Πριν από λίγο καιρό, η Splunk πρόσθεσε ένα άλλο μοντέλο αδειοδότησης - αδειοδότηση βάσει υποδομής (). Μετρούν τον αριθμό των πυρήνων της CPU στους διακομιστές Splunk. Πολύ παρόμοια με την αδειοδότηση Elastic Stack, μετρούν τον αριθμό των κόμβων Elasticsearch. Τα συστήματα SIEM είναι παραδοσιακά ακριβά και συνήθως υπάρχει μια επιλογή μεταξύ πληρωμής πολλών και πολλών πληρωμών. Αλλά, αν χρησιμοποιήσετε κάποια εφευρετικότητα, μπορείτε να συναρμολογήσετε μια παρόμοια δομή.
Φαίνεται ανατριχιαστικό, αλλά μερικές φορές αυτή η αρχιτεκτονική λειτουργεί στην παραγωγή. Η πολυπλοκότητα σκοτώνει την ασφάλεια και, γενικά, σκοτώνει τα πάντα. Στην πραγματικότητα, για τέτοιες περιπτώσεις (μιλώ για μείωση του κόστους ιδιοκτησίας) υπάρχει μια ολόκληρη κατηγορία συστημάτων - Central Log Management (CLM). Σχετικά με αυτό , θεωρώντας τα υποτιμημένα. Εδώ είναι οι συστάσεις τους:
- Χρησιμοποιήστε τις δυνατότητες και τα εργαλεία CLM όταν υπάρχουν περιορισμοί προϋπολογισμού και προσωπικού, απαιτήσεις παρακολούθησης ασφάλειας και απαιτήσεις ειδικών περιπτώσεων χρήσης.
- Εφαρμόστε το CLM για να βελτιώσετε τις δυνατότητες συλλογής και ανάλυσης αρχείων καταγραφής όταν μια λύση SIEM αποδεικνύεται πολύ ακριβή ή πολύπλοκη.
- Επενδύστε σε εργαλεία CLM με αποτελεσματική αποθήκευση, γρήγορη αναζήτηση και ευέλικτη απεικόνιση για να βελτιώσετε τη διερεύνηση/ανάλυση συμβάντων ασφαλείας και να υποστηρίξετε το κυνήγι απειλών.
- Βεβαιωθείτε ότι λαμβάνονται υπόψη οι ισχύοντες παράγοντες και εκτιμήσεις πριν από την εφαρμογή μιας λύσης CLM.
Σε αυτό το άρθρο θα μιλήσουμε για τις διαφορές στις προσεγγίσεις στην αδειοδότηση, θα κατανοήσουμε το CLM και θα μιλήσουμε για ένα συγκεκριμένο σύστημα αυτής της κατηγορίας - . Λεπτομέρειες κάτω από το κόψιμο.
Στην αρχή αυτού του άρθρου, μίλησα για τη νέα προσέγγιση στην αδειοδότηση Splunk. Οι τύποι αδειοδότησης μπορούν να συγκριθούν με τις τιμές ενοικίασης αυτοκινήτου. Ας φανταστούμε ότι το μοντέλο, όσον αφορά τον αριθμό των CPU, είναι ένα οικονομικό αυτοκίνητο με απεριόριστα χιλιόμετρα και βενζίνη. Μπορείτε να πάτε οπουδήποτε χωρίς περιορισμούς απόστασης, αλλά δεν μπορείτε να πάτε πολύ γρήγορα και, κατά συνέπεια, να διανύσετε πολλά χιλιόμετρα την ημέρα. Η αδειοδότηση δεδομένων είναι παρόμοια με ένα σπορ αυτοκίνητο με μοντέλο ημερήσιας χιλιομετρικής απόστασης. Μπορείτε να οδηγείτε απερίσκεπτα σε μεγάλες αποστάσεις, αλλά θα πρέπει να πληρώσετε περισσότερα για την υπέρβαση του ημερήσιου ορίου χιλιομέτρων.
Για να επωφεληθείτε από την άδεια χρήσης βάσει φορτίου, πρέπει να έχετε τη χαμηλότερη δυνατή αναλογία πυρήνων CPU προς φορτωμένα GB δεδομένων. Στην πράξη αυτό σημαίνει κάτι σαν:
- Ο μικρότερος δυνατός αριθμός ερωτημάτων στα φορτωμένα δεδομένα.
- Ο μικρότερος αριθμός πιθανών χρηστών της λύσης.
- Όσο το δυνατόν πιο απλά και κανονικοποιημένα δεδομένα (έτσι ώστε να μην υπάρχει ανάγκη σπατάλης κύκλων CPU για επακόλουθη επεξεργασία και ανάλυση δεδομένων).
Το πιο προβληματικό πράγμα εδώ είναι τα κανονικοποιημένα δεδομένα. Εάν θέλετε ένα SIEM να είναι ένας αθροιστής όλων των αρχείων καταγραφής σε έναν οργανισμό, απαιτεί τεράστια προσπάθεια ανάλυσης και μετα-επεξεργασίας. Μην ξεχνάτε ότι πρέπει επίσης να σκεφτείτε μια αρχιτεκτονική που δεν θα καταρρεύσει υπό φορτίο, δηλ. θα απαιτηθούν πρόσθετοι διακομιστές και επομένως επιπλέον επεξεργαστές.
Η αδειοδότηση όγκου δεδομένων βασίζεται στον όγκο των δεδομένων που αποστέλλονται στο maw του SIEM. Οι πρόσθετες πηγές δεδομένων τιμωρούνται με το ρούβλι (ή άλλο νόμισμα) και αυτό σας κάνει να σκεφτείτε τι δεν θέλατε πραγματικά να συλλέξετε. Για να ξεπεράσετε αυτό το μοντέλο αδειοδότησης, μπορείτε να δαγκώσετε τα δεδομένα πριν εγχυθούν στο σύστημα SIEM. Ένα παράδειγμα τέτοιας κανονικοποίησης πριν από την έγχυση είναι το Elastic Stack και μερικά άλλα εμπορικά SIEM.
Ως αποτέλεσμα, έχουμε ότι η αδειοδότηση ανά υποδομή είναι αποτελεσματική όταν χρειάζεται να συλλέξετε μόνο ορισμένα δεδομένα με ελάχιστη προεπεξεργασία και η αδειοδότηση κατ' όγκο δεν θα σας επιτρέψει να συλλέξετε τα πάντα. Η αναζήτηση μιας ενδιάμεσης λύσης οδηγεί στα ακόλουθα κριτήρια:
- Απλοποιήστε τη συγκέντρωση και την κανονικοποίηση δεδομένων.
- Φιλτράρισμα θορυβωδών και λιγότερο σημαντικών δεδομένων.
- Παροχή δυνατοτήτων ανάλυσης.
- Αποστολή φιλτραρισμένων και κανονικοποιημένων δεδομένων στη SIEM
Ως αποτέλεσμα, τα στοχευόμενα συστήματα SIEM δεν θα χρειαστεί να σπαταλούν επιπλέον ισχύ της CPU στην επεξεργασία και μπορούν να επωφεληθούν από τον εντοπισμό μόνο των πιο σημαντικών γεγονότων χωρίς να μειώνουν την ορατότητα του τι συμβαίνει.
Στην ιδανική περίπτωση, μια τέτοια λύση ενδιάμεσου λογισμικού θα πρέπει επίσης να παρέχει δυνατότητες ανίχνευσης και απόκρισης σε πραγματικό χρόνο που μπορούν να χρησιμοποιηθούν για τη μείωση του αντίκτυπου των δυνητικά επικίνδυνων δραστηριοτήτων και τη συγκέντρωση ολόκληρης της ροής γεγονότων σε ένα χρήσιμο και απλό όγκο δεδομένων προς το SIEM. Λοιπόν, τότε το SIEM μπορεί να χρησιμοποιηθεί για τη δημιουργία πρόσθετων συναθροίσεων, συσχετισμών και διεργασιών ειδοποίησης.
Αυτή η ίδια μυστηριώδης ενδιάμεση λύση δεν είναι άλλη από την CLM, την οποία ανέφερα στην αρχή του άρθρου. Έτσι το βλέπει η Gartner:
Τώρα μπορείτε να προσπαθήσετε να καταλάβετε πώς το InTrust συμμορφώνεται με τις συστάσεις της Gartner:
- Αποτελεσματική αποθήκευση για τους όγκους και τους τύπους δεδομένων που πρέπει να αποθηκευτούν.
- Υψηλή ταχύτητα αναζήτησης.
- Οι δυνατότητες οπτικοποίησης δεν είναι αυτό που απαιτεί το βασικό CLM, αλλά το κυνήγι απειλών είναι σαν ένα σύστημα BI για την ασφάλεια και την ανάλυση δεδομένων.
- Εμπλουτισμός δεδομένων για εμπλουτισμό πρωτογενών δεδομένων με χρήσιμα δεδομένα συμφραζομένων (όπως γεωγραφική τοποθεσία και άλλα).
Το Quest InTrust χρησιμοποιεί το δικό του σύστημα αποθήκευσης με συμπίεση δεδομένων έως και 40:1 και αντιγραφή υψηλής ταχύτητας, γεγονός που μειώνει τα έξοδα αποθήκευσης για τα συστήματα CLM και SIEM.
Κονσόλα αναζήτησης ασφαλείας IT με αναζήτηση όπως η Google
Μια εξειδικευμένη μονάδα με διεπαφή ιστού, η Αναζήτηση Ασφάλειας IT (ITSS), μπορεί να συνδεθεί με δεδομένα συμβάντων στο αποθετήριο InTrust και παρέχει μια απλή διεπαφή για την αναζήτηση απειλών. Η διεπαφή είναι απλοποιημένη σε σημείο που λειτουργεί όπως η Google για δεδομένα καταγραφής συμβάντων. Το ITSS χρησιμοποιεί χρονοδιαγράμματα για αποτελέσματα ερωτημάτων, μπορεί να συγχωνεύσει και να ομαδοποιήσει πεδία συμβάντων και βοηθά αποτελεσματικά στο κυνήγι απειλών.
Το InTrust εμπλουτίζει τα συμβάντα των Windows με αναγνωριστικά ασφαλείας, ονόματα αρχείων και αναγνωριστικά σύνδεσης ασφαλείας. Το InTrust εξομαλύνει επίσης τα συμβάντα σε ένα απλό σχήμα W6 (Who, What, Where, When, Whom and Where From) έτσι ώστε τα δεδομένα από διαφορετικές πηγές (εγγενή συμβάντα Windows, αρχεία καταγραφής Linux ή syslog) να είναι ορατά σε μια ενιαία μορφή και σε ένα κονσόλα αναζήτησης.
Το InTrust υποστηρίζει δυνατότητες ειδοποίησης, ανίχνευσης και απόκρισης σε πραγματικό χρόνο που μπορούν να χρησιμοποιηθούν ως σύστημα τύπου EDR για την ελαχιστοποίηση της ζημιάς που προκαλείται από ύποπτη δραστηριότητα. Οι ενσωματωμένοι κανόνες ασφαλείας εντοπίζουν, αλλά δεν περιορίζονται σε, τις ακόλουθες απειλές:
- Ψεκασμός κωδικού πρόσβασης.
- Kerberoasting.
- Ύποπτη δραστηριότητα PowerShell, όπως η εκτέλεση του Mimikatz.
- Ύποπτες διαδικασίες, για παράδειγμα, LokerGoga ransomware.
- Κρυπτογράφηση με χρήση αρχείων καταγραφής CA4FS.
- Συνδέεται με προνομιακό λογαριασμό σε σταθμούς εργασίας.
- Επιθέσεις εικασίας κωδικών πρόσβασης.
- Ύποπτη χρήση τοπικών ομάδων χρηστών.
Τώρα θα σας δείξω μερικά στιγμιότυπα οθόνης του ίδιου του InTrust, ώστε να έχετε μια εντύπωση για τις δυνατότητές του.
Προκαθορισμένα φίλτρα για αναζήτηση πιθανών τρωτών σημείων
Ένα παράδειγμα ενός συνόλου φίλτρων για τη συλλογή ακατέργαστων δεδομένων
Ένα παράδειγμα χρήσης κανονικών εκφράσεων για τη δημιουργία αντίδρασης σε ένα γεγονός
Παράδειγμα με έναν κανόνα αναζήτησης ευπάθειας PowerShell
Ενσωματωμένη βάση γνώσεων με περιγραφές τρωτών σημείων
Το InTrust είναι ένα ισχυρό εργαλείο που μπορεί να χρησιμοποιηθεί ως αυτόνομη λύση ή ως μέρος ενός συστήματος SIEM, όπως περιέγραψα παραπάνω. Πιθανώς το κύριο πλεονέκτημα αυτής της λύσης είναι ότι μπορείτε να αρχίσετε να τη χρησιμοποιείτε αμέσως μετά την εγκατάσταση, γιατί Το InTrust διαθέτει μια μεγάλη βιβλιοθήκη κανόνων για τον εντοπισμό απειλών και την απόκριση σε αυτές (για παράδειγμα, αποκλεισμός ενός χρήστη).
Στο άρθρο δεν μίλησα για εγκιβωτισμένες ενσωματώσεις. Αλλά αμέσως μετά την εγκατάσταση, μπορείτε να διαμορφώσετε την αποστολή συμβάντων στο Splunk, IBM QRadar, Microfocus Arcsight ή μέσω webhook σε οποιοδήποτε άλλο σύστημα. Παρακάτω είναι ένα παράδειγμα διεπαφής Kibana με συμβάντα από το InTrust. Υπάρχει ήδη ενοποίηση με το Elastic Stack και, εάν χρησιμοποιείτε τη δωρεάν έκδοση του Elastic, το InTrust μπορεί να χρησιμοποιηθεί ως εργαλείο για τον εντοπισμό απειλών, την εκτέλεση προληπτικών ειδοποιήσεων και την αποστολή ειδοποιήσεων.
Ελπίζω ότι το άρθρο έδωσε μια ελάχιστη ιδέα για αυτό το προϊόν. Είμαστε έτοιμοι να δώσουμε το InTrust σε εσάς για δοκιμή ή να πραγματοποιήσουμε ένα πιλοτικό έργο. Η εφαρμογή μπορεί να παραμείνει στο στον ιστότοπό μας.
Διαβάστε τα άλλα άρθρα μας σχετικά με την ασφάλεια πληροφοριών:
(δημοφιλές άρθρο)
Πηγή: www.habr.com