Yn ddiweddar, ychwanegodd Splunk fodel trwyddedu arall - trwyddedu seiliedig ar seilwaith (). Maen nhw'n cyfrif nifer y creiddiau CPU sy'n rhedeg ar weinyddion Splunk. Mae'n debyg iawn i drwyddedu Elastic Stack, lle maen nhw'n cyfrif nifer y nodau Elasticsearch. Mae systemau SIEM yn draddodiadol yn ddrud, ac fel arfer mae'n rhaid i chi ddewis rhwng talu llawer a thalu llawer. Ond gyda rhywfaint o ddyfeisgarwch, gallwch chi roi trefniant tebyg at ei gilydd.

Mae'n edrych yn lletchwith, ond weithiau mae'r bensaernΓ―aeth hon yn gweithio mewn cynhyrchiad. Mae cymhlethdod yn lladd diogelwch, ac, yn gyffredinol, yn lladd popeth. Mewn gwirionedd, ar gyfer achosion defnydd o'r fath (dw i'n sΓ΄n am leihau cost perchnogaeth), mae dosbarth cyfan o systemauβRheoli Logiau Canolog (CLM). Dyna beth yw'r cyfan. , gan ystyried eu bod yn cael eu tanbrisio. Dyma eu hargymhellion:
- Defnyddiwch alluoedd ac offer CLM pan fo cyfyngiadau cyllideb a staffio, gofynion monitro diogelwch, a gofynion achosion defnydd penodol yn bodoli.
- Gweithredu CLM i ehangu galluoedd casglu a dadansoddi logiau pan fydd datrysiad SIEM yn rhy ddrud neu'n rhy gymhleth.
- Buddsoddwch mewn offer CLM gyda storfa effeithlon, chwiliadau cyflym, a delweddu hyblyg i wella ymchwilio/dadansoddi digwyddiadau diogelwch a chefnogi hela bygythiadau.
- Sicrhewch fod ffactorau ac ystyriaethau perthnasol yn cael eu hystyried cyn gweithredu datrysiad CLM.
Yn yr erthygl hon, byddwn yn trafod y gwahaniaethau mewn dulliau trwyddedu, yn archwilio CLM, ac yn disgrifio system benodol o'r dosbarth hwnβ Manylion isod.
Ar ddechrau'r erthygl hon, disgrifiais ddull newydd o drwyddedu Splunk. Gellir cymharu opsiynau trwyddedu Γ’ chyfraddau rhentu ceir. Gadewch i ni ddychmygu bod y model sy'n seiliedig ar CPU fel car effeithlon o ran tanwydd gyda milltiroedd a thanwydd diderfyn. Gallwch yrru i unrhyw le heb unrhyw derfynau pellter, ond ni allwch yrru'n gyflym iawn ac, felly, teithio llawer o gilometrau'r dydd. Mae trwyddedu sy'n seiliedig ar ddata fel car chwaraeon gyda model milltiroedd dyddiol. Gallwch yrru'n ddi-hid dros bellteroedd hir, ond byddwch yn talu mwy am ragori ar y terfyn milltiroedd dyddiol.

Er mwyn elwa o drwyddedu sy'n seiliedig ar lwyth gwaith, mae angen i chi gael y gymhareb isaf bosibl o greiddiau CPU i nifer y GB o ddata a lwythwyd. Yn ymarferol, mae hyn yn golygu rhywbeth fel:
- Y nifer lleiaf posibl o geisiadau i'r data a lwythwyd.
- Y nifer lleiaf o ddefnyddwyr posibl y datrysiad.
- Data sydd mor syml a normal Γ’ phosibl (fel nad oes angen treulio cylchoedd CPU ar brosesu a dadansoddi data dilynol).
Yr agwedd fwyaf heriol yma yw data wedi'i normaleiddio. Os ydych chi eisiau i'r SIEM fod yn gasglwr o'r holl logiau yn y sefydliad, mae'n gofyn am lawer iawn o ymdrech wrth ddadansoddi ac Γ΄l-brosesu. Peidiwch ag anghofio bod angen i chi hefyd ystyried pensaernΓ―aeth na fydd yn cwympo o dan y llwyth, sy'n golygu y bydd angen gweinyddion ychwanegol ac, felly, proseswyr ychwanegol.
Mae trwyddedu cyfaint data yn seiliedig ar faint o ddata a anfonir i'r SIEM. Mae ffynonellau data ychwanegol yn cael eu cosbi, sy'n gwneud i chi feddwl tybed a oeddech chi wir eisiau casglu unrhyw beth yn y lle cyntaf. I osgoi'r model trwyddedu hwn, gallwch chi gnoi ar y data cyn ei chwistrellu i'r system SIEM. Un enghraifft o normaleiddio cyn-chwistrellu o'r fath yw Elastic Stack a rhai SIEMs masnachol eraill.
Yn y pen draw, mae trwyddedu seiliedig ar seilwaith yn effeithiol pan fo angen casglu data penodol yn unig gyda chyn-brosesu lleiaf posibl, tra na fydd trwyddedu seiliedig ar gyfaint yn caniatΓ‘u casglu popeth. Mae'r chwilio am ateb canolradd yn arwain at y meini prawf canlynol:
- Symleiddio crynhoi a normaleiddio data.
- Hidlo sΕ΅n a data llai pwysig allan.
- Darparu galluoedd dadansoddi.
- Anfon data wedi'i hidlo a'i normaleiddio i SIEM
O ganlyniad, ni fydd angen i systemau SIEM targed wario pΕ΅er CPU ychwanegol ar brosesu a gallant elwa o nodi'r digwyddiadau pwysicaf yn unig heb leihau gwelededd i'r hyn sy'n digwydd.
Yn ddelfrydol, dylai ateb canolradd o'r fath hefyd ddarparu galluoedd canfod ac ymateb amser real, y gellir eu defnyddio i liniaru effaith gweithredoedd a allai fod yn beryglus a chrynhoi'r holl lif digwyddiadau yn set ddata gyfleus a syml ar gyfer y SIEM. Yna gellir defnyddio'r SIEM i greu crynhoadau, cydberthnasau a phrosesau rhybuddio ychwanegol.
Nid yw'r ateb canolradd dirgel hwnnw'n ddim llai na CLM, a soniais amdano ar ddechrau'r erthygl hon. Dyma sut mae Gartner yn ei weld:

Nawr gallwn geisio darganfod pa mor dda y mae InTrust yn bodloni argymhellion Gartner:
- Storio effeithlon ar gyfer y cyfrolau a'r mathau o ddata y mae angen eu storio.
- Cyflymder chwilio uchel.
- Nid yw galluoedd delweddu yn rhywbeth sy'n ofynnol ar gyfer CLM sylfaenol, ond mae hela bygythiadau fel system BI ar gyfer diogelwch a dadansoddi data.
- Cyfoethogi data i ategu data crai gyda gwybodaeth gyd-destunol ddefnyddiol (megis lleoliad daearyddol ac eraill).
Mae Quest InTrust yn defnyddio system storio berchnogol gyda chywasgu data hyd at 40:1 a dad-ddyblygu cyflym, gan leihau gorbenion storio ar gyfer systemau CLM a SIEM.

Consol Chwilio Diogelwch TG gyda chwiliad tebyg i Google
Gall modiwl arbenigol gyda rhyngwyneb gwe, Chwilio Diogelwch TG (ITSS), gysylltu Γ’ data digwyddiadau yn ystorfa InTrust a darparu rhyngwyneb syml ar gyfer hela bygythiadau. Mae'r rhyngwyneb mor syml fel ei fod yn gweithio fel Google ar gyfer data log digwyddiadau. Mae ITSS yn defnyddio llinellau amser ar gyfer canlyniadau ymholiadau, gall uno a grwpio meysydd digwyddiadau, ac mae'n cynorthwyo'n effeithiol wrth hela bygythiadau.
Mae InTrust yn cyfoethogi digwyddiadau Windows dynodwyr diogelwch, enwau ffeiliau, a dynodwyr mewngofnodi diogelwch. Mae InTrust hefyd yn normaleiddio digwyddiadau i gynllun W6 syml (Pwy, Beth, Ble, Pryd, Pwy, ac O Ble) fel bod data o wahanol ffynonellau (digwyddiadau brodorol) Windows, boncyffion Linux neu syslog) gellid gweld mewn un fformat ac ar un consol chwilio.
Mae InTrust yn cefnogi galluoedd rhybuddio, canfod ac ymateb amser real y gellir eu defnyddio fel system debyg i EDR i leihau'r difrod a achosir gan weithgarwch amheus. Mae rheolau diogelwch adeiledig yn canfod, ond heb fod yn gyfyngedig i, y bygythiadau canlynol:
- Chwistrellu cyfrinair.
- Kerberoasting.
- Gweithgaredd PowerShell amheus, fel gweithredu Mimikatz.
- Prosesau amheus, fel ransomware LokerGoga.
- Amgryptio gan ddefnyddio logiau CA4FS.
- Mewngofnodi gyda chyfrif breintiedig ar orsafoedd gwaith.
- Ymosodiadau grym brwd cyfrinair.
- Defnydd amheus o grwpiau a defnyddwyr lleol.
Nawr byddaf yn dangos ychydig o sgrinluniau o InTrust ei hun i chi, fel y gallwch gael syniad o'i alluoedd.

Hidlwyr wedi'u diffinio ymlaen llaw ar gyfer chwilio am wendidau posibl

Enghraifft o set o hidlwyr ar gyfer casglu data crai

Enghraifft o ddefnyddio mynegiadau rheolaidd i greu ymateb i ddigwyddiad

Enghraifft o reol sganio bregusrwydd PowerShell

Cronfa wybodaeth adeiledig gyda disgrifiadau o fregusrwydd
Mae InTrust yn offeryn pwerus y gellir ei ddefnyddio fel ateb annibynnol neu fel rhan o system SIEM, fel y disgrifiwyd uchod. Efallai mai prif fantais yr ateb hwn yw y gellir ei ddefnyddio yn syth ar Γ΄l ei osod, gan fod gan InTrust lyfrgell fawr o reolau ac ymatebion canfod bygythiadau (er enghraifft, blocio defnyddwyr).
Wnes i ddim trafod integreiddiadau parod yn yr erthygl hon. Fodd bynnag, yn syth ar Γ΄l eu gosod, gallwch chi ffurfweddu anfon digwyddiadau i Splunk, IBM QRadar, Microfocus Arcsight, neu unrhyw system arall trwy webhook. Isod mae enghraifft o'r rhyngwyneb Kibana gyda digwyddiadau o InTrust. Mae integreiddio Γ’'r Elastic Stack eisoes ar gael, ac os ydych chi'n defnyddio'r fersiwn am ddim o Elastic, gellir defnyddio InTrust fel offeryn ar gyfer canfod bygythiadau, rhybuddio rhagweithiol, a hysbysiadau.

Gobeithio bod yr erthygl hon wedi rhoi dealltwriaeth sylfaenol i chi o'r cynnyrch hwn. Rydym yn barod i gynnig InTrust i chi i'w brofi neu i gynnal prosiect peilot. Gallwch gyflwyno cais yn ar ein gwefan.
Darllenwch ein herthyglau eraill ar ddiogelwch gwybodaeth:
(erthygl boblogaidd)
Ffynhonnell: hab.com
