Ne tako davno, Splunk je dodao još jedan model licenciranja - licenciranje zasnovano na infrastrukturi (). Oni broje broj CPU jezgara pod Splunk serverima. Vrlo slično licenciranju Elastic Stack, oni broje broj Elasticsearch čvorova. SIEM sistemi su tradicionalno skupi i obično postoji izbor između punog plaćanja i punog plaćanja. Ali, ako koristite malo domišljatosti, možete sastaviti sličnu strukturu.
Izgleda jezivo, ali ponekad ova arhitektura radi u produkciji. Složenost ubija sigurnost i, općenito, ubija sve. Zapravo, za takve slučajeve (govorim o smanjenju troškova vlasništva) postoji čitava klasa sistema - Central Log Management (CLM). O tome , smatrajući ih potcijenjenima. Evo njihovih preporuka:
- Koristite CLM mogućnosti i alate kada postoje ograničenja u pogledu budžeta i osoblja, zahtjevi za nadzorom sigurnosti i specifični zahtjevi za slučaj upotrebe.
- Implementirajte CLM da poboljšate prikupljanje i analizu dnevnika kada se SIEM rješenje pokaže preskupo ili složeno.
- Investirajte u CLM alate sa efikasnom pohranom, brzom pretragom i fleksibilnom vizualizacijom kako biste poboljšali istragu/analizu sigurnosnih incidenata i podržali lov na prijetnje.
- Osigurajte da su primjenjivi faktori i razmatranja uzeti u obzir prije implementacije CLM rješenja.
U ovom članku ćemo govoriti o razlikama u pristupima licenciranju, razumećemo CLM i govoriti o specifičnom sistemu ove klase - . Detalji ispod reza.
Na početku ovog članka govorio sam o novom pristupu Splunk licenciranju. Vrste licenciranja mogu se uporediti sa cijenama najma automobila. Zamislimo da je model, u smislu broja CPU-a, ekonomičan automobil sa neograničenom kilometražom i benzinom. Možete ići bilo gdje bez ograničenja udaljenosti, ali ne možete ići vrlo brzo i, shodno tome, prelaziti mnogo kilometara dnevno. Licenciranje podataka je slično sportskom automobilu s modelom dnevne kilometraže. Možete neoprezno voziti na velike udaljenosti, ali ćete morati platiti više za prekoračenje dnevnog ograničenja prijeđenih kilometara.
Da biste imali koristi od licenciranja zasnovanog na učitavanju, morate imati najmanji mogući omjer CPU jezgri prema GB učitanih podataka. U praksi to znači nešto poput:
- Najmanji mogući broj upita za učitane podatke.
- Najmanji broj mogućih korisnika rješenja.
- Što jednostavniji i normalizovani podaci (tako da nema potrebe za trošenjem CPU ciklusa na naknadnu obradu i analizu podataka).
Najproblematičnija stvar ovdje su normalizirani podaci. Ako želite da SIEM bude agregator svih dnevnika u organizaciji, to zahtijeva ogroman trud u raščlanjivanju i naknadnoj obradi. Ne zaboravite da morate razmišljati i o arhitekturi koja se neće raspasti pod opterećenjem, tj. dodatni serveri, a samim tim i dodatni procesori će biti potrebni.
Licenciranje količine podataka se zasniva na količini podataka koja se šalje u SIEM. Dodatni izvori podataka kažnjivi su rubljom (ili drugom valutom) i to vas tjera da razmišljate o tome šta zapravo niste htjeli prikupiti. Da biste nadmudrili ovaj model licenciranja, možete ugristi podatke prije nego što se ubace u SIEM sistem. Jedan primjer takve normalizacije prije ubrizgavanja je Elastic Stack i neki drugi komercijalni SIEM-ovi.
Kao rezultat toga, imamo da je licenciranje po infrastrukturi učinkovito kada trebate prikupiti samo određene podatke uz minimalnu prethodnu obradu, a licenciranje po obimu vam neće omogućiti da prikupite sve. Potraga za srednjim rješenjem vodi do sljedećih kriterija:
- Pojednostavite agregaciju i normalizaciju podataka.
- Filtriranje bučnih i najmanje važnih podataka.
- Pružanje mogućnosti analize.
- Pošaljite filtrirane i normalizirane podatke u SIEM
Kao rezultat toga, ciljni SIEM sistemi neće morati da troše dodatnu snagu procesora na obradu i mogu imati koristi od identifikovanja samo najvažnijih događaja bez smanjenja vidljivosti onoga što se dešava.
U idealnom slučaju, takvo međuversko rješenje bi također trebalo pružiti detekciju u realnom vremenu i mogućnosti odgovora koje se mogu koristiti za smanjenje utjecaja potencijalno opasnih aktivnosti i agregiranje cijelog niza događaja u koristan i jednostavan kvantum podataka prema SIEM-u. Pa, onda se SIEM može koristiti za kreiranje dodatnih agregacija, korelacija i procesa upozorenja.
To isto tajanstveno srednje rješenje nije ništa drugo do CLM, koji sam spomenuo na početku članka. Ovako to Gartner vidi:
Sada možete pokušati shvatiti kako InTrust ispunjava preporuke Gartnera:
- Efikasno skladištenje volumena i tipova podataka koje je potrebno pohraniti.
- Velika brzina pretraživanja.
- Mogućnosti vizualizacije nisu ono što osnovni CLM zahtijeva, ali lov na prijetnje je poput BI sistema za sigurnost i analitiku podataka.
- Obogaćivanje podataka za obogaćivanje sirovih podataka korisnim kontekstualnim podacima (poput geolokacije i drugih).
Quest InTrust koristi sopstveni sistem za skladištenje podataka sa kompresijom podataka do 40:1 i brzom deduplikacijom, što smanjuje troškove skladištenja za CLM i SIEM sisteme.
Konzola za pretraživanje IT sigurnosti sa pretraživanjem poput Google-a
Specijalizirani web-bazirani IT Security Search (ITSS) modul može se povezati sa podacima o događajima u InTrust repozitorijumu i pruža jednostavan interfejs za traženje pretnji. Interfejs je pojednostavljen do te mjere da se ponaša kao Google za podatke dnevnika događaja. ITSS koristi vremenske okvire za rezultate upita, može spojiti i grupirati polja događaja i efikasno pomaže u traženju prijetnji.
InTrust obogaćuje Windows događaje sigurnosnim identifikatorima, imenima datoteka i sigurnosnim identifikatorima za prijavu. InTrust također normalizira događaje na jednostavnu W6 shemu (ko, šta, gdje, kada, koga i odakle) tako da se podaci iz različitih izvora (događaji iz Windowsa, Linux dnevniki ili syslog) mogu vidjeti u jednom formatu i na jednom Search console.
InTrust podržava mogućnosti upozorenja, otkrivanja i odgovora u realnom vremenu koje se mogu koristiti kao sistem sličan EDR-u za minimiziranje štete uzrokovane sumnjivom aktivnošću. Ugrađena sigurnosna pravila otkrivaju, ali nisu ograničena na, sljedeće prijetnje:
- Nanošenje lozinkom.
- Kerberoasting.
- Sumnjiva PowerShell aktivnost, kao što je izvršenje Mimikatza.
- Sumnjivi procesi, na primjer, LokerGoga ransomware.
- Šifriranje pomoću CA4FS dnevnika.
- Prijavljuje se sa privilegovanim nalogom na radnim stanicama.
- Napadi pogađanja lozinke.
- Sumnjivo korištenje lokalnih korisničkih grupa.
Sada ću vam pokazati nekoliko snimaka ekrana samog InTrusta kako biste stekli utisak o njegovim mogućnostima.
Unaprijed definirani filteri za traženje potencijalnih ranjivosti
Primjer skupa filtera za prikupljanje neobrađenih podataka
Primjer korištenja regularnih izraza za kreiranje odgovora na događaj
Primjer sa PowerShell pravilom pretraživanja ranjivosti
Ugrađena baza znanja sa opisima ranjivosti
InTrust je moćan alat koji se može koristiti kao samostalno rješenje ili kao dio SIEM sistema, kao što sam gore opisao. Vjerovatno je glavna prednost ovog rješenja to što ga možete početi koristiti odmah nakon instalacije, jer InTrust ima veliku biblioteku pravila za otkrivanje pretnji i reagovanje na njih (na primer, blokiranje korisnika).
U članku nisam govorio o kutiranim integracijama. Ali odmah nakon instalacije, možete konfigurirati slanje događaja na Splunk, IBM QRadar, Microfocus Arcsight, ili putem webhooka na bilo koji drugi sistem. Ispod je primjer Kibana interfejsa sa događajima iz InTrusta. Već postoji integracija sa Elastic Stack-om i, ako koristite besplatnu verziju Elastic-a, InTrust se može koristiti kao alat za prepoznavanje prijetnji, izvođenje proaktivnih upozorenja i slanje obavijesti.
Nadam se da je članak dao minimalnu ideju o ovom proizvodu. Spremni smo da vam damo InTrust na testiranje ili sprovedemo pilot projekat. Prijavu možete ostaviti na na našoj web stranici.
Pročitajte naše ostale članke o sigurnosti informacija:
(popularan članak)
izvor: www.habr.com