, InTrust-dan təhdidlərin müəyyən edilməsi, aktiv xəbərdarlıqların yerinə yetirilməsi və bildirişlərin göndərilməsi üçün alət kimi istifadə oluna bilər.
Ümid edirəm ki, məqalə bu məhsul haqqında minimal fikir verdi. InTrust-u sınaqdan keçirmək və ya pilot layihə həyata keçirmək üçün sizə verməyə hazırıq. Tətbiq ünvanında buraxıla bilər saytımızda.
İnformasiya təhlükəsizliyi ilə bağlı digər məqalələrimizi oxuyun:
(məşhur məqalə)
Mənbə: www.habr.com