Не так даўно, Splunk дадаў яшчэ адну мадэль ліцэнзавання – ліцэнзаванне на аснове інфраструктуры (). Яны лічаць колькасць ядраў CPU пад серверамі са Splunk. Вельмі нагадвае ліцэнзаванне Elastic Stack, тамака лічаць колькасць нод Elasticsearch. SIEM-сістэмы традыцыйна нятаннае задавальненне і звычайна варта выбар паміж заплаціць шмат і вельмі шмат. Але, калі ўжыць кемлівасць, можна сабраць падобную канструкцыю.
Выглядае крыпава, але часам такая архітэктура працуе ў продзе. Складанасць забівае бяспеку, а, увогуле, забівае ўсё. На самай справе, для падобных кейсаў (я пра зніжэнне кошту валодання) існуе цэлы клас сістэм – Central Log Management (CLM). Пра гэта , лічачы іх недаацэненымі. Вось іх рэкамендацыі:
- Выкарыстоўвайце магчымасці і інструментальныя сродкі CLM, калі існуюць абмежаванні па бюджэце і персаналу, патрабаванні да маніторынгу бяспекі і канкрэтныя патрабаванні да варыянтаў выкарыстання.
- Укараняйце CLM для пашырэння функцый збору і аналізу часопісаў, калі SIEM-рашэнне апынулася занадта дарагім ці складаным.
- Інвестуйце ў прылады CLM з эфектыўным сховішчам, хуткім пошукам і гнуткай візуалізацыяй для паляпшэння расследавання/аналізу інцыдэнтаў бяспекі і падтрымкай пошуку пагроз.
- Пераканайцеся, што прыдатныя фактары і меркаванні ўлічаны, перш чым укараняць рашэнне CLM.
У гэтым артыкуле пагаворым пра адрозненні падыходаў да ліцэнзавання, разбярэмся з CLM і раскажам аб канкрэтнай сістэме такога класа. . Падрабязнасці пад катом.
У пачатку гэтага артыкула я распавёў аб новым падыходзе да ліцэнзавання Splunk. Віды ліцэнзавання можна параўнаць з тарыфамі на пракат аўтамабіляў. Давайце ўявім, што мадэль па колькасці CPU – гэта эканамічны аўтамабіль з неабмежаваным прабегам і бензінам. Можна ехаць куды заўгодна без абмежаванняў па адлегласці, але нельга ехаць вельмі хутка і, адпаведна, праязджаць шмат кіламетраў за дзень. Ліцэнзаванне па аб'ёме дадзеных падобна на спартовы аўтамабіль з мадэллю аплаты па штодзённым кіламетражы. Можна ліха навальваць і на вялікія адлегласці, але за перавышэнне дзённага ліміту кіламетражу давядзецца заплаціць больш.
Каб атрымаць выгаду ад выкарыстання ліцэнзавання па нагрузцы, трэба мець найменшыя магчымыя суадносіны ядраў CPU да колькасці загружаных ГБ дадзеных. На практыцы гэта азначае нешта тыпу:
- Найменшая магчымая колькасць запытаў да загружаных дадзеных.
- Найменшая колькасць магчымых карыстальнікаў рашэння.
- Як мага прасцейшыя і нармалізаваныя дадзеныя (каб не трэба было марнаваць цыклы CPU на наступную апрацоўку і аналіз дадзеных).
Самая праблемная рэч тут - нармалізаваныя дадзеныя. Калі вы хочаце, каб SIEM была агрэгатарам усіх часопісаў у арганізацыі, гэта патрабуе вялізных намаганняў пры разборы і постапрацоўцы. Не забывайце, што трэба таксама прадумаць архітэктуру, якая не разваліцца ад нагрузкі, г.зн. спатрэбяцца дадатковыя серверы і, такім чынам, дадатковыя працэсары.
Ліцэнзаванне па аб'ёме дадзеных засноўваецца на колькасці дадзеных, якія адпраўляюцца ў пашчу SIEM. Дадатковыя крыніцы дадзеных караюцца рублём (ці іншай валютай) і гэта прымушае задумацца аб тым, што не вельмі і хацелася збіраць. Каб абхітрыць такую мадэль ліцэнзавання, можна абкусаць дадзеныя да іх инжекции у SIEM-сістэму. Адзін з прыкладаў такой нармалізацыі перад инжекцией – Elastic Stack і некаторыя іншыя камерцыйныя SIEM.
У выніку маем, што ліцэнзаванне па інфра эфектыўна, калі трэба збіраць толькі пэўныя дадзеныя з мінімальнай перадапрацоўкай, а ліцэнзаванне па аб'ёме не дазволіць збіраць наогул усё. Пошук прамежкавага рашэння натыкае на наступныя крытэры:
- Спрашчэнне агрэгацыі і нармалізацыі даных.
- Фільтраванне шумавых і найменш важных дадзеных.
- Прадастаўленне магчымасцей аналізу.
- Адпраўка адфільтраваных і нармалізаваных дадзеных у SIEM
У выніку мэтавым SIEM-сістэмам не трэба будзе марнаваць дадатковую моц CPU на апрацоўку і можна атрымаць выгаду з выяўлення толькі найважнейшых падзей без зніжэння бачнасці адбывалага.
У ідэале, такое прамежкавае рашэнне павінна таксама забяспечваць магчымасці выяўлення і рэагавання ў рэальным часе, якія можна выкарыстоўваць для зніжэння ўплыву патэнцыйна небяспечных дзеянняў і агрэгацыі за ўсё патоку падзей у зручны і просты квант дадзеных у бок SIEM. Ну, а далей SIEM можна выкарыстоўваць для стварэння дадатковых агрэгацый, карэляцыі і працэсаў абвесткі.
Тое самае загадкавае прамежкавае рашэнне не што іншае як CLM, аб якім я згадваў у пачатку артыкула. Вось такім яго бачыць Gartner:
Цяпер можна паспрабаваць разабрацца наколькі InTrust адпавядае рэкамендацыям Gartner:
- Эфектыўнае сховішча для тых аб'ёмаў і тыпаў дадзеных, якія трэба захоўваць.
- Высокая хуткасць пошуку.
- Магчымасці візуалізацыі - не тое, што патрабуецца для базавага CLM, але пошук пагроз гэта як BI-сістэма для забеспячэння бяспекі і аналізу дадзеных.
- Абагачэнне дадзеных для дапаўнення неапрацаваных дадзеных карыснымі кантэкстнымі дадзенымі (накшталт геолокации і іншых).
Quest InTrust выкарыстоўвае ўласную сістэму захоўвання са сціскам дадзеных да 40:1 і высокай хуткасцю дэдуплікацыі, што зніжае накладныя расходныя на захоўваннем для сістэм CLM і SIEM.
Кансоль IT Security Search з google-like пошукам
Спецыялізаваны модуль з вэб-інтэрфейсам IT Security Search (ITSS) можа падлучацца да дадзеных аб падзеях у рэпазітары InTrust і падае просты інтэрфейс для пошуку пагроз. Інтэрфейс спрошчаны да такой ступені, што працуе як Google для дадзеных часопіса падзей. ITSS выкарыстоўвае часовыя шкалы для вынікаў запыту, можа аб'ядноўваць і групаваць палі падзей і эфектыўна дапамагае пры пошуку пагроз.
InTrust узбагачае падзеі Windows ідэнтыфікатарамі бяспекі, імёнамі файлаў і ідэнтыфікатарамі ўваходу ў сістэму бяспекі. InTrust таксама нармалізуе падзеі да простай схемы W6 (Who, What, Where, When, Whom і Where From - хто, што, дзе, калі, каго і адкуль), каб дадзеныя з розных крыніц (уласныя падзеі Windows, логі Linux або syslog) можна было бачыць у адзіным фармаце і на адзінай кансолі пошуку.
InTrust падтрымлівае функцыі абвесткі і выяўлення ў рэальным часе, а таксама дзеянні ў адказ, якія можна выкарыстоўваць у якасці EDR-падобнай сістэмы, каб мінімізаваць шкоду, выкліканую падазронай актыўнасцю. Убудаваныя правілы бяспекі выяўляюць, але не абмяжоўваюцца выяўленнем наступных пагроз:
- Password-spraying.
- Kerberoasting.
- Падазроная PowerShell-актыўнасць, напрыклад, выкананне Mimikatz.
- Падазроныя працэсы, напрыклад, LokerGoga ransomware.
- Шыфраванне з выкарыстаннем логаў CA4FS.
- Уваходы з прывялігераваным акаўнтам на працоўных станцыях.
- Напады з падборам пароля.
- Падазронае выкарыстанне лакальных груп м карыстальнікаў.
Цяпер пакажу некалькі скрыншотаў самога InTrust, каб магло скласціся ўражанне аб яго магчымасцях.
Прадвызначаныя фільтры для пошуку патэнцыйных уразлівасцяў
Прыклад набору фільтраў для збору волкіх дадзеных
Прыклад выкарыстання рэгулярных выразаў для стварэння рэакцыі на падзею
Прыклад з правілам пошуку ўразлівасцяў PowerShell
Убудаваная база ведаў з апісаннем уразлівасцяў
InTrust - гэта магутны інструмент, які можна выкарыстоўваць як самастойнае рашэнне так і ў складзе SIEM-сістэмы, як я апісаў вышэй. Мусіць, асноўная перавага гэтага рашэння, што яго можна пачынаць выкарыстаць адразу пасля ўсталёўкі, т.к. InTrust мае вялікую бібліятэку правілаў выяўлення пагроз і рэакцый на іх (напрыклад, блакіроўкі карыстальніка).
У артыкуле я не распавёў аб скрынкавых інтэграцыях. Але адразу пасля ўсталёўкі можна наладзіць адпраўку падзей у Splunk, IBM QRadar, Microfocus Arcsight ці праз вебхук у любую іншую сістэму. Ніжэй прыклад інтэрфейсу Kibana з падзеямі з InTrust. З Elastic Stack інтэграцыя ўжо таксама ёсць і, калі вы выкарыстоўваеце бясплатную версію Elastic, InTrust можа выкарыстоўвацца як прылада для выяўлення пагроз, выкананні папераджальных абвестак і адпраўцы апавяшчэнняў.
Спадзяюся, артыкул даў мінімальнае ўяўленне пра гэты прадукт. Гатовы аддаць InTrust вам на тэст ці правесці пілотны праект. Заяўку можна пакінуць у на нашым сайце.
Пачытайце іншыя нашы артыкулы па тэме інфармацыйнай бяспекі:
(папулярны артыкул)
Крыніца: habr.com