Как да намалите разходите за притежание на SIEM система и защо имате нужда от Central Log Management (CLM)

Неотдавна Splunk добави още един модел за лицензиране - базирано на инфраструктура лицензиране (сега те са три). Те отчитат броя на процесорните ядра под Splunk сървърите. Много подобно на лицензирането на Elastic Stack, те отчитат броя на възлите на Elasticsearch. SIEM системите са традиционно скъпи и обикновено има избор между плащане на много и плащане на много. Но ако използвате малко изобретателност, можете да съберете подобна структура.

Изглежда страховито, но понякога тази архитектура работи в производството. Сложността убива сигурността и като цяло убива всичко. Всъщност за такива случаи (говоря за намаляване на разходите за притежание) има цял клас системи - Central Log Management (CLM). За това пише Gartner, считайки ги за подценени. Ето техните препоръки:

• Използвайте възможностите и инструментите на CLM, когато има ограничения в бюджета и персонала, изисквания за наблюдение на сигурността и изисквания за конкретни случаи на използване.
• Внедрете CLM, за да подобрите възможностите за събиране и анализ на регистрационни файлове, когато SIEM решение се окаже твърде скъпо или сложно.
• Инвестирайте в инструменти на CLM с ефективно съхранение, бързо търсене и гъвкава визуализация, за да подобрите разследването/анализа на инциденти със сигурността и да поддържате лов на заплахи.
• Уверете се, че приложимите фактори и съображения са взети под внимание, преди да внедрите CLM решение.

В тази статия ще говорим за разликите в подходите към лицензирането, ще разберем CLM и ще говорим за конкретна система от този клас - Quest InTrust. Детайли под кройката.

В началото на тази статия говорих за новия подход към лицензирането на Splunk. Видовете лицензи могат да бъдат сравнени с цените за коли под наем. Да си представим, че моделът като брой процесори е икономичен автомобил с неограничен пробег и бензин. Можете да отидете навсякъде без ограничения на разстоянието, но не можете да отидете много бързо и съответно да покривате много километри на ден. Лицензирането на данни е подобно на модел на спортна кола с ежедневен пробег. Можете да карате безразсъдно на дълги разстояния, но ще трябва да платите повече за превишаване на дневния лимит на пробег.

За да се възползвате от лицензирането, базирано на натоварването, трябва да имате възможно най-ниското съотношение на CPU ядра към GB заредени данни. На практика това означава нещо като:

• Най-малкият възможен брой заявки към заредените данни.
• Най-малък брой възможни потребители на решението.
• Възможно най-опростени и нормализирани данни (така че да няма нужда да губите цикли на процесора за последваща обработка и анализ на данни).

Най-проблемното тук са нормализираните данни. Ако искате SIEM да бъде агрегатор на всички регистрационни файлове в една организация, това изисква огромно количество усилия при анализиране и последваща обработка. Не забравяйте, че трябва да помислите и за архитектура, която да не се разпада при натоварване, т.е. ще са необходими допълнителни сървъри и следователно допълнителни процесори.

Лицензирането за обем на данни се основава на количеството данни, които се изпращат в пастта на SIEM. Допълнителните източници на данни се наказват с рубла (или друга валута) и това ви кара да се замислите какво всъщност не сте искали да събирате. За да надхитрите този модел на лицензиране, можете да захапете данните, преди да бъдат инжектирани в системата SIEM. Един пример за такова нормализиране преди инжектиране е Elastic Stack и някои други търговски SIEMs.

В резултат на това имаме, че лицензирането по инфраструктура е ефективно, когато трябва да съберете само определени данни с минимална предварителна обработка, а лицензирането по обем изобщо няма да ви позволи да съберете всичко. Търсенето на междинно решение води до следните критерии:

• Опростете агрегирането и нормализирането на данни.
• Филтриране на шумни и най-малко важни данни.
• Предоставяне на възможности за анализ.
• Изпращане на филтрирани и нормализирани данни към SIEM

В резултат на това целевите SIEM системи няма да имат нужда да губят допълнителна мощност на процесора за обработка и могат да се възползват от идентифицирането само на най-важните събития, без да намаляват видимостта на случващото се.

В идеалния случай такова междинно софтуерно решение трябва също така да предоставя възможности за откриване и реагиране в реално време, които могат да се използват за намаляване на въздействието на потенциално опасни дейности и агрегиране на целия поток от събития в полезен и прост обем от данни към SIEM. Е, тогава SIEM може да се използва за създаване на допълнителни агрегации, корелации и процеси за предупреждение.

Същото мистериозно междинно решение не е нищо друго освен CLM, което споменах в началото на статията. Ето как Gartner го вижда:

Сега можете да опитате да разберете как InTrust отговаря на препоръките на Gartner:

• Ефективно съхранение за обемите и типовете данни, които трябва да се съхраняват.
• Висока скорост на търсене.
• Възможностите за визуализация не са това, което изисква основният CLM, но ловът на заплахи е като BI система за сигурност и анализ на данни.
• Обогатяване на данни за обогатяване на необработените данни с полезни контекстуални данни (като геолокация и други).

Quest InTrust използва своя собствена система за съхранение с компресиране на данни до 40:1 и високоскоростна дедупликация, което намалява разходите за съхранение за CLM и SIEM системи.

Конзола за търсене на IT сигурност с подобно на Google търсене

Специализиран уеб базиран модул за търсене на ИТ сигурност (ITSS) може да се свърже с данни за събития в хранилището на InTrust и предоставя прост интерфейс за търсене на заплахи. Интерфейсът е опростен до такава степен, че действа като Google за данни от регистъра на събитията. ITSS използва времеви линии за резултати от заявки, може да обединява и групира полета за събития и ефективно подпомага откриването на заплахи.

InTrust обогатява събитията на Windows с идентификатори за сигурност, имена на файлове и идентификатори за влизане в сигурността. InTrust също така нормализира събитията към проста схема W6 (Кой, Какво, Къде, Кога, От кого и Откъде), така че данните от различни източници (собствени събития на Windows, регистрационни файлове на Linux или syslog) да могат да се видят в един формат и на един конзола за търсене.

InTrust поддържа възможности за предупреждение, откриване и реагиране в реално време, които могат да се използват като система, подобна на EDR, за минимизиране на щетите, причинени от подозрителна дейност. Вградените правила за сигурност откриват, но не се ограничават до откриването на следните заплахи:

• Пръскане на пароли.
• Kerberoasting.
• Подозрителна активност на PowerShell, като например изпълнение на Mimikatz.
• Подозрителни процеси, например рансъмуер LokerGoga.
• Криптиране с помощта на регистрационни файлове CA4FS.
• Влизане с привилегирован акаунт на работни станции.
• Атаки с отгатване на парола.
• Подозрително използване на локални потребителски групи.

Сега ще ви покажа няколко екранни снимки на самия InTrust, за да можете да добиете представа за неговите възможности.

Предварително зададени филтри за търсене на потенциални уязвимости

Пример за набор от филтри за събиране на необработени данни

Пример за използване на регулярни изрази за създаване на реакция към събитие

Пример с правило за търсене на уязвимости на PowerShell

Вградена база от знания с описания на уязвимостите

InTrust е мощен инструмент, който може да се използва като самостоятелно решение или като част от SIEM система, както описах по-горе. Вероятно основното предимство на това решение е, че можете да започнете да го използвате веднага след инсталирането, т.к InTrust има голяма библиотека от правила за откриване на заплахи и реагиране на тях (например блокиране на потребител).

В статията не говорих за кутийни интеграции. Но веднага след инсталацията можете да конфигурирате изпращане на събития към Splunk, IBM QRadar, Microfocus Arcsight или чрез webhook към всяка друга система. По-долу е даден пример за интерфейс на Kibana със събития от InTrust. Вече има интеграция с Elastic Stack и, ако използвате безплатната версия на Elastic, InTrust може да се използва като инструмент за идентифициране на заплахи, извършване на проактивни предупреждения и изпращане на известия.

Надявам се, че статията даде минимална представа за този продукт. Ние сме готови да ви предоставим InTrust за тестване или провеждане на пилотен проект. Приложението може да бъде оставено на форма за обратна връзка на нашия уебсайт.

Прочетете другите ни статии за информационна сигурност:

Откриваме ransomware атака, получаваме достъп до домейн контролера и се опитваме да устоим на тези атаки

Какво може да бъде полезно от регистрационните файлове на работна станция, базирана на Windows OS (популярна статия)

Проследяване на жизнения цикъл на потребителя без клещи и тиксо

И кой го направи? Ние автоматизираме одита на информационната сигурност

Източник: www.habr.com