O chionn ghoirid, chuir Splunk modal ceadachaidh eile ris - ceadachd stèidhichte air bun-structar (). Bidh iad a’ cunntadh an àireamh de choraichean CPU fo frithealaichean Splunk. Gu math coltach ri cead Elastic Stack, bidh iad a’ cunntadh an àireamh de nodan Elasticsearch. Tha siostaman SIEM gu traidiseanta daor agus mar as trice tha roghainn ann eadar pàigheadh mòran agus pàigheadh mòran. Ach, ma chleachdas tu beagan innleachdach, faodaidh tu structar coltach ris a chruinneachadh.
Tha e a 'coimhead eagallach, ach uaireannan bidh an ailtireachd seo ag obair ann an riochdachadh. Bidh iom-fhillteachd a 'marbhadh tèarainteachd, agus, san fharsaingeachd, a' marbhadh a h-uile càil. Gu dearbh, airson a leithid de chùisean (tha mi a’ bruidhinn mu bhith a’ lughdachadh cosgais seilbh) tha clas slàn de shiostaman ann - Central Log Management (CLM). Mu dheidhinn , a 'beachdachadh orra gun luach. Seo na molaidhean aca:
- Cleachd comasan agus innealan CLM nuair a tha cuingealachaidhean buidseit is luchd-obrach ann, riatanasan sgrùdaidh tèarainteachd, agus riatanasan cùis cleachdaidh sònraichte.
- Cuir an gnìomh CLM gus comasan cruinneachadh logaichean agus anailis àrdachadh nuair a tha fuasgladh SIEM a’ dearbhadh ro dhaor no iom-fhillte.
- Dèan tasgadh ann an innealan CLM le stòradh èifeachdach, sgrùdadh luath agus fradharc sùbailte gus sgrùdadh / mion-sgrùdadh tachartas tèarainteachd a leasachadh agus taic a thoirt do shealg chunnartan.
- Dèan cinnteach gu bheilear a’ toirt aire do fhactaran agus nithean iomchaidh mus cuir thu fuasgladh CLM an gnìomh.
Anns an aiste seo bidh sinn a 'bruidhinn mu na h-eadar-dhealachaidhean ann an dòighean-obrach airson ceadachd, bidh sinn a' tuigsinn CLM agus a 'bruidhinn mu dheidhinn siostam sònraichte den chlas seo - . Mion-fhiosrachadh fon ghearradh.
Aig toiseach an artaigil seo, bhruidhinn mi mun dòigh-obrach ùr airson ceadachd Splunk. Faodar seòrsaichean ceadachd a choimeas ri ìrean màil chàraichean. Smaoinich gu bheil am modail, a thaobh an àireamh de CPUs, na chàr eaconamach le mìltean gun chrìoch agus gasoline. Faodaidh tu a dhol a dh'àite sam bith gun chuingealachaidhean astair, ach chan urrainn dhut a dhol gu math luath agus, mar sin, còmhdach mòran chilemeatairean san latha. Tha ceadachd dàta coltach ri càr spòrs le modail mhìltean làitheil. Faodaidh tu draibheadh gu neo-chùramach thar astaran fada, ach feumaidh tu barrachd a phàigheadh airson a dhol thairis air a’ chrìoch mhìltean làitheil.
Gus buannachd fhaighinn bho cheadachd stèidhichte air luchd, feumaidh an co-mheas as ìsle a bhith agad de choraichean CPU gu GB de dhàta air a luchdachadh. Ann an cleachdadh tha seo a 'ciallachadh rudeigin mar:
- An àireamh as lugha de cheistean a dh’ fhaodadh a bhith ann don dàta luchdaichte.
- An àireamh as lugha de luchd-cleachdaidh an fhuasglaidh.
- Dàta cho sìmplidh agus cho àbhaisteach sa ghabhas (gus nach bi feum air cearcallan CPU a chaitheamh air giullachd agus mion-sgrùdadh dàta às deidh sin).
Is e an rud as duilghe an seo an dàta àbhaisteach. Ma tha thu ag iarraidh gum bi SIEM na neach-cruinneachaidh de na logaichean gu lèir ann am buidheann, feumaidh e tòrr oidhirp ann am parsadh agus iar-ghiollachd. Na dì-chuimhnich gum feum thu cuideachd smaoineachadh air ailtireachd nach tuit às a chèile fo luchd, i.e. bidh feum air frithealaichean a bharrachd agus mar sin pròiseasairean a bharrachd.
Tha ceadachd meud dàta stèidhichte air an ìre de dhàta a thèid a chuir a-steach gu maw an SIEM. Faodar tobraichean dàta a bharrachd a pheanasachadh leis an rubles (no airgead eile) agus bheir seo ort smaoineachadh air na rudan nach robh thu airson a chruinneachadh. Gus faighinn thairis air a’ mhodail ceadachd seo, faodaidh tu an dàta a bhìdeadh mus tèid a chuir a-steach don t-siostam SIEM. Is e aon eisimpleir de leithid de dh’ àbhaistachadh ro in-stealladh Elastic Stack agus cuid de SIEMan malairteach eile.
Mar thoradh air an sin, tha cead againn le bun-structair èifeachdach nuair a dh’ fheumas tu dìreach dàta sònraichte a chruinneachadh le glè bheag de ro-phròiseasadh, agus cha leig ceadachd a rèir meud dhut a h-uile dad a chruinneachadh idir. Tha rannsachadh airson fuasgladh eadar-mheadhanach a’ leantainn gu na slatan-tomhais a leanas:
- Sìmplidh cruinneachadh dàta agus gnàthachadh.
- A’ sìoladh dàta fuaimneach agus as lugha cudromach.
- A 'toirt seachad comasan anailis.
- Cuir dàta sìoltaichte agus àbhaisteach gu SIEM
Mar thoradh air an sin, cha bhith feum air siostaman targaid SIEM a bhith a’ caitheamh cumhachd CPU a bharrachd air giullachd agus gheibh iad buannachd bho bhith ag aithneachadh dìreach na tachartasan as cudromaiche gun a bhith a’ lughdachadh faicsinneachd anns na tha a’ tachairt.
Gu h-iomchaidh, bu chòir gum biodh fuasgladh bathar meadhanach mar sin cuideachd a’ toirt seachad comasan lorg agus freagairt fìor-ùine a dh’ fhaodar a chleachdadh gus buaidh gnìomhachd a dh’ fhaodadh a bhith cunnartach a lughdachadh agus an sruth thachartasan gu lèir a thoirt còmhla gu meud dàta feumail is sìmplidh a dh’ ionnsaigh an SIEM. Uill, an uairsin faodar SIEM a chleachdadh gus cruinneachaidhean a bharrachd, co-dhàimhean agus pròiseasan rabhaidh a chruthachadh.
Chan eil an aon fhuasgladh eadar-mheadhanach dìomhair sin ach CLM, air an tug mi iomradh aig toiseach na h-artaigil. Seo mar a tha Gartner ga fhaicinn:
A-nis faodaidh tu feuchainn ri faighinn a-mach mar a tha InTrust a’ cumail ri molaidhean Gartner:
- Stòradh èifeachdach airson meudan agus seòrsaichean dàta a dh’ fheumar a stòradh.
- Àrd astar lorg.
- Chan e comasan lèirsinn na tha CLM bunaiteach ag iarraidh, ach tha sealg bagairtean coltach ri siostam BI airson tèarainteachd agus mion-sgrùdadh dàta.
- Saidhbhreachadh dàta gus dàta amh a shaidhbhreachadh le dàta co-theacsail feumail (leithid geolocation agus feadhainn eile).
Bidh Quest InTrust a’ cleachdadh an t-siostam stòraidh aige fhèin le suas ri 40: teannachadh dàta 1 agus deduplication àrd-astar, a lughdaicheas stòradh os cionn airson siostaman CLM agus SIEM.
Console Rannsachadh Tèarainteachd IT le sgrùdadh coltach ri google
Faodaidh modal sònraichte Rannsachadh Tèarainteachd IT stèidhichte air an lìon (ITSS) ceangal ri dàta tachartais ann an stòr InTrust agus bheir e seachad eadar-aghaidh sìmplidh airson bagairtean a lorg. Tha an eadar-aghaidh air a dhèanamh nas sìmplidhe chun na h-ìre gu bheil e ag obair mar Google airson dàta log tachartais. Bidh ITSS a’ cleachdadh loidhnichean-tìm airson toraidhean cheistean, is urrainn dhaibh raointean tachartais a chur còmhla agus a chuir còmhla, agus gu h-èifeachdach a’ cuideachadh le sealg chunnartan.
Bidh InTrust a’ beairteachadh tachartasan Windows le aithnichearan tèarainteachd, ainmean faidhle, agus aithnichearan logadh a-steach tèarainteachd. Bidh InTrust cuideachd a’ gnàthachadh thachartasan gu sgeama W6 sìmplidh (Cò, Dè, Càite, Cuin, Cò agus Càite) gus am faicear dàta bho dhiofar thùsan (tachartasan dùthchasach Windows, logaichean Linux no syslog) ann an aon chruth agus air aon chruth. consòil lorg.
Tha InTrust a’ toirt taic do chomasan rabhaidh, lorg agus freagairt fìor-ùine a dh’ fhaodar a chleachdadh mar shiostam coltach ri EDR gus am milleadh a nì gnìomhachd amharasach a lughdachadh. Bidh riaghailtean tèarainteachd togte a’ lorg, ach chan eil iad cuingealaichte ri, na cunnartan a leanas:
- Facal-faire - spraeadh.
- Kerberoasting.
- Gnìomhachd PowerShell amharasach, leithid cur gu bàs Mimikatz.
- Pròiseasan amharasach, mar eisimpleir, LokerGoga ransomware.
- Crioptachadh a’ cleachdadh logaichean CA4FS.
- Log a-steach le cunntas sochair air ionadan-obrach.
- Facal-faire a’ tomhas ionnsaighean.
- Cleachdadh amharasach de bhuidhnean luchd-cleachdaidh ionadail.
A-nis seallaidh mi dhut beagan dhealbhan-sgrìn de InTrust fhèin gus am faigh thu sealladh air na comasan aige.
Criathragan ro-mhìnichte gus lorg a dhèanamh airson so-leòntachd a dh’ fhaodadh a bhith ann
Eisimpleir de sheata de shìoltachain airson cruinneachadh dàta amh
Eisimpleir de bhith a’ cleachdadh abairtean cunbhalach gus freagairt a chruthachadh do thachartas
Eisimpleir le riaghailt sgrùdaidh so-leòntachd PowerShell
Bunait eòlais stèidhichte le tuairisgeulan air so-leòntachd
Tha InTrust na inneal cumhachdach a dh’ fhaodar a chleachdadh mar fhuasgladh leis fhèin no mar phàirt de shiostam SIEM, mar a mhìnich mi gu h-àrd. Is dòcha gur e prìomh bhuannachd an fhuasglaidh seo gun urrainn dhut tòiseachadh air a chleachdadh dìreach às deidh an stàladh, oir Tha leabharlann mòr de riaghailtean aig InTrust airson bagairtean a lorg agus freagairt a thoirt dhaibh (mar eisimpleir, bacadh neach-cleachdaidh).
Anns an artaigil cha do bhruidhinn mi mu aonachadh bogsaidh. Ach dìreach às deidh an stàladh, faodaidh tu tachartasan a chuir gu Splunk, IBM QRadar, Microfocus Arcsight, no tro webhook gu siostam sam bith eile. Gu h-ìosal tha eisimpleir de eadar-aghaidh Kibana le tachartasan bho InTrust. Tha amalachadh mar-thà leis an Elastic Stack agus, ma chleachdas tu an dreach an-asgaidh de Elastic, faodar InTrust a chleachdadh mar inneal airson bagairtean a chomharrachadh, rabhaidhean for-ghnìomhach a dhèanamh agus fiosan a chuir.
Tha mi an dòchas gun tug an artaigil beagan beachd mun toradh seo. Tha sinn deiseil gus InTrust a thoirt dhut airson deuchainn no stiùireadh pròiseact pìleat. Faodar an tagradh fhàgail aig air an làrach-lìn againn.
Leugh na h-artaigilean eile againn air tèarainteachd fiosrachaidh:
(artaigil mòr-chòrdte)
Source: www.habr.com