Ei kauan sitten Splunk lisäsi toisen lisensointimallin - infrastruktuuripohjaisen lisensoinnin (). Ne laskevat suorittimen ytimien määrän Splunk-palvelimien alla. Hyvin samankaltainen kuin Elastic Stack -lisenssi, ne laskevat Elasticsearch-solmujen määrän. SIEM-järjestelmät ovat perinteisesti kalliita ja yleensä on valittavana paljon tai paljon. Mutta jos käytät kekseliäisyyttä, voit koota samanlaisen rakenteen.
Se näyttää kammottavalta, mutta joskus tämä arkkitehtuuri toimii tuotannossa. Monimutkaisuus tappaa turvallisuuden ja yleensä tappaa kaiken. Itse asiassa tällaisia tapauksia varten (puhun omistuskustannusten vähentämisestä) on olemassa koko luokka järjestelmiä - Central Log Management (CLM). Siitä , koska ne ovat aliarvostettuja. Tässä on heidän suosituksensa:
- Käytä CLM-ominaisuuksia ja -työkaluja, kun budjetti- ja henkilöstörajoitukset, tietoturvan seurantavaatimukset ja erityiset käyttötapausvaatimukset ovat rajalliset.
- Ota CLM käyttöön parantaaksesi lokien keräämis- ja analysointiominaisuuksia, kun SIEM-ratkaisu osoittautuu liian kalliiksi tai monimutkaiseksi.
- Investoi CLM-työkaluihin tehokkaalla tallennustilalla, nopealla haulla ja joustavalla visualisoinnilla parantaaksesi tietoturvahäiriöiden tutkintaa/analyysiä ja tukeaksesi uhkien etsintää.
- Varmista, että soveltuvat tekijät ja näkökohdat otetaan huomioon ennen CLM-ratkaisun käyttöönottoa.
Tässä artikkelissa puhumme eroista lisensointimenetelmissä, ymmärrämme CLM:n ja puhumme tämän luokan tietystä järjestelmästä - . Yksityiskohdat leikkauksen alla.
Tämän artikkelin alussa puhuin uudesta lähestymistavasta Splunk-lisensointiin. Lisenssityyppejä voidaan verrata autonvuokraushintoihin. Kuvitellaan, että malli on prosessorien lukumäärän suhteen taloudellinen auto, jolla on rajoittamaton kilometrimäärä ja bensiini. Voit mennä minne tahansa ilman etäisyysrajoituksia, mutta et voi mennä kovin nopeasti ja siten kulkea monta kilometriä päivässä. Datalisenssi on samanlainen kuin urheiluauto, jossa on päivittäinen mittarilukema. Pitkiä matkoja voi ajaa holtittomasti, mutta päivittäisen kilometrirajan ylityksestä joutuu maksamaan enemmän.
Hyötyäksesi kuormitukseen perustuvasta lisensoinnista, sinulla on oltava alhaisin mahdollinen CPU-ytimien suhde ladatun gigatavun dataan. Käytännössä tämä tarkoittaa jotain tällaista:
- Pienin mahdollinen määrä kyselyitä ladattuihin tietoihin.
- Ratkaisun mahdollisimman pieni määrä käyttäjiä.
- Mahdollisimman yksinkertaista ja normalisoitua dataa (jotta ei tarvitse tuhlata prosessorijaksoja myöhempään tietojenkäsittelyyn ja analysointiin).
Ongelmallisin asia tässä on normalisoitu data. Jos haluat SIEM:n yhdistävän kaikki organisaation lokit, se vaatii valtavasti vaivaa jäsentämisessä ja jälkikäsittelyssä. Älä unohda, että sinun on myös mietittävä arkkitehtuuria, joka ei hajoa kuormituksen alla, ts. lisäpalvelimia ja siksi lisäprosessoreita tarvitaan.
Datan volyymilisensointi perustuu SIEM:n järjestelmään lähetettävän datan määrään. Muita tietolähteitä rangaistaan ruplalla (tai muulla valuutalla), ja tämä saa sinut ajattelemaan, mitä et todellakaan halunnut kerätä. Voit ohittaa tämän lisenssimallin puremalla tietoja ennen kuin ne syötetään SIEM-järjestelmään. Yksi esimerkki tällaisesta normalisoinnista ennen injektiota on Elastic Stack ja jotkin muut kaupalliset SIEM:it.
Tämän seurauksena meillä on, että infrastruktuurin mukainen lisensointi on tehokasta, kun sinun on kerättävä vain tiettyjä tietoja minimaalisella esikäsittelyllä, ja volyymin lisensointi ei salli kaiken keräämistä. Väliratkaisun etsiminen johtaa seuraaviin kriteereihin:
- Yksinkertaista tietojen yhdistäminen ja normalisointi.
- Meluisten ja vähiten tärkeiden tietojen suodatus.
- Analyysivalmiuksien tarjoaminen.
- Lähetä suodatettua ja normalisoitua dataa SIEM:iin
Tämän seurauksena kohde-SIEM-järjestelmien ei tarvitse tuhlata prosessorin lisätehoa käsittelyyn, ja ne voivat hyötyä vain tärkeimpien tapahtumien tunnistamisesta heikentämättä näkyvyyttä tapahtuvaan.
Ihannetapauksessa tällaisen väliohjelmistoratkaisun tulisi tarjota myös reaaliaikaisia havaitsemis- ja reagointiominaisuuksia, joita voidaan käyttää vähentämään mahdollisesti vaarallisten toimintojen vaikutusta ja yhdistämään koko tapahtumavirta hyödylliseksi ja yksinkertaiseksi SIEM-tietomääräksi. Sitten SIEM:iä voidaan käyttää lisäaggregaatioiden, korrelaatioiden ja hälytysprosessien luomiseen.
Sama mystinen väliratkaisu ei ole kukaan muu kuin CLM, jonka mainitsin artikkelin alussa. Näin Gartner näkee asian:
Nyt voit yrittää selvittää, kuinka InTrust noudattaa Gartnerin suosituksia:
- Tehokas tallennustila tallennettaville tietomäärille ja -tyypeille.
- Suuri hakunopeus.
- Visualisointiominaisuudet eivät ole sitä, mitä CLM vaatii, mutta uhkien metsästys on kuin tietoturva- ja tietoanalyysijärjestelmä.
- Tietojen rikastaminen raakadatan rikastamiseksi hyödyllisillä kontekstuaalisilla tiedoilla (kuten maantieteellinen sijainti ja muut).
Quest InTrust käyttää omaa tallennusjärjestelmää, jossa on jopa 40:1-tiedonpakkaus ja nopea duplikointi, mikä vähentää CLM- ja SIEM-järjestelmien tallennuskustannuksia.
IT Security Hakukonsoli googlen kaltaisella haulla
Erikoistunut verkkopohjainen IT Security Search (ITSS) -moduuli voi muodostaa yhteyden InTrust-tietovaraston tapahtumatietoihin ja tarjoaa yksinkertaisen käyttöliittymän uhkien etsimiseen. Käyttöliittymä on yksinkertaistettu siihen pisteeseen, että se toimii kuten Google tapahtumalokin tiedoissa. ITSS käyttää aikajanaa kyselyn tuloksiin, voi yhdistää ja ryhmitellä tapahtumakenttiä ja auttaa tehokkaasti uhkien metsästämisessä.
InTrust rikastuttaa Windows-tapahtumia suojaustunnisteilla, tiedostonimilla ja suojaussisäänkirjautumistunnuksilla. InTrust myös normalisoi tapahtumat yksinkertaiseen W6-skeemaan (kuka, mitä, missä, milloin, keneltä ja mistä), jotta tiedot eri lähteistä (Windowsin alkuperäiset tapahtumat, Linux-lokit tai syslog) voidaan nähdä yhdessä muodossa ja yhdessä hakukonsoli.
InTrust tukee reaaliaikaisia hälytys-, tunnistus- ja vastausominaisuuksia, joita voidaan käyttää EDR:n kaltaisena järjestelmänä minimoimaan epäilyttävän toiminnan aiheuttamat vahingot. Sisäänrakennetut suojaussäännöt havaitsevat seuraavat uhat, mutta eivät rajoitu niihin:
- Salasanan ruiskutus.
- Kerberoasting.
- Epäilyttävä PowerShell-toiminta, kuten Mimikatzin teloitus.
- Epäilyttävät prosessit, esimerkiksi LokerGoga ransomware.
- Salaus CA4FS-lokeilla.
- Kirjautuu etuoikeutetulla tilillä työasemille.
- Salasanan arvaushyökkäykset.
- Paikallisten käyttäjäryhmien epäilyttävä käyttö.
Nyt näytän sinulle muutaman kuvakaappauksen itse InTrustista, jotta voit saada kuvan sen ominaisuuksista.
Ennalta määritetyt suodattimet mahdollisten haavoittuvuuksien etsimiseen
Esimerkki suodattimista raakadatan keräämiseen
Esimerkki säännöllisten lausekkeiden käyttämisestä reaktion luomiseen tapahtumaan
Esimerkki PowerShellin haavoittuvuuden hakusäännöstä
Sisäänrakennettu tietokanta, jossa kuvaukset haavoittuvuuksista
InTrust on tehokas työkalu, jota voidaan käyttää itsenäisenä ratkaisuna tai osana SIEM-järjestelmää, kuten edellä kuvasin. Tämän ratkaisun luultavasti tärkein etu on, että voit aloittaa sen käytön heti asennuksen jälkeen, koska InTrustissa on suuri kirjasto sääntöjä uhkien havaitsemiseen ja niihin vastaamiseen (esimerkiksi käyttäjän estämiseen).
Artikkelissa en puhunut laatikoituista integraatioista. Mutta heti asennuksen jälkeen voit määrittää tapahtumien lähettämisen Splunkiin, IBM QRadariin, Microfocus Arcsightiin tai webhookin kautta mihin tahansa muuhun järjestelmään. Alla on esimerkki Kibana-käyttöliittymästä InTrustin tapahtumien kanssa. Elastic Stackiin on jo integroitu, ja jos käytät Elasticin ilmaista versiota, InTrustia voidaan käyttää työkaluna uhkien tunnistamiseen, ennakoivaan hälytykseen ja ilmoitusten lähettämiseen.
Toivottavasti artikkeli antoi vähäisen käsityksen tästä tuotteesta. Olemme valmiita antamaan sinulle InTrustin testausta tai pilottiprojektia varten. Hakemuksen voi jättää osoitteeseen sivuillamme.
Lue muut tietoturvaa koskevat artikkelimme:
(suosittu artikkeli)
Lähde: will.com