Ddim yn bell yn Γ΄l, ychwanegodd Splunk fodel trwyddedu arall - trwyddedu ar sail seilwaith (). Maent yn cyfrif nifer y creiddiau CPU o dan weinyddion Splunk. Yn debyg iawn i drwyddedu Elastic Stack, maent yn cyfrif nifer y nodau Elasticsearch. Mae systemau SIEM yn draddodiadol ddrud ac fel arfer mae dewis rhwng talu llawer a thalu llawer. Ond, os ydych chi'n defnyddio rhywfaint o ddyfeisgarwch, gallwch chi gydosod strwythur tebyg.
Mae'n edrych yn iasol, ond weithiau mae'r bensaernΓ―aeth hon yn gweithio ym maes cynhyrchu. Mae cymhlethdod yn lladd diogelwch, ac, yn gyffredinol, yn lladd popeth. Mewn gwirionedd, ar gyfer achosion o'r fath (rwy'n sΓ΄n am leihau cost perchnogaeth) mae yna ddosbarth cyfan o systemau - Rheoli Logiau Canolog (CLM). Amdano fe , gan ystyried eu bod yn cael eu tanbrisio. Dyma eu hargymhellion:
- Defnyddio galluoedd ac offer CLM pan fo cyfyngiadau cyllidebol a staffio, gofynion monitro diogelwch, a gofynion achosion defnydd penodol.
- Gweithredu CLM i wella'r gallu i gasglu cofnodion a dadansoddi pan fo datrysiad SIEM yn rhy ddrud neu'n rhy gymhleth.
- Buddsoddi mewn offer CLM gyda storfa effeithlon, chwilio cyflym a delweddu hyblyg i wella ymchwilio/dadansoddi digwyddiadau diogelwch a chefnogi hela bygythiadau.
- Sicrhau bod ffactorau ac ystyriaethau perthnasol yn cael eu hystyried cyn gweithredu datrysiad CLM.
Yn yr erthygl hon byddwn yn siarad am y gwahaniaethau mewn ymagweddau at drwyddedu, byddwn yn deall CLM ac yn siarad am system benodol o'r dosbarth hwn - . Manylion o dan y toriad.
Ar ddechrau'r erthygl hon, siaradais am y dull newydd o drwyddedu Splunk. Gellir cymharu mathau o drwyddedu Γ’ chyfraddau rhentu ceir. Gadewch i ni ddychmygu bod y model, o ran nifer y CPUs, yn gar darbodus gyda milltiroedd diderfyn a gasoline. Gallwch chi fynd i unrhyw le heb gyfyngiadau pellter, ond ni allwch fynd yn gyflym iawn ac, yn unol Γ’ hynny, gorchuddio llawer o gilometrau y dydd. Mae trwyddedu data yn debyg i gar chwaraeon gyda model milltiredd dyddiol. Gallwch yrru'n ddi-hid dros bellteroedd maith, ond bydd yn rhaid i chi dalu mwy am fynd dros y terfyn milltiredd dyddiol.
Er mwyn elwa o drwyddedu seiliedig ar lwyth, mae angen i chi gael y gymhareb isaf bosibl o greiddiau CPU i GB o ddata wedi'i lwytho. Yn ymarferol mae hyn yn golygu rhywbeth fel:
- Y nifer lleiaf posibl o ymholiadau i'r data a lwythwyd.
- Y nifer lleiaf o ddefnyddwyr posibl y datrysiad.
- Data mor syml a normal Γ’ phosibl (fel nad oes angen gwastraffu cylchoedd CPU wrth brosesu a dadansoddi data dilynol).
Y peth mwyaf problemus yma yw'r data normaleiddio. Os ydych chi am i SIEM fod yn agregwr o'r holl gofnodion mewn sefydliad, mae angen llawer iawn o ymdrech wrth ddosrannu ac Γ΄l-brosesu. Peidiwch ag anghofio bod angen i chi hefyd feddwl am bensaernΓ―aeth na fydd yn disgyn yn ddarnau dan bwysau, h.y. bydd angen gweinyddion ychwanegol ac felly proseswyr ychwanegol.
Mae trwyddedu cyfaint data yn seiliedig ar faint o ddata sy'n cael ei anfon i'r SIEM maw. Gellir cosbi ffynonellau data ychwanegol gan y Rwbl (neu arian cyfred arall) ac mae hyn yn gwneud i chi feddwl am yr hyn nad oeddech chi wir eisiau ei gasglu. Er mwyn trechu'r model trwyddedu hwn, gallwch chi frathu'r data cyn iddo gael ei chwistrellu i'r system SIEM. Un enghraifft o normaleiddio o'r fath cyn pigiad yw Elastic Stack a rhai SIEMs masnachol eraill.
O ganlyniad, mae gennym ni fod trwyddedu yn Γ΄l seilwaith yn effeithiol pan fydd angen i chi gasglu data penodol yn unig gyda chyn lleied Γ’ phosibl o ragbrosesu, ac ni fydd trwyddedu yn Γ΄l cyfaint yn caniatΓ‘u ichi gasglu popeth o gwbl. Mae chwilio am ddatrysiad canolradd yn arwain at y meini prawf canlynol:
- Symleiddio agregu a normaleiddio data.
- Hidlo data swnllyd a lleiaf pwysig.
- Darparu galluoedd dadansoddi.
- Anfon data wedi'i hidlo a'i normaleiddio i SIEM
O ganlyniad, ni fydd angen i systemau targed SIEM wastraffu pΕ΅er CPU ychwanegol wrth brosesu a gallant elwa o nodi'r digwyddiadau pwysicaf yn unig heb leihau gwelededd i'r hyn sy'n digwydd.
Yn ddelfrydol, dylai datrysiad nwyddau canol o'r fath hefyd ddarparu galluoedd canfod ac ymateb amser real y gellir eu defnyddio i leihau effaith gweithgareddau a allai fod yn beryglus a chyfuno'r llif cyfan o ddigwyddiadau yn gwantwm defnyddiol a syml o ddata tuag at y SIEM. Wel, yna gellir defnyddio SIEM i greu agregiadau ychwanegol, cydberthnasau a phrosesau rhybuddio.
Nid yw'r un datrysiad canolradd dirgel hwnnw yn ddim llai na CLM, y soniais amdano ar ddechrau'r erthygl. Dyma sut mae Gartner yn ei weld:
Nawr gallwch chi geisio darganfod sut mae InTrust yn cydymffurfio ag argymhellion Gartner:
- Storio effeithlon ar gyfer y cyfeintiau a'r mathau o ddata y mae angen eu storio.
- Cyflymder chwilio uchel.
- Nid galluoedd delweddu yw'r hyn y mae CLM sylfaenol ei angen, ond mae hela bygythiadau fel system BI ar gyfer diogelwch a dadansoddi data.
- Cyfoethogi data i gyfoethogi data crai gyda data cyd-destunol defnyddiol (fel geoleoliad ac eraill).
Mae Quest InTrust yn defnyddio ei system storio ei hun gyda chywasgu data hyd at 40:1 a dad-ddyblygu cyflym, sy'n lleihau gorbenion storio ar gyfer systemau CLM a SIEM.
Consol Chwilio Diogelwch TG gyda chwiliad tebyg i google
Gall modiwl Chwilio Diogelwch TG (ITSS) arbenigol ar y we gysylltu Γ’ data digwyddiadau yn ystorfa InTrust a darparu rhyngwyneb syml ar gyfer chwilio am fygythiadau. Mae'r rhyngwyneb wedi'i symleiddio i'r pwynt ei fod yn gweithredu fel Google ar gyfer data log digwyddiadau. Mae ITSS yn defnyddio llinellau amser ar gyfer canlyniadau ymholiad, gall uno a grwpio meysydd digwyddiadau, ac mae'n cynorthwyo'n effeithiol i chwilio am fygythiadau.
Mae InTrust yn cyfoethogi digwyddiadau Windows gyda dynodwyr diogelwch, enwau ffeiliau, a dynodwyr mewngofnodi diogelwch. Mae InTrust hefyd yn normaleiddio digwyddiadau i sgema W6 syml (Pwy, Beth, Ble, Pryd, Pwy ac O Ble) fel bod modd gweld data o wahanol ffynonellau (digwyddiadau brodorol Windows, logiau Linux neu syslog) mewn un fformat ac ar un fformat. consol chwilio.
Mae InTrust yn cefnogi galluoedd rhybuddio, canfod ac ymateb amser real y gellir eu defnyddio fel system debyg i EDR i leihau'r difrod a achosir gan weithgaredd amheus. Mae rheolau diogelwch adeiledig yn canfod, ond heb fod yn gyfyngedig i, y bygythiadau canlynol:
- Cyfrinair-chwistrellu.
- Kerberostio.
- Gweithgaredd PowerShell amheus, megis dienyddio Mimikatz.
- Prosesau amheus, er enghraifft, ransomware LokerGoga.
- Amgryptio gan ddefnyddio logiau CA4FS.
- Mewngofnodi gyda chyfrif breintiedig ar weithfannau.
- Ymosodiadau dyfalu cyfrinair.
- Defnydd amheus o grwpiau defnyddwyr lleol.
Nawr byddaf yn dangos ychydig o sgrinluniau o InTrust ei hun i chi fel y gallwch chi gael argraff o'i alluoedd.
Hidlwyr wedi'u diffinio ymlaen llaw i chwilio am wendidau posibl
Enghraifft o set o hidlwyr ar gyfer casglu data crai
Enghraifft o ddefnyddio ymadroddion rheolaidd i greu ymateb i ddigwyddiad
Enghraifft gyda rheol chwilio bregusrwydd PowerShell
Sylfaen wybodaeth adeiledig gyda disgrifiadau o wendidau
Mae InTrust yn offeryn pwerus y gellir ei ddefnyddio fel datrysiad annibynnol neu fel rhan o system SIEM, fel y disgrifiais uchod. Mae'n debyg mai prif fantais yr ateb hwn yw y gallwch chi ddechrau ei ddefnyddio yn syth ar Γ΄l ei osod, oherwydd Mae gan InTrust lyfrgell fawr o reolau ar gyfer canfod bygythiadau ac ymateb iddynt (er enghraifft, blocio defnyddiwr).
Yn yr erthygl ni siaradais am integreiddiadau mewn bocsys. Ond yn syth ar Γ΄l ei osod, gallwch chi ffurfweddu digwyddiadau anfon i Splunk, IBM QRadar, Microfocus Arcsight, neu trwy wehook i unrhyw system arall. Isod mae enghraifft o ryngwyneb Kibana gyda digwyddiadau gan InTrust. Mae integreiddio eisoes Γ’'r Elastic Stack ac, os ydych chi'n defnyddio'r fersiwn am ddim o Elastic, gellir defnyddio InTrust fel offeryn ar gyfer nodi bygythiadau, perfformio rhybuddion rhagweithiol ac anfon hysbysiadau.
Rwy'n gobeithio bod yr erthygl wedi rhoi syniad lleiaf posibl am y cynnyrch hwn. Rydym yn barod i roi InTrust i chi ar gyfer profi neu gynnal prosiect peilot. Gellir gadael y cais yn ar ein gwefan.
Darllenwch ein herthyglau eraill ar ddiogelwch gwybodaeth:
(erthygl boblogaidd)
Ffynhonnell: hab.com