Nola murriztu SIEM sistema baten jabetza-kostua eta zergatik behar duzun Erregistro Kudeaketa Zentrala (CLM)

Duela gutxi, Splunk-ek beste lizentzia eredu bat gehitu du: azpiegituretan oinarritutako lizentziak (orain hiru dira). Splunk zerbitzarietan exekutatzen diren CPU nukleoen kopurua zenbatzen dute. Oso antzekoa da Elastic Stack lizentziekin, non Elasticsearch nodoen kopurua zenbatzen duten. SIEM sistemak tradizionalki garestiak dira, eta normalean asko ordaintzearen eta asko ordaintzearen artean aukeratu behar izaten duzu. Baina asmamen pixka batekin, antzeko konfigurazio bat muntatu dezakezu.

Nola murriztu SIEM sistema baten jabetza-kostua eta zergatik behar duzun Erregistro Kudeaketa Zentrala (CLM)

Traketsa dirudi, baina batzuetan arkitektura honek ekoizpenean funtzionatzen du. Konplexutasunak segurtasuna hiltzen du, eta, oro har, dena hiltzen du. Izan ere, erabilera kasu horietarako (jabetza kostua murrizteaz ari naiz), sistema klase oso bat dago: Erregistroen Kudeaketa Zentrala (CLM). Horixe da kontua. idazten du Gartnerrek, gutxietsitzat hartuta. Hona hemen haien gomendioak:

  • Erabili CLM gaitasunak eta tresnak aurrekontu eta langile mugak, segurtasun monitorizazio eskakizunak eta erabilera kasu zehatzen eskakizunak daudenean.
  • SIEM irtenbide bat garestiegia edo konplexuegia denean, ezar ezazu CLM erregistroak biltzeko eta aztertzeko gaitasunak zabaltzeko.
  • Inbertitu biltegiratze eraginkorra, bilaketa azkarra eta bistaratze malgua duten CLM tresnetan segurtasun-intzidenteen ikerketa/analisia hobetzeko eta mehatxuen ehiza laguntzeko.
  • Ziurtatu CLM irtenbide bat ezarri aurretik faktore eta gogoeta aplikagarriak kontuan hartzen direla.

Artikulu honetan, lizentzien ikuspegien arteko desberdintasunak aztertuko ditugu, CLM aztertuko dugu eta klase honetako sistema espezifiko bat deskribatuko dugu: Bilatu InTrustXehetasunak behean.

Artikulu honen hasieran, Splunk lizentzietarako ikuspegi berri bat deskribatu nuen. Lizentzia aukerak autoen alokairu-tarifekin konpara daitezke. Imajina dezagun CPUan oinarritutako eredua erregai-eraginkortasun handiko auto baten antzekoa dela, kilometraje eta gasolina mugagabearekin. Edozein lekutan gidatu dezakezu distantzia-mugarik gabe, baina ezin duzu oso azkar gidatu eta, beraz, kilometro asko egin ditzakezu egunean. Datuetan oinarritutako lizentziak eguneroko kilometraje-eredua duen kirol-auto baten antzekoak dira. Arduragabeki gidatu dezakezu distantzia luzeetan, baina eguneroko kilometraje-muga gainditzeagatik gehiago ordainduko duzu.

Nola murriztu SIEM sistema baten jabetza-kostua eta zergatik behar duzun Erregistro Kudeaketa Zentrala (CLM)

Lan-kargaren araberako lizentziez baliatzeko, kargatutako datu-GB kopuruaren eta CPU nukleoen arteko erlazio txikiena izan behar duzu. Praktikan, honek honelako zerbait esan nahi du:

  • Kargatutako datuei egin dakizkiekeen eskaera kopuru ahalik eta txikiena.
  • Soluzioaren erabiltzaile posible kopuru txikiena.
  • Ahalik eta datu sinpleenak eta normalizatuenak (CPU zikloak ondorengo datuen prozesamenduan eta analisietan gastatu beharrik ez izateko).

Hemen alderdirik zailena datu normalizatuak dira. SIEM erakundeko erregistro guztien agregatzaile izatea nahi baduzu, ahalegin handia egin behar da analisi eta postprozesamenduan. Ez ahaztu kargaren azpian kolapsatuko ez den arkitektura bat ere kontuan hartu behar duzula, hau da, zerbitzari gehigarriak eta, beraz, prozesadore gehigarriak beharko direla.

Datu-bolumenaren lizentziak SIEM-era bidalitako datu kopuruan oinarritzen dira. Datu-iturri gehigarriak zigortzen dira, eta horrek zalantzan jartzen zaitu ea benetan zerbait bildu nahi izan duzun. Lizentzia-eredu hau saihesteko, datuak mokadutxo bat har dezakezu SIEM sisteman txertatu aurretik. Injekzio aurreko normalizazio horren adibide bat Elastic Stack eta beste SIEM komertzial batzuk dira.

Azken finean, azpiegituretan oinarritutako lizentziak eraginkorrak dira datu espezifikoak soilik bildu behar direnean aurreprozesamendu minimoarekin, bolumenetan oinarritutako lizentzien bidez, berriz, ez da posible dena biltzea. Tarteko irtenbide baten bilaketak irizpide hauetara eramaten gaitu:

  • Datuen agregazioa eta normalizazioa sinplifikatzea.
  • Zarata eta garrantzi gutxiagoko datuak iragaziz.
  • Analisi gaitasunak eskaintzea.
  • Datuak iragazi eta normalizatuta SIEMera bidaltzea

Ondorioz, helburuko SIEM sistemek ez dute CPU potentzia gehigarririk gastatu beharko prozesatzeko eta gertaera garrantzitsuenak soilik identifikatzeaz baliatu ahal izango dira, gertatzen ari denaren ikusgarritasuna murriztu gabe.

Idealki, tarteko irtenbide horrek denbora errealeko detekzio eta erantzun gaitasunak ere eman beharko lituzke, ekintza arriskutsuen eragina arintzeko eta gertaeren jario osoa SIEMerako datu-multzo eroso eta sinple batean biltzeko erabil daitezkeenak. Ondoren, SIEM erabil daiteke agregazio, korrelazio eta alerta prozesu gehigarriak sortzeko.

Tarteko irtenbide misteriotsu hori ez da beste ezer CLM baino, artikulu honen hasieran aipatu nuena. Hona hemen Gartnerrek nola ikusten duen:

Nola murriztu SIEM sistema baten jabetza-kostua eta zergatik behar duzun Erregistro Kudeaketa Zentrala (CLM)

Orain, InTrust-ek Gartnerren gomendioak zenbateraino betetzen dituen jakiten saiatu gaitezke:

  • Gorde behar diren datu-bolumen eta motentzako biltegiratze eraginkorra.
  • Bilaketa-abiadura handia.
  • Bistaratze gaitasunak ez dira oinarrizko CLMrako beharrezkoak, baina mehatxuen ehiza segurtasun eta datuen analisirako BI sistema baten antzekoa da.
  • Datuen aberastea, datu gordinak testuinguru-informazio baliagarriarekin (geokokapena eta beste batzuk, adibidez) osatzeko.

Quest InTrust-ek 40:1eko datu-konpresioarekin eta abiadura handiko deduplikazioarekin biltegiratze-sistema jabeduna erabiltzen du, CLM eta SIEM sistemetarako biltegiratze-gastuak murriztuz.

Nola murriztu SIEM sistema baten jabetza-kostua eta zergatik behar duzun Erregistro Kudeaketa Zentrala (CLM)
IT Segurtasuneko Bilaketa kontsola Google-ren antzeko bilaketarekin

Web interfazea duen modulu espezializatu batek, IT Security Search (ITSS) izenekoak, InTrust biltegiko gertaeren datuetara konekta daiteke eta mehatxuen bilaketarako interfazea sinple bat eskaintzen du. Interfazea hain sinplifikatuta dago, ezen Google gertaeren erregistroko datuetarako bezala funtzionatzen baitu. ITSS-ek kontsulten emaitzetarako denbora-lerroak erabiltzen ditu, gertaera-eremuak batu eta taldekatu ditzake, eta mehatxuen bilaketan modu eraginkorrean laguntzen du.

InTrustek ekitaldiak aberasten ditu Windows segurtasun-identifikatzaileak, fitxategi-izenak eta segurtasun-saio-hasieraren identifikatzaileak. InTrust-ek gertaerak W6 eskema sinple batera normalizatzen ditu (Nor, Zer, Non, Noiz, Nor eta Nondik), iturri desberdinetako datuak (gertaera natiboak) Windows, erregistroak Linux edo syslog) formatu bakarrean eta bilaketa-kontsola bakarrean ikus zitezkeen.

InTrust-ek denbora errealeko alerta, detekzio eta erantzun gaitasunak onartzen ditu, EDR antzeko sistema gisa erabil daitezkeenak jarduera susmagarriek eragindako kalteak minimizatzeko. Segurtasun arau integratuek mehatxu hauek detektatzen dituzte, baina ez dira mugatzen:

  • Pasahitz-ihinztadura.
  • Kerberoasting-a.
  • PowerShell-en jarduera susmagarria, hala nola Mimikatz exekuzioa.
  • Prozesu susmagarriak, hala nola LokerGoga ransomwarea.
  • CA4FS erregistroak erabiliz enkriptatzea.
  • Lan-estazioetan kontu pribilegiatu batekin saioa hasten du.
  • Pasahitzen aurkako indar gordineko erasoak.
  • Tokiko talde eta erabiltzaileen erabilera susmagarria.

Orain InTrust-en pantaila-argazki batzuk erakutsiko dizkizuet, bere gaitasunen ideia bat izan dezazuen.

Nola murriztu SIEM sistema baten jabetza-kostua eta zergatik behar duzun Erregistro Kudeaketa Zentrala (CLM)
Aurrez definitutako iragazkiak ahultasun potentzialak bilatzeko

Nola murriztu SIEM sistema baten jabetza-kostua eta zergatik behar duzun Erregistro Kudeaketa Zentrala (CLM)
Datu gordinak biltzeko iragazki multzo baten adibidea

Nola murriztu SIEM sistema baten jabetza-kostua eta zergatik behar duzun Erregistro Kudeaketa Zentrala (CLM)
Gertaera bati erantzuna sortzeko adierazpen erregularrak erabiltzearen adibide bat

Nola murriztu SIEM sistema baten jabetza-kostua eta zergatik behar duzun Erregistro Kudeaketa Zentrala (CLM)
PowerShell ahultasunen eskaneatze arauaren adibidea

Nola murriztu SIEM sistema baten jabetza-kostua eta zergatik behar duzun Erregistro Kudeaketa Zentrala (CLM)
Ahultasunen deskribapenekin barneratutako ezagutza-basea

InTrust tresna indartsua da, irtenbide independente gisa edo SIEM sistema baten parte gisa erabil daitekeena, goian deskribatu bezala. Agian irtenbide honen abantaila nagusia instalatu ondoren berehala erabil daitekeela da, InTrust-ek mehatxuak detektatzeko arau eta erantzunen liburutegi handia baitu (adibidez, erabiltzaileak blokeatzea).

Artikulu honetan ez ditut integrazio prest-egoeran azaldu. Hala ere, instalatu ondoren, gertaerak Splunk, IBM QRadar, Microfocus Arcsight edo beste edozein sistematara bidaltzea konfigura dezakezu webhook baten bidez. Jarraian, Kibana interfazearen adibide bat dago InTrust-eko gertaerekin. Elastic Stack-ekin integrazioa ere eskuragarri dago dagoeneko, eta Elastic-en doako bertsioa erabiltzen baduzu, InTrust mehatxuak detektatzeko, alerta proaktiboetarako eta jakinarazpenetarako tresna gisa erabil daiteke.

Nola murriztu SIEM sistema baten jabetza-kostua eta zergatik behar duzun Erregistro Kudeaketa Zentrala (CLM)

Artikulu honek produktu honen oinarrizko ulermena eman dizula espero dut. InTrust probatzeko edo proiektu pilotu bat egiteko eskaintzeko prest gaude. Eskaera bat bidal dezakezu helbide honetan: feedback formularioa gure webgunean.

Irakurri informazioaren segurtasunari buruzko gure beste artikuluak:

Ransomware eraso bat detektatzen dugu, domeinu-kontrolagailurako sarbidea lortzen dugu eta eraso horiei aurre egiten saiatzen gara

Zer informazio baliagarri atera daiteke sistema eragile batean oinarritutako lan-estazio baten erregistroetatik? Windows (artikulu ezaguna)

Erabiltzailearen bizi-zikloaren jarraipena aliketa eta zinta hodirik gabe

Eta nork egin zuen? Informazioaren segurtasunaren auditoria automatizatzen dugu

Iturria: www.habr.com

Erosi hosting fidagarria DDoS babesa duten guneetarako, VPS VDS zerbitzariak πŸ”₯ Erosi webguneentzako ostatu fidagarria DDoS babesarekin, VPS VDS zerbitzariak | ProHoster