Duela gutxi, Splunk-ek beste lizentzia-eredu bat gehitu zuen: azpiegituretan oinarritutako lizentziak (). Splunk zerbitzarien azpian CPU-nukleoen kopurua zenbatzen dute. Elastic Stack lizentzien oso antzekoa da, Elasticsearch nodo kopurua zenbatzen dute. SIEM sistemak tradizioz garestiak dira eta normalean asko eta asko ordaintzearen artean aukera dago. Baina, adimen pixka bat erabiltzen baduzu, antzeko egitura bat munta dezakezu.
Beldurgarria dirudi, baina batzuetan arkitektura honek ekoizpenean funtzionatzen du. Konplexutasunak segurtasuna hiltzen du, eta, oro har, dena hiltzen du. Izan ere, horrelako kasuetarako (jabetzaren kostua murrizteaz ari naiz) sistema-klase oso bat dago - Central Log Management (CLM). Horri buruz , gutxietsita daudela ikusita. Hona hemen haien gomendioak:
- Erabili CLM gaitasunak eta tresnak aurrekontu- eta langile-murrizketak, segurtasun-kontrol-eskakizunak eta erabilera-kasu zehatzak daudenean.
- Inplementatu CLM erregistroak biltzeko eta aztertzeko gaitasunak hobetzeko, SIEM irtenbide bat garestiegia edo konplexuegia gertatzen denean.
- Inbertitu CLM tresnetan biltegiratze eraginkorrekin, bilaketa azkarrekin eta bistaratze malguarekin, segurtasuneko gertakarien ikerketa/analisia hobetzeko eta mehatxuen ehiza laguntzeko.
- Ziurtatu aplikagarriak diren faktoreak eta kontuan hartzen direla CLM irtenbide bat ezarri aurretik.
Artikulu honetan lizentzien ikuspegien desberdintasunei buruz hitz egingo dugu, CLM ulertuko dugu eta klase honetako sistema zehatz bati buruz hitz egingo dugu - . Ebaki azpian xehetasunak.
Artikulu honen hasieran, Splunk lizentzien ikuspegi berriari buruz hitz egin nuen. Lizentzia motak autoen alokairu-tasekin aldera daitezke. Imajina dezagun eredua, CPU kopuruari dagokionez, kilometraje eta gasolina mugagabeko auto ekonomikoa dela. Edonora joan zaitezke distantzia mugarik gabe, baina ezin zara oso azkar joan eta, ondorioz, egunean kilometro asko egin. Datu-lizentzia eguneroko kilometrajearen eredua duen kirol-auto baten antzekoa da. Distantzia luzeetan arduragabekeriaz gidatu dezakezu, baina gehiago ordaindu beharko duzu eguneko kilometrajearen muga gainditzeagatik.
Kargan oinarritutako lizentziari etekina ateratzeko, kargatutako PUZaren nukleoen eta GB datuen arteko proportzio txikiena izan behar duzu. Praktikan, honelako zerbait esan nahi du:
- Kargatutako datuei ahalik eta kontsulta kopuru txikiena.
- Irtenbidearen erabiltzaile posibleen kopuru txikiena.
- Datu ahalik eta errazenak eta normalizatuenak (ondoren datuak prozesatzeko eta aztertzeko PUZaren zikloak alferrik galdu behar ez izateko).
Hemen problematikoena datu normalizatuak dira. SIEM bat erakunde bateko erregistro guztien agregatzailea izatea nahi baduzu, esfortzu handia eskatzen du analizatzeko eta osteko prozesamenduan. Ez ahaztu kargapean eroriko ez den arkitektura batean ere pentsatu behar duzula, hau da. zerbitzari osagarriak eta, beraz, prozesadore osagarriak beharko dira.
Datu-bolumenaren lizentziak SIEM-en maw-era bidaltzen diren datu kopuruan oinarritzen dira. Datu-iturri gehigarriak errubloarekin (edo beste moneta batekin) zigortzen dira eta horrek benetan bildu nahi ez zenuenari buruz pentsaraziko zaitu. Lizentzia-eredu hau gainditzeko, datuak zizta ditzakezu SIEM sisteman sartu aurretik. Injekzio aurretik normalizazio horren adibide bat Elastic Stack eta beste SIEM komertzial batzuk dira.
Ondorioz, azpiegituraren araberako lizentziak eraginkorra dira aurreprozesamendu minimoarekin datu batzuk bakarrik bildu behar dituzunean, eta bolumenaren araberako lizentziak ez dizu dena biltzeko aukera emango. Tarteko konponbidea bilatzeko irizpide hauek dakartza:
- Datuen agregazioa eta normalizazioa sinplifikatu.
- Datu zaratatsuak eta garrantzi gutxieneko datuak iragaztea.
- Analisirako gaitasunak eskaintzea.
- Bidali iragazitako eta normalizatutako datuak SIEMra
Ondorioz, helburuko SIEM sistemek ez dute PUZaren potentzia gehigarririk xahutu beharko prozesatzeko eta gertakari garrantzitsuenak soilik identifikatzea onuragarria izan daiteke gertatzen ari denaren ikusgarritasuna murriztu gabe.
Egokiena, horrelako middleware-soluzio batek denbora errealean detektatzeko eta erantzuteko gaitasunak ere eman beharko lituzke, arriskutsuak izan daitezkeen jardueren eragina murrizteko eta gertaeren korronte osoa SIEMrako datu kuantiko erabilgarri eta sinple batean biltzeko erabil daitezkeenak. Bada, SIEM gehigarri, korrelazio eta alerta-prozesu gehigarriak sortzeko erabil daiteke.
Tarteko irtenbide misteriotsu hori CLM baino ez da, artikuluaren hasieran aipatu dudana. Honela ikusten du Gartnerrek:
Orain saiatu zaitezke InTrust-ek Gartner-en gomendioak nola betetzen dituen azaltzen:
- Biltegiratze eraginkorra gorde behar diren datu-bolumen eta motetarako.
- Bilaketa abiadura handia.
- Bistaratzeko gaitasunak ez dira oinarrizko CLMk eskatzen duena, baina mehatxuen ehiza segurtasun eta datuen analisirako BI sistema bat bezalakoa da.
- Datuak aberastea datu gordinak testuinguruko datu erabilgarriekin aberasteko (adibidez, geokokapena eta beste batzuk).
Quest InTrust-ek biltegiratze sistema propioa erabiltzen du 40:1 datuen konpresioarekin eta abiadura handiko desduplicazioarekin, eta horrek CLM eta SIEM sistemetarako biltegiratze-gastuak murrizten ditu.
IT Segurtasun Bilaketa-kontsola google antzeko bilaketarekin
Web-oinarritutako IT Security Search (ITSS) modulu espezializatu batek InTrust biltegiko gertaeren datuetara konekta daiteke eta mehatxuak bilatzeko interfaze sinple bat eskaintzen du. Interfazea sinplifikatu egiten da Google-k bezala jarduten duelako gertaeren erregistroko datuetarako. ITSS-k kontsulten emaitzetan denbora-lerroak erabiltzen ditu, gertaeren eremuak batu eta taldekatu ditzake eta eraginkortasunez laguntzen du mehatxuen bila.
InTrust-ek Windows-eko gertaerak segurtasun-identifikatzaileekin, fitxategi-izenekin eta segurtasun-saio-saio-identifikatzaileekin aberasten ditu. InTrust-ek ere W6 eskema soil batera normalizatzen ditu gertaerak (Nor, Zer, Non, Noiz, Nor eta Nondik), iturri ezberdinetako datuak (Windows jatorrizko gertaerak, Linux erregistroak edo syslog) formatu bakarrean eta bakar batean ikusi ahal izateko. bilaketa-kontsola.
InTrust-ek denbora errealeko alerta, detekzio eta erantzun ahalmenak onartzen ditu, EDR antzeko sistema gisa erabil daitezkeen jarduera susmagarriek eragindako kalteak minimizatzeko. Segurtasun-arau integratuak honako mehatxu hauek detektatzen ditu, baina ez dira mugatzen:
- Pasahitz-ihinztatzea.
- Kerberoasting.
- PowerShell jarduera susmagarriak, adibidez, Mimikatz exekuzioa.
- Prozesu susmagarriak, adibidez, LokerGoga ransomwarea.
- Enkriptatzea CA4FS erregistroak erabiliz.
- Lan-estazioetako kontu pribilegiatu batekin saioa hasten da.
- Pasahitzak asmatzeko erasoak.
- Erabiltzaile talde lokalen erabilera susmagarria.
Orain InTrust beraren pantaila-argazki batzuk erakutsiko dizkizut bere gaitasunen inpresioa izan dezazun.
Aurrez definitutako iragazkiak ahultasun potentzialak bilatzeko
Datu gordinak biltzeko iragazki multzo baten adibidea
Gertaera baten aurrean erreakzio bat sortzeko adierazpen erregularrak erabiltzearen adibidea
Adibidea PowerShell ahultasunen bilaketa-arau batekin
Ezagutza-base integratua ahultasunen deskribapenekin
InTrust tresna indartsua da, soluzio autonomo gisa edo SIEM sistema baten parte gisa erabil daitekeena, goian deskribatu dudan moduan. Seguruenik, irtenbide honen abantaila nagusia instalatu eta berehala erabiltzen has zaitezkeela da InTrust-ek mehatxuak detektatzeko eta haiei erantzuteko (adibidez, erabiltzaile bat blokeatzea) arau liburutegi handi bat du.
Artikuluan ez nuen kutxadun integrazioei buruz hitz egin. Baina instalatu eta berehala, gertaerak bidaltzeko Splunk, IBM QRadar, Microfocus Arcsight edo webhook baten bidez konfigura ditzakezu beste edozein sistematara. Jarraian, InTrust-eko gertaeren Kibana interfaze baten adibidea dago. Dagoeneko integrazioa dago Elastic Stack-ekin eta, Elastic-en doako bertsioa erabiltzen baduzu, InTrust mehatxuak identifikatzeko, alerta proaktiboak egiteko eta jakinarazpenak bidaltzeko tresna gisa erabil daiteke.
Espero dut artikuluak produktu honi buruzko ideia minimo bat ematea. Prest gaude InTrust zuri emateko probak egiteko edo proiektu pilotu bat egiteko. Aplikazioa hemen utz daiteke gure webgunean.
Irakurri informazioaren segurtasunari buruzko gure beste artikuluak:
(artikulu ezaguna)
Iturria: www.habr.com