Není to tak dávno, co Splunk přidal další model licencování – licencování založené na infrastruktuře (). Počítají počet jader CPU pod servery Splunk. Velmi podobné licencování Elastic Stack, počítají počet uzlů Elasticsearch. Systémy SIEM jsou tradičně drahé a obvykle je na výběr mezi platit hodně a hodně. Ale pokud použijete trochu vynalézavosti, můžete sestavit podobnou strukturu.
Vypadá to strašidelně, ale někdy tato architektura funguje ve výrobě. Složitost zabíjí bezpečnost a obecně zabíjí vše. Ve skutečnosti pro takové případy (mluvím o snížení nákladů na vlastnictví) existuje celá třída systémů - centrální správa protokolů (CLM). O tom a považuje je za podhodnocené. Zde jsou jejich doporučení:
- Používejte možnosti a nástroje CLM, pokud existují omezení rozpočtu a počtu zaměstnanců, požadavky na monitorování zabezpečení a specifické požadavky na případy použití.
- Implementujte CLM, abyste zlepšili možnosti sběru protokolů a analýzy, když se řešení SIEM ukáže jako příliš drahé nebo složité.
- Investujte do nástrojů CLM s efektivním úložištěm, rychlým vyhledáváním a flexibilní vizualizací pro zlepšení vyšetřování/analýzy bezpečnostních incidentů a podporu vyhledávání hrozeb.
- Před implementací CLM řešení zajistěte, aby byly vzaty v úvahu příslušné faktory a úvahy.
V tomto článku si povíme o rozdílech v přístupech k licencování, porozumíme CLM a povíme si o specifickém systému této třídy - . Detaily pod střihem.
Na začátku tohoto článku jsem mluvil o novém přístupu k licencování Splunk. Typy licencí lze přirovnat k sazbám za pronájem auta. Představme si, že model je co do počtu CPU ekonomické auto s neomezeným počtem najetých kilometrů a benzínem. Můžete jet kamkoli bez omezení vzdálenosti, ale nemůžete jet příliš rychle, a proto urazit mnoho kilometrů denně. Datové licencování je podobné jako u sportovního vozu s modelem s denním nájezdem kilometrů. Bezohledně můžete jezdit na velké vzdálenosti, ale za překročení denního limitu kilometrů si budete muset připlatit.
Chcete-li těžit z licencování založeného na zatížení, musíte mít co nejnižší poměr jader CPU k načteným GB dat. V praxi to znamená něco jako:
- Nejmenší možný počet dotazů na načtená data.
- Nejmenší počet možných uživatelů řešení.
- Co nejjednodušší a normalizovaná data (takže není třeba plýtvat cykly CPU na následné zpracování a analýzu dat).
Nejproblematičtější věcí jsou zde normalizovaná data. Pokud chcete, aby SIEM byl agregátorem všech protokolů v organizaci, vyžaduje to obrovské množství úsilí při analýze a následném zpracování. Nezapomeňte, že je potřeba myslet i na architekturu, která se při zátěži nerozpadne, tzn. další servery, a proto budou vyžadovány další procesory.
Objemové licencování dat je založeno na množství dat, která jsou odesílána do chřtánu SIEM. Další zdroje dat jsou trestány rublem (nebo jinou měnou), a to vás nutí přemýšlet o tom, co jste ve skutečnosti nechtěli sbírat. Chcete-li tento licenční model přelstít, můžete data před vložením do systému SIEM překousnout. Jedním příkladem takové normalizace před injekcí je Elastic Stack a některé další komerční SIEM.
Výsledkem je, že licencování podle infrastruktury je efektivní, když potřebujete shromažďovat pouze určitá data s minimálním předzpracováním, a licencování podle objemu vám neumožní shromáždit vůbec vše. Hledání přechodného řešení vede k následujícím kritériím:
- Zjednodušte agregaci a normalizaci dat.
- Filtrování hlučných a nejméně důležitých dat.
- Poskytování schopností analýzy.
- Odešlete filtrovaná a normalizovaná data do SIEM
Výsledkem je, že cílové systémy SIEM nebudou muset plýtvat dalším výkonem CPU na zpracování a mohou těžit z identifikace pouze nejdůležitějších událostí, aniž by se snížila viditelnost toho, co se děje.
V ideálním případě by takové middlewarové řešení mělo také poskytovat schopnosti detekce a reakce v reálném čase, které lze použít ke snížení dopadu potenciálně nebezpečných aktivit a agregovat celý proud událostí do užitečného a jednoduchého kvanta dat směrem k SIEM. No, pak lze SIEM použít k vytvoření dalších agregací, korelací a výstražných procesů.
Tím stejným záhadným přechodným řešením není nikdo jiný než CLM, o kterém jsem se zmínil na začátku článku. Gartner to vidí takto:
Nyní se můžete pokusit zjistit, jak InTrust vyhovuje doporučením Gartner:
- Efektivní úložiště pro objemy a typy dat, které je třeba uložit.
- Vysoká rychlost vyhledávání.
- Možnosti vizualizace nejsou to, co základní CLM vyžaduje, ale vyhledávání hrozeb je jako systém BI pro zabezpečení a analýzu dat.
- Obohacení dat pro obohacení nezpracovaných dat o užitečná kontextová data (jako je geolokace a další).
Quest InTrust využívá svůj vlastní úložný systém s kompresí dat až 40:1 a vysokorychlostní deduplikací, což snižuje režii úložiště pro systémy CLM a SIEM.
Konzole IT Security Search s vyhledáváním podobným google
Specializovaný webový modul IT Security Search (ITSS) se může připojit k datům událostí v úložišti InTrust a poskytuje jednoduché rozhraní pro vyhledávání hrozeb. Rozhraní je zjednodušené do té míry, že se chová jako Google pro data protokolu událostí. ITSS využívá časové osy pro výsledky dotazů, může slučovat a seskupovat pole událostí a účinně pomáhá při hledání hrozeb.
InTrust obohacuje události Windows o bezpečnostní identifikátory, názvy souborů a bezpečnostní přihlašovací identifikátory. InTrust také normalizuje události na jednoduché schéma W6 (kdo, co, kde, kdy, kdo a odkud), takže data z různých zdrojů (nativní události Windows, protokoly Linuxu nebo syslog) lze vidět v jediném formátu a na jediném vyhledávací konzole.
InTrust podporuje funkce výstrah, detekce a reakce v reálném čase, které lze použít jako systém podobný EDR k minimalizaci škod způsobených podezřelou aktivitou. Vestavěná bezpečnostní pravidla detekují, ale nejsou omezena na, následující hrozby:
- Nástřik hesel.
- Kerberoasting.
- Podezřelá aktivita PowerShellu, jako je provedení Mimikatz.
- Podezřelé procesy, například LokerGoga ransomware.
- Šifrování pomocí protokolů CA4FS.
- Přihlašování pomocí privilegovaného účtu na pracovních stanicích.
- Útoky na hádání hesel.
- Podezřelé používání místních skupin uživatelů.
Nyní vám ukážu několik snímků obrazovky samotného InTrust, abyste si mohli udělat představu o jeho schopnostech.
Předdefinované filtry pro vyhledávání potenciálních zranitelností
Příklad sady filtrů pro sběr nezpracovaných dat
Příklad použití regulárních výrazů k vytvoření reakce na událost
Příklad s pravidlem pro vyhledávání zranitelnosti prostředí PowerShell
Vestavěná znalostní báze s popisy zranitelností
InTrust je výkonný nástroj, který lze použít jako samostatné řešení nebo jako součást systému SIEM, jak jsem popsal výše. Pravděpodobně hlavní výhodou tohoto řešení je, že jej můžete začít používat ihned po instalaci, protože InTrust má velkou knihovnu pravidel pro detekci hrozeb a reakci na ně (například blokování uživatele).
V článku jsem nemluvil o krabicových integracích. Ale ihned po instalaci můžete nakonfigurovat odesílání událostí do Splunk, IBM QRadar, Microfocus Arcsight nebo přes webhook do jakéhokoli jiného systému. Níže je uveden příklad rozhraní Kibana s událostmi z InTrust. Již existuje integrace s Elastic Stack a pokud používáte bezplatnou verzi Elastic, InTrust lze použít jako nástroj pro identifikaci hrozeb, provádění proaktivních výstrah a zasílání upozornění.
Doufám, že článek poskytl minimální představu o tomto produktu. Jsme připraveni poskytnout vám InTrust k testování nebo k provedení pilotního projektu. Přihlášku lze ponechat na na našich webových stránkách.
Přečtěte si naše další články o bezpečnosti informací:
(oblíbený článek)
Zdroj: www.habr.com