Dili pa lang dugay, gidugang ni Splunk ang lain nga modelo sa paglilisensya - paglilisensya nga nakabase sa imprastraktura (). Giihap nila ang gidaghanon sa mga cores sa CPU ubos sa mga server sa Splunk. Parehas kaayo sa paglilisensya sa Elastic Stack, giihap nila ang gidaghanon sa mga node sa Elasticsearch. Ang mga sistema sa SIEM tradisyonal nga mahal ug kasagaran adunay kapilian tali sa pagbayad og daghan ug pagbayad og daghan. Apan, kung mogamit ka usa ka kinaadman, mahimo ka mag-assemble sa parehas nga istruktura.
Makalilisang kini tan-awon, apan usahay kini nga arkitektura molihok sa produksiyon. Ang pagkakomplikado makapatay sa seguridad, ug, sa kinatibuk-an, makapatay sa tanan. Sa tinuud, alang sa ingon nga mga kaso (naghisgot ako bahin sa pagkunhod sa gasto sa pagpanag-iya) adunay usa ka tibuuk nga klase sa mga sistema - Central Log Management (CLM). Mahitungod niini , sa pagkonsiderar kanila nga ubos ang bili. Ania ang ilang mga rekomendasyon:
- Gamita ang mga kapabilidad ug himan sa CLM kung adunay mga limitasyon sa badyet ug kawani, mga kinahanglanon sa pag-monitor sa seguridad, ug piho nga mga kinahanglanon sa kaso sa paggamit.
- Ipatuman ang CLM aron mapalambo ang mga katakus sa pagkolekta ug pagtuki sa log kung ang solusyon sa SIEM mapamatud-an nga mahal kaayo o komplikado.
- Mamuhunan sa mga gamit sa CLM nga adunay episyente nga pagtipig, paspas nga pagpangita ug flexible nga pagtan-aw aron mapaayo ang imbestigasyon sa insidente sa seguridad / pagtuki ug pagsuporta sa pagpangayam sa hulga.
- Siguruha nga ang magamit nga mga hinungdan ug mga konsiderasyon gikonsiderar sa dili pa ipatuman ang solusyon sa CLM.
Niini nga artikulo maghisgot kita mahitungod sa mga kalainan sa mga pamaagi sa paglilisensya, atong masabtan ang CLM ug maghisgot mahitungod sa usa ka piho nga sistema niini nga klase - . Mga detalye ubos sa pagputol.
Sa sinugdanan sa kini nga artikulo, naghisgot ako bahin sa bag-ong pamaagi sa paglilisensya sa Splunk. Ang mga matang sa paglilisensya mahimong itandi sa mga bayranan sa pag-abang sa sakyanan. Atong mahanduraw nga ang modelo, sa mga termino sa gidaghanon sa mga CPU, mao ang usa ka ekonomikanhon nga sakyanan uban sa walay kinutuban nga mileage ug gasolina. Mahimo kang moadto bisan asa nga walay mga pagdili sa gilay-on, apan dili ka makaadto nga kusog kaayo ug, sumala niana, makasakop ug daghang kilometro kada adlaw. Ang paglilisensya sa datos susama sa usa ka sports car nga adunay adlaw-adlaw nga modelo sa mileage. Mahimo kang magmaneho nga walay pagduhaduha sa layo nga mga distansya, apan kinahanglan ka nga mobayad og dugang alang sa pagsobra sa adlaw-adlaw nga limitasyon sa mileage.
Aron makabenepisyo gikan sa load-based nga paglilisensya, kinahanglan nimo nga adunay pinakaubos nga posible nga ratio sa CPU cores ngadto sa GB sa datos nga gikarga. Sa praktis kini nagpasabut nga sama sa:
- Ang pinakagamay nga posible nga gidaghanon sa mga pangutana sa gikarga nga datos.
- Ang pinakagamay nga gidaghanon sa posible nga tiggamit sa solusyon.
- Ingon nga yano ug normal nga datos kutob sa mahimo (aron dili kinahanglan nga mag-usik sa mga siklo sa CPU sa sunod nga pagproseso ug pagtuki sa datos).
Ang labing problema nga butang dinhi mao ang na-normalize nga datos. Kung gusto nimo ang usa ka SIEM nga mahimong usa ka aggregator sa tanan nga mga troso sa usa ka organisasyon, nanginahanglan kini daghang paningkamot sa pag-parse ug post-processing. Ayaw kalimti nga kinahanglan nimo usab nga hunahunaon ang bahin sa usa ka arkitektura nga dili mahulog sa ilawom sa karga, i.e. dugang nga mga server ug busa dugang nga mga processor ang gikinahanglan.
ΠΠΈΡΠ΅Π½Π·ΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅ ΠΏΠΎ ΠΎΠ±ΡΠ΅ΠΌΡ Π΄Π°Π½Π½ΡΡ ΠΎΡΠ½ΠΎΠ²ΡΠ²Π°Π΅ΡΡΡ Π½Π° ΠΊΠΎΠ»ΠΈΡΠ΅ΡΡΠ²Π΅ Π΄Π°Π½Π½ΡΡ , ΠΊΠΎΡΠΎΡΡΠ΅ ΠΎΡΠΏΡΠ°Π²Π»ΡΡΡΡΡ Π² ΠΏΠ°ΡΡΡ SIEM. ΠΠΎΠΏΠΎΠ»Π½ΠΈΡΠ΅Π»ΡΠ½ΡΠ΅ ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΈ Π΄Π°Π½Π½ΡΡ Π½Π°ΠΊΠ°Π·ΡΠ΅ΠΌΡ ΡΡΠ±Π»ΡΠΌ (ΠΈΠ»ΠΈ Π΄ΡΡΠ³ΠΎΠΉ Π²Π°Π»ΡΡΠΎΠΉ) ΠΈ ΡΡΠΎ Π·Π°ΡΡΠ°Π²Π»ΡΠ΅Ρ Π·Π°Π΄ΡΠΌΠ°ΡΡΡΡ ΠΎ ΡΠΎΠΌ, ΡΡΠΎ Π½Π΅ ΠΎΡΠ΅Π½Ρ-ΡΠΎ ΠΈ Ρ ΠΎΡΠ΅Π»ΠΎΡΡ ΡΠΎΠ±ΠΈΡΠ°ΡΡ. Π§ΡΠΎΠ±Ρ ΠΎΠ±Ρ ΠΈΡΡΠΈΡΡ ΡΠ°ΠΊΡΡ ΠΌΠΎΠ΄Π΅Π»Ρ Π»ΠΈΡΠ΅Π½Π·ΠΈΡΠΎΠ²Π°Π½ΠΈΡ, ΠΌΠΎΠΆΠ½ΠΎ ΠΎΠ±ΠΊΡΡΠ°ΡΡ Π΄Π°Π½Π½ΡΠ΅ Π΄ΠΎ ΠΈΡ ΠΈΠ½ΠΆΠ΅ΠΊΡΠΈΠΈ Π² SIEM-ΡΠΈΡΡΠ΅ΠΌΡ. ΠΠ΄ΠΈΠ½ ΠΈΠ· ΠΏΡΠΈΠΌΠ΅ΡΠΎΠ² ΡΠ°ΠΊΠΎΠΉ Π½ΠΎΡΠΌΠ°Π»ΠΈΠ·Π°ΡΠΈΠΈ ΠΏΠ΅ΡΠ΅Π΄ ΠΈΠ½ΠΆΠ΅ΠΊΡΠΈΠ΅ΠΉ β Elastic Stack ΠΈ Π½Π΅ΠΊΠΎΡΠΎΡΡΠ΅ Π΄ΡΡΠ³ΠΈΠ΅ ΠΊΠΎΠΌΠΌΠ΅ΡΡΠ΅ΡΠΊΠΈΠ΅ SIEM.
Ingon usa ka sangputanan, kami adunay nga ang paglilisensya pinaagi sa imprastraktura epektibo kung kinahanglan nimo nga mangolekta lamang sa piho nga datos nga adunay gamay nga preprocessing, ug ang paglilisensya sa gidaghanon dili magtugot kanimo sa pagkolekta sa tanan. Ang pagpangita alang sa usa ka intermediate nga solusyon nagdala sa mga musunud nga pamatasan:
- Pasimpleha ang paghugpong sa datos ug pag-normalize.
- Pagsala sa saba ug dili kaayo importante nga datos.
- Paghatag mga kapabilidad sa pagtuki.
- Ipadala ang nasala ug na-normalize nga datos sa SIEM
Ingon usa ka sangputanan, ang target nga mga sistema sa SIEM dili kinahanglan nga mag-usik sa dugang nga gahum sa CPU sa pagproseso ug mahimoβg makabenepisyo gikan sa pag-ila lamang sa labing hinungdanon nga mga panghitabo nga walaβy pagkunhod sa panan-aw sa kung unsa ang nanghitabo.
Sa tinuud, ang ingon nga solusyon sa middleware kinahanglan usab nga maghatag sa tinuud nga oras nga pag-ila ug mga kapabilidad sa pagtubag nga magamit aron makunhuran ang epekto sa mga potensyal nga peligro nga mga kalihokan ug pagtipon sa tibuuk nga sapa sa mga panghitabo sa usa ka mapuslanon ug yano nga kantidad sa datos padulong sa SIEM. Aw, unya ang SIEM mahimong magamit sa paghimo og dugang nga mga aggregation, correlations ug alerto nga mga proseso.
Ang parehas nga misteryoso nga intermediate nga solusyon walaβy lain gawas sa CLM, nga akong gihisgutan sa sinugdanan sa artikulo. Ingon niini ang pagtan-aw ni Gartner:
Karon mahimo nimong sulayan nga mahibal-an kung giunsa pagsunod sa InTrust ang mga rekomendasyon sa Gartner:
- Episyente nga pagtipig alang sa mga volume ug tipo sa datos nga kinahanglan tipigan.
- Taas nga katulin sa pagpangita.
- ΠΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡΠΈ Π²ΠΈΠ·ΡΠ°Π»ΠΈΠ·Π°ΡΠΈΠΈ β Π½Π΅ ΡΠΎ, ΡΡΠΎ ΡΡΠ΅Π±ΡΠ΅ΡΡΡ Π΄Π»Ρ Π±Π°Π·ΠΎΠ²ΠΎΠ³ΠΎ CLM, Π½ΠΎ ΠΏΠΎΠΈΡΠΊ ΡΠ³ΡΠΎΠ· ΡΡΠΎ ΠΊΠ°ΠΊ BI-ΡΠΈΡΡΠ΅ΠΌΠ° Π΄Π»Ρ ΠΎΠ±Π΅ΡΠΏΠ΅ΡΠ΅Π½ΠΈΡ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΠΈ ΠΈ Π°Π½Π°Π»ΠΈΠ·Π° Π΄Π°Π½Π½ΡΡ .
- Pagpauswag sa datos aron mapauswag ang hilaw nga datos nga adunay mapuslanon nga datos sa konteksto (sama sa geolocation ug uban pa).
Gigamit sa Quest InTrust ang kaugalingon nga sistema sa pagtipig nga adunay hangtod sa 40: 1 data compression ug high-speed deduplication, nga nagpamenos sa overhead sa pagtipig alang sa mga sistema sa CLM ug SIEM.
IT Security Search console uban sa google-like search
Ang usa ka espesyal nga web-based nga IT Security Search (ITSS) nga module makakonektar sa data sa panghitabo sa InTrust repository ug makahatag ug yano nga interface alang sa pagpangita sa mga hulga. Ang interface gipasimple sa punto nga kini molihok sama sa Google alang sa data sa log sa panghitabo. Ang ITSS naggamit sa mga timeline alang sa mga resulta sa pangutana, mahimong maghiusa ug mag-grupo sa mga natad sa panghitabo, ug epektibong motabang sa pagpangayam sa hulga.
Gipauswag sa InTrust ang mga panghitabo sa Windows nga adunay mga identifier sa seguridad, mga ngalan sa file, ug mga identifier sa pag-login sa seguridad. Gi-normalize usab sa InTrust ang mga panghitabo sa usa ka yano nga W6 schema (Kinsa, Unsa, Asa, Kanus-a, Kinsa ug Asa Gikan) aron ang mga datos gikan sa lainlaing mga gigikanan (mga lumad nga panghitabo sa Windows, mga log sa Linux o syslog) makita sa usa ka format ug sa usa ka search console.
Gisuportahan sa InTrust ang real-time nga pag-alerto, pagkakita ug mga kapabilidad sa pagtubag nga magamit ingon usa ka sistema nga sama sa EDR aron maminusan ang kadaot nga gipahinabo sa kadudahang kalihokan. Ang built-in nga mga lagda sa seguridad nakamatikod, apan dili limitado sa, sa mosunod nga mga hulga:
- Pag-spray sa password.
- Kerberoasting.
- Kadudahang kalihokan sa PowerShell, sama sa pagpatay sa Mimikatz.
- Mga kadudahang proseso, pananglitan, LokerGoga ransomware.
- Pag-encrypt gamit ang CA4FS logs.
- Pag-login gamit ang usa ka pribilihiyo nga account sa mga workstation.
- Mga pag-atake sa pagtag-an sa password.
- Kadudahang paggamit sa lokal nga mga grupo sa tiggamit.
Karon ipakita ko kanimo ang pipila ka mga screenshot sa InTrust mismo aron makakuha ka usa ka impresyon sa mga kapabilidad niini.
Gitakda nang daan nga mga filter aron pangitaon ang mga potensyal nga kahuyangan
Usa ka pananglitan sa usa ka hugpong sa mga filter alang sa pagkolekta sa hilaw nga datos
Usa ka pananglitan sa paggamit sa regular nga mga ekspresyon sa paghimo og tubag sa usa ka panghitabo
Pananglitan sa usa ka lagda sa pagpangita sa kahuyang sa PowerShell
Gitukod nga base sa kahibalo nga adunay mga paghulagway sa mga kahuyangan
Ang InTrust usa ka gamhanan nga himan nga mahimong gamiton isip usa ka standalone nga solusyon o isip kabahin sa sistema sa SIEM, sama sa akong gihulagway sa ibabaw. Tingali ang nag-unang bentaha sa kini nga solusyon mao nga mahimo nimong sugdan ang paggamit niini dayon pagkahuman sa pag-instalar, tungod kay Ang InTrust adunay daghang librarya sa mga lagda alang sa pag-ila sa mga hulga ug pagtubag niini (pananglitan, pag-block sa usa ka tiggamit).
Sa artikulo wala ako maghisgot bahin sa mga kahon nga panagsama. Apan pagkahuman sa pag-instalar, mahimo nimong i-configure ang pagpadala sa mga panghitabo sa Splunk, IBM QRadar, Microfocus Arcsight, o pinaagi sa usa ka webhook sa bisan unsang ubang sistema. Sa ubos usa ka pananglitan sa interface sa Kibana nga adunay mga panghitabo gikan sa InTrust. Anaa na ang integrasyon sa Elastic Stack ug, kung imong gamiton ang libre nga bersyon sa Elastic, ang InTrust mahimong gamiton isip himan sa pag-ila sa mga hulga, paghimo sa mga proactive nga alerto ug pagpadala sa mga pahibalo.
Nanghinaut ko nga ang artikulo naghatag gamay nga ideya bahin sa kini nga produkto. Andam kami nga ihatag ang InTrust kanimo para sa pagsulay o pagpahigayon og pilot project. Ang aplikasyon mahimong ibilin sa sa among website.
Basaha ang among ubang mga artikulo bahin sa seguridad sa impormasyon:
(popular nga artikulo)
Source: www.habr.com