Duela gutxi, Splunk-ek beste lizentzia eredu bat gehitu du: azpiegituretan oinarritutako lizentziak (). Splunk zerbitzarietan exekutatzen diren CPU nukleoen kopurua zenbatzen dute. Oso antzekoa da Elastic Stack lizentziekin, non Elasticsearch nodoen kopurua zenbatzen duten. SIEM sistemak tradizionalki garestiak dira, eta normalean asko ordaintzearen eta asko ordaintzearen artean aukeratu behar izaten duzu. Baina asmamen pixka batekin, antzeko konfigurazio bat muntatu dezakezu.

Traketsa dirudi, baina batzuetan arkitektura honek ekoizpenean funtzionatzen du. Konplexutasunak segurtasuna hiltzen du, eta, oro har, dena hiltzen du. Izan ere, erabilera kasu horietarako (jabetza kostua murrizteaz ari naiz), sistema klase oso bat dago: Erregistroen Kudeaketa Zentrala (CLM). Horixe da kontua. , gutxietsitzat hartuta. Hona hemen haien gomendioak:
- Erabili CLM gaitasunak eta tresnak aurrekontu eta langile mugak, segurtasun monitorizazio eskakizunak eta erabilera kasu zehatzen eskakizunak daudenean.
- SIEM irtenbide bat garestiegia edo konplexuegia denean, ezar ezazu CLM erregistroak biltzeko eta aztertzeko gaitasunak zabaltzeko.
- Inbertitu biltegiratze eraginkorra, bilaketa azkarra eta bistaratze malgua duten CLM tresnetan segurtasun-intzidenteen ikerketa/analisia hobetzeko eta mehatxuen ehiza laguntzeko.
- Ziurtatu CLM irtenbide bat ezarri aurretik faktore eta gogoeta aplikagarriak kontuan hartzen direla.
Artikulu honetan, lizentzien ikuspegien arteko desberdintasunak aztertuko ditugu, CLM aztertuko dugu eta klase honetako sistema espezifiko bat deskribatuko dugu: Xehetasunak behean.
Artikulu honen hasieran, Splunk lizentzietarako ikuspegi berri bat deskribatu nuen. Lizentzia aukerak autoen alokairu-tarifekin konpara daitezke. Imajina dezagun CPUan oinarritutako eredua erregai-eraginkortasun handiko auto baten antzekoa dela, kilometraje eta gasolina mugagabearekin. Edozein lekutan gidatu dezakezu distantzia-mugarik gabe, baina ezin duzu oso azkar gidatu eta, beraz, kilometro asko egin ditzakezu egunean. Datuetan oinarritutako lizentziak eguneroko kilometraje-eredua duen kirol-auto baten antzekoak dira. Arduragabeki gidatu dezakezu distantzia luzeetan, baina eguneroko kilometraje-muga gainditzeagatik gehiago ordainduko duzu.

Lan-kargaren araberako lizentziez baliatzeko, kargatutako datu-GB kopuruaren eta CPU nukleoen arteko erlazio txikiena izan behar duzu. Praktikan, honek honelako zerbait esan nahi du:
- Kargatutako datuei egin dakizkiekeen eskaera kopuru ahalik eta txikiena.
- Soluzioaren erabiltzaile posible kopuru txikiena.
- Ahalik eta datu sinpleenak eta normalizatuenak (CPU zikloak ondorengo datuen prozesamenduan eta analisietan gastatu beharrik ez izateko).
Hemen alderdirik zailena datu normalizatuak dira. SIEM erakundeko erregistro guztien agregatzaile izatea nahi baduzu, ahalegin handia egin behar da analisi eta postprozesamenduan. Ez ahaztu kargaren azpian kolapsatuko ez den arkitektura bat ere kontuan hartu behar duzula, hau da, zerbitzari gehigarriak eta, beraz, prozesadore gehigarriak beharko direla.
Datu-bolumenaren lizentziak SIEM-era bidalitako datu kopuruan oinarritzen dira. Datu-iturri gehigarriak zigortzen dira, eta horrek zalantzan jartzen zaitu ea benetan zerbait bildu nahi izan duzun. Lizentzia-eredu hau saihesteko, datuak mokadutxo bat har dezakezu SIEM sisteman txertatu aurretik. Injekzio aurreko normalizazio horren adibide bat Elastic Stack eta beste SIEM komertzial batzuk dira.
Azken finean, azpiegituretan oinarritutako lizentziak eraginkorrak dira datu espezifikoak soilik bildu behar direnean aurreprozesamendu minimoarekin, bolumenetan oinarritutako lizentzien bidez, berriz, ez da posible dena biltzea. Tarteko irtenbide baten bilaketak irizpide hauetara eramaten gaitu:
- Datuen agregazioa eta normalizazioa sinplifikatzea.
- Zarata eta garrantzi gutxiagoko datuak iragaziz.
- Analisi gaitasunak eskaintzea.
- Datuak iragazi eta normalizatuta SIEMera bidaltzea
Ondorioz, helburuko SIEM sistemek ez dute CPU potentzia gehigarririk gastatu beharko prozesatzeko eta gertaera garrantzitsuenak soilik identifikatzeaz baliatu ahal izango dira, gertatzen ari denaren ikusgarritasuna murriztu gabe.
Idealki, tarteko irtenbide horrek denbora errealeko detekzio eta erantzun gaitasunak ere eman beharko lituzke, ekintza arriskutsuen eragina arintzeko eta gertaeren jario osoa SIEMerako datu-multzo eroso eta sinple batean biltzeko erabil daitezkeenak. Ondoren, SIEM erabil daiteke agregazio, korrelazio eta alerta prozesu gehigarriak sortzeko.
Tarteko irtenbide misteriotsu hori ez da beste ezer CLM baino, artikulu honen hasieran aipatu nuena. Hona hemen Gartnerrek nola ikusten duen:

Orain, InTrust-ek Gartnerren gomendioak zenbateraino betetzen dituen jakiten saiatu gaitezke:
- Gorde behar diren datu-bolumen eta motentzako biltegiratze eraginkorra.
- Bilaketa-abiadura handia.
- Bistaratze gaitasunak ez dira oinarrizko CLMrako beharrezkoak, baina mehatxuen ehiza segurtasun eta datuen analisirako BI sistema baten antzekoa da.
- Datuen aberastea, datu gordinak testuinguru-informazio baliagarriarekin (geokokapena eta beste batzuk, adibidez) osatzeko.
Quest InTrust-ek 40:1eko datu-konpresioarekin eta abiadura handiko deduplikazioarekin biltegiratze-sistema jabeduna erabiltzen du, CLM eta SIEM sistemetarako biltegiratze-gastuak murriztuz.

IT Segurtasuneko Bilaketa kontsola Google-ren antzeko bilaketarekin
Web interfazea duen modulu espezializatu batek, IT Security Search (ITSS) izenekoak, InTrust biltegiko gertaeren datuetara konekta daiteke eta mehatxuen bilaketarako interfazea sinple bat eskaintzen du. Interfazea hain sinplifikatuta dago, ezen Google gertaeren erregistroko datuetarako bezala funtzionatzen baitu. ITSS-ek kontsulten emaitzetarako denbora-lerroak erabiltzen ditu, gertaera-eremuak batu eta taldekatu ditzake, eta mehatxuen bilaketan modu eraginkorrean laguntzen du.
InTrustek ekitaldiak aberasten ditu Windows segurtasun-identifikatzaileak, fitxategi-izenak eta segurtasun-saio-hasieraren identifikatzaileak. InTrust-ek gertaerak W6 eskema sinple batera normalizatzen ditu (Nor, Zer, Non, Noiz, Nor eta Nondik), iturri desberdinetako datuak (gertaera natiboak) Windows, erregistroak Linux edo syslog) formatu bakarrean eta bilaketa-kontsola bakarrean ikus zitezkeen.
InTrust-ek denbora errealeko alerta, detekzio eta erantzun gaitasunak onartzen ditu, EDR antzeko sistema gisa erabil daitezkeenak jarduera susmagarriek eragindako kalteak minimizatzeko. Segurtasun arau integratuek mehatxu hauek detektatzen dituzte, baina ez dira mugatzen:
- Pasahitz-ihinztadura.
- Kerberoasting-a.
- PowerShell-en jarduera susmagarria, hala nola Mimikatz exekuzioa.
- Prozesu susmagarriak, hala nola LokerGoga ransomwarea.
- CA4FS erregistroak erabiliz enkriptatzea.
- Lan-estazioetan kontu pribilegiatu batekin saioa hasten du.
- Pasahitzen aurkako indar gordineko erasoak.
- Tokiko talde eta erabiltzaileen erabilera susmagarria.
Orain InTrust-en pantaila-argazki batzuk erakutsiko dizkizuet, bere gaitasunen ideia bat izan dezazuen.

Aurrez definitutako iragazkiak ahultasun potentzialak bilatzeko

Datu gordinak biltzeko iragazki multzo baten adibidea

Gertaera bati erantzuna sortzeko adierazpen erregularrak erabiltzearen adibide bat

PowerShell ahultasunen eskaneatze arauaren adibidea

Ahultasunen deskribapenekin barneratutako ezagutza-basea
InTrust tresna indartsua da, irtenbide independente gisa edo SIEM sistema baten parte gisa erabil daitekeena, goian deskribatu bezala. Agian irtenbide honen abantaila nagusia instalatu ondoren berehala erabil daitekeela da, InTrust-ek mehatxuak detektatzeko arau eta erantzunen liburutegi handia baitu (adibidez, erabiltzaileak blokeatzea).
Artikulu honetan ez ditut integrazio prest-egoeran azaldu. Hala ere, instalatu ondoren, gertaerak Splunk, IBM QRadar, Microfocus Arcsight edo beste edozein sistematara bidaltzea konfigura dezakezu webhook baten bidez. Jarraian, Kibana interfazearen adibide bat dago InTrust-eko gertaerekin. Elastic Stack-ekin integrazioa ere eskuragarri dago dagoeneko, eta Elastic-en doako bertsioa erabiltzen baduzu, InTrust mehatxuak detektatzeko, alerta proaktiboetarako eta jakinarazpenetarako tresna gisa erabil daiteke.

Artikulu honek produktu honen oinarrizko ulermena eman dizula espero dut. InTrust probatzeko edo proiektu pilotu bat egiteko eskaintzeko prest gaude. Eskaera bat bidal dezakezu helbide honetan: gure webgunean.
Irakurri informazioaren segurtasunari buruzko gure beste artikuluak:
(artikulu ezaguna)
Iturria: www.habr.com
