🥇 SIEM સિસ્ટમની માલિકીનો ખર્ચ કેવી રીતે ઘટાડવો અને તમારે સેન્ટ્રલ લોગ મેનેજમેન્ટ (CLM)ની કેમ જરૂર છે

થોડા સમય પહેલા, સ્પ્લંકે અન્ય લાઇસન્સિંગ મોડલ ઉમેર્યું - ઇન્ફ્રાસ્ટ્રક્ચર-આધારિત લાઇસન્સિંગ (હવે તેમાંના ત્રણ છે). તેઓ Splunk સર્વર્સ હેઠળ CPU કોરોની સંખ્યા ગણે છે. સ્થિતિસ્થાપક સ્ટેક લાઇસન્સિંગની જેમ જ, તેઓ ઇલાસ્ટિકસર્ચ નોડ્સની સંખ્યા ગણે છે. SIEM સિસ્ટમો પરંપરાગત રીતે ખર્ચાળ હોય છે અને સામાન્ય રીતે ઘણું ચૂકવવું અને ઘણું ચૂકવવું વચ્ચે પસંદગી હોય છે. પરંતુ, જો તમે થોડી ચાતુર્યનો ઉપયોગ કરો છો, તો તમે સમાન માળખું એસેમ્બલ કરી શકો છો.

તે વિલક્ષણ લાગે છે, પરંતુ કેટલીકવાર આ આર્કિટેક્ચર ઉત્પાદનમાં કામ કરે છે. જટિલતા સુરક્ષાને મારી નાખે છે, અને, સામાન્ય રીતે, બધું જ મારી નાખે છે. વાસ્તવમાં, આવા કિસ્સાઓ માટે (હું માલિકીની કિંમત ઘટાડવા વિશે વાત કરી રહ્યો છું) ત્યાં સિસ્ટમોનો સંપૂર્ણ વર્ગ છે - સેન્ટ્રલ લોગ મેનેજમેન્ટ (CLM). તે વિશે ગાર્ટનર લખે છે, તેમને ઓછું મૂલ્ય ગણીને. અહીં તેમની ભલામણો છે:

જ્યારે બજેટ અને સ્ટાફની મર્યાદાઓ, સુરક્ષા દેખરેખની જરૂરિયાતો અને ચોક્કસ ઉપયોગના કેસની જરૂરિયાતો હોય ત્યારે CLM ક્ષમતાઓ અને સાધનોનો ઉપયોગ કરો.
જ્યારે SIEM સોલ્યુશન ખૂબ ખર્ચાળ અથવા જટિલ સાબિત થાય ત્યારે લોગ સંગ્રહ અને વિશ્લેષણ ક્ષમતાઓને વધારવા માટે CLM લાગુ કરો.
સુરક્ષા ઘટનાની તપાસ/વિશ્લેષણને સુધારવા અને ધમકીના શિકારને સમર્થન આપવા માટે કાર્યક્ષમ સ્ટોરેજ, ઝડપી શોધ અને લવચીક વિઝ્યુલાઇઝેશન સાથે CLM સાધનોમાં રોકાણ કરો.
ખાતરી કરો કે CLM સોલ્યુશન લાગુ કરતાં પહેલાં લાગુ પડતા પરિબળો અને વિચારણાઓ ધ્યાનમાં લેવામાં આવે છે.

આ લેખમાં આપણે લાયસન્સ મેળવવાના અભિગમોમાંના તફાવતો વિશે વાત કરીશું, અમે CLM ને સમજીશું અને આ વર્ગની ચોક્કસ સિસ્ટમ વિશે વાત કરીશું - ક્વેસ્ટ ઇન્ટ્રસ્ટ. કટ હેઠળ વિગતો.

આ લેખની શરૂઆતમાં, મેં સ્પ્લંક લાઇસન્સિંગના નવા અભિગમ વિશે વાત કરી. લાયસન્સના પ્રકારોને કાર ભાડાના દરો સાથે સરખાવી શકાય છે. ચાલો કલ્પના કરીએ કે મોડેલ, CPU ની સંખ્યાના સંદર્ભમાં, અમર્યાદિત માઇલેજ અને ગેસોલિન સાથે આર્થિક કાર છે. તમે અંતરના નિયંત્રણો વિના ગમે ત્યાં જઈ શકો છો, પરંતુ તમે ખૂબ ઝડપથી જઈ શકતા નથી અને તે મુજબ, દિવસમાં ઘણા કિલોમીટર કવર કરી શકો છો. ડેટા લાઇસન્સિંગ દૈનિક માઇલેજ મોડેલ સાથે સ્પોર્ટ્સ કાર જેવું જ છે. તમે લાંબા અંતર પર બેદરકારીથી વાહન ચલાવી શકો છો, પરંતુ તમારે દૈનિક માઇલેજ મર્યાદા ઓળંગવા માટે વધુ ચૂકવણી કરવી પડશે.

લોડ-આધારિત લાઇસન્સિંગનો લાભ મેળવવા માટે, તમારી પાસે લોડ થયેલ ડેટાના GB અને CPU કોરોનો સૌથી ઓછો સંભવિત ગુણોત્તર હોવો જરૂરી છે. વ્યવહારમાં આનો અર્થ કંઈક આવો છે:

લોડ કરેલા ડેટા માટે ક્વેરીઝની શક્ય તેટલી નાની સંખ્યા.
ઉકેલના સંભવિત વપરાશકર્તાઓની સૌથી નાની સંખ્યા.
શક્ય તેટલો સરળ અને સામાન્ય ડેટા (જેથી અનુગામી ડેટા પ્રોસેસિંગ અને વિશ્લેષણ પર CPU ચક્રને વેડફવાની જરૂર ન રહે).

અહીં સૌથી સમસ્યારૂપ વસ્તુ નોર્મલાઇઝ્ડ ડેટા છે. જો તમે ઇચ્છો છો કે SIEM સંસ્થામાંના તમામ લોગનું એકત્રીકરણ કરે, તો તેને પાર્સિંગ અને પોસ્ટ-પ્રોસેસિંગમાં મોટા પ્રમાણમાં પ્રયત્નોની જરૂર છે. ભૂલશો નહીં કે તમારે એવા આર્કિટેક્ચર વિશે પણ વિચારવાની જરૂર છે જે ભાર હેઠળ અલગ ન પડે, એટલે કે. વધારાના સર્વર્સ અને તેથી વધારાના પ્રોસેસરની જરૂર પડશે.

ડેટા વોલ્યુમ લાઇસન્સિંગ એ ડેટાની માત્રા પર આધારિત છે જે SIEM ના મોમાં મોકલવામાં આવે છે. ડેટાના વધારાના સ્ત્રોતો રૂબલ (અથવા અન્ય ચલણ) દ્વારા સજાપાત્ર છે અને આ તમને તે વિશે વિચારવા માટે બનાવે છે જે તમે ખરેખર એકત્રિત કરવા માંગતા ન હતા. આ લાઇસન્સિંગ મોડલને આગળ વધારવા માટે, તમે ડેટાને SIEM સિસ્ટમમાં ઇન્જેક્ટ કરવામાં આવે તે પહેલાં તેને કાપી શકો છો. ઈન્જેક્શન પહેલાં આવા સામાન્યીકરણનું એક ઉદાહરણ સ્થિતિસ્થાપક સ્ટેક અને કેટલાક અન્ય વ્યાવસાયિક SIEM છે.

પરિણામે, અમારી પાસે છે કે ઇન્ફ્રાસ્ટ્રક્ચર દ્વારા લાઇસન્સિંગ અસરકારક છે જ્યારે તમારે ન્યૂનતમ પ્રીપ્રોસેસિંગ સાથે માત્ર અમુક ડેટા એકત્રિત કરવાની જરૂર હોય, અને વોલ્યુમ દ્વારા લાઇસન્સિંગ તમને બધું જ એકત્રિત કરવાની મંજૂરી આપશે નહીં. મધ્યવર્તી ઉકેલની શોધ નીચેના માપદંડો તરફ દોરી જાય છે:

ડેટા એકત્રીકરણ અને સામાન્યીકરણને સરળ બનાવો.
ઘોંઘાટીયા અને ઓછામાં ઓછા મહત્વપૂર્ણ ડેટાનું ફિલ્ટરિંગ.
વિશ્લેષણ ક્ષમતાઓ પૂરી પાડવી.
SIEM ને ફિલ્ટર કરેલ અને સામાન્યકૃત ડેટા મોકલો

પરિણામે, લક્ષ્ય SIEM સિસ્ટમોને પ્રોસેસિંગ પર વધારાની CPU શક્તિનો બગાડ કરવાની જરૂર રહેશે નહીં અને શું થઈ રહ્યું છે તેની દૃશ્યતા ઘટાડ્યા વિના માત્ર સૌથી મહત્વપૂર્ણ ઘટનાઓને ઓળખવામાં ફાયદો થઈ શકે છે.

આદર્શરીતે, આવા મિડલવેર સોલ્યુશનમાં રીઅલ-ટાઇમ ડિટેક્શન અને રિસ્પોન્સ ક્ષમતાઓ પણ પૂરી પાડવી જોઈએ જેનો ઉપયોગ સંભવિત ખતરનાક પ્રવૃત્તિઓની અસરને ઘટાડવા અને ઘટનાઓના સમગ્ર પ્રવાહને SIEM તરફના ડેટાના ઉપયોગી અને સરળ ક્વોન્ટમમાં એકત્ર કરવા માટે થઈ શકે છે. સારું, પછી SIEM નો ઉપયોગ વધારાના એકત્રીકરણ, સહસંબંધ અને ચેતવણી પ્રક્રિયાઓ બનાવવા માટે થઈ શકે છે.

તે જ રહસ્યમય મધ્યવર્તી ઉકેલ સીએલએમ સિવાય બીજું કોઈ નથી, જેનો મેં લેખની શરૂઆતમાં ઉલ્લેખ કર્યો છે. ગાર્ટનર તેને આ રીતે જુએ છે:

હવે તમે InTrust ગાર્ટનર ભલામણોનું પાલન કેવી રીતે કરે છે તે શોધવાનો પ્રયાસ કરી શકો છો:

ડેટાના વોલ્યુમો અને પ્રકારો માટે કાર્યક્ષમ સંગ્રહ કે જેને સંગ્રહિત કરવાની જરૂર છે.
ઉચ્ચ શોધ ઝડપ.
વિઝ્યુલાઇઝેશન ક્ષમતાઓ મૂળભૂત CLM માટે જરૂરી નથી, પરંતુ ધમકીનો શિકાર સુરક્ષા અને ડેટા એનાલિટિક્સ માટે BI સિસ્ટમ જેવી છે.
ઉપયોગી સંદર્ભ ડેટા (જેમ કે ભૌગોલિક સ્થાન અને અન્ય) સાથે કાચા ડેટાને સમૃદ્ધ બનાવવા માટે ડેટા સંવર્ધન.

Quest InTrust 40:1 સુધીના ડેટા કમ્પ્રેશન અને હાઇ-સ્પીડ ડીડુપ્લિકેશન સાથે તેની પોતાની સ્ટોરેજ સિસ્ટમનો ઉપયોગ કરે છે, જે CLM અને SIEM સિસ્ટમ્સ માટે સ્ટોરેજ ઓવરહેડ ઘટાડે છે.

ગૂગલ જેવી શોધ સાથે આઇટી સુરક્ષા શોધ કન્સોલ

વિશિષ્ટ વેબ-આધારિત IT સુરક્ષા શોધ (ITSS) મોડ્યુલ InTrust ભંડારમાં ઇવેન્ટ ડેટા સાથે કનેક્ટ થઈ શકે છે અને ધમકીઓ શોધવા માટે એક સરળ ઇન્ટરફેસ પ્રદાન કરે છે. ઈન્ટરફેસ એ બિંદુ સુધી સરળ છે કે તે ઇવેન્ટ લોગ ડેટા માટે Google જેવું કાર્ય કરે છે. ITSS ક્વેરી પરિણામો માટે સમયરેખાનો ઉપયોગ કરે છે, ઇવેન્ટ ફીલ્ડ્સને મર્જ કરી શકે છે અને જૂથ બનાવી શકે છે, અને ધમકીના શિકારમાં અસરકારક રીતે સહાય કરે છે.

InTrust સુરક્ષા ઓળખકર્તાઓ, ફાઇલ નામો અને સુરક્ષા લૉગિન ઓળખકર્તાઓ સાથે Windows ઇવેન્ટ્સને સમૃદ્ધ બનાવે છે. InTrust ઘટનાઓને સામાન્ય W6 સ્કીમા (કોણ, શું, ક્યાં, ક્યારે, કોની અને ક્યાંથી) પણ સામાન્ય બનાવે છે જેથી વિવિધ સ્ત્રોતો (વિન્ડોઝ નેટિવ ઈવેન્ટ્સ, લિનક્સ લોગ્સ અથવા syslog)માંથી ડેટા એક જ ફોર્મેટમાં અને એક જ ફોર્મેટમાં જોઈ શકાય. શોધ કન્સોલ.

InTrust રીઅલ-ટાઇમ ચેતવણી, શોધ અને પ્રતિસાદ ક્ષમતાઓને સમર્થન આપે છે જેનો ઉપયોગ શંકાસ્પદ પ્રવૃત્તિને કારણે થતા નુકસાનને ઘટાડવા માટે EDR જેવી સિસ્ટમ તરીકે થઈ શકે છે. બિલ્ટ-ઇન સુરક્ષા નિયમો નીચેના જોખમોને શોધી કાઢે છે, પરંતુ તેના સુધી મર્યાદિત નથી:

પાસવર્ડ-છંટકાવ.
કર્બરોસ્ટિંગ.
શંકાસ્પદ PowerShell પ્રવૃત્તિ, જેમ કે Mimikatz નો અમલ.
શંકાસ્પદ પ્રક્રિયાઓ, ઉદાહરણ તરીકે, લોકરગોગા રેન્સમવેર.
CA4FS લૉગ્સનો ઉપયોગ કરીને એન્ક્રિપ્શન.
વર્કસ્ટેશનો પર વિશેષાધિકૃત એકાઉન્ટ સાથે લૉગિન થાય છે.
પાસવર્ડ અનુમાનિત હુમલા.
સ્થાનિક વપરાશકર્તા જૂથોનો શંકાસ્પદ ઉપયોગ.

હવે હું તમને InTrust ના થોડા સ્ક્રીનશૉટ્સ બતાવીશ જેથી તમે તેની ક્ષમતાઓની છાપ મેળવી શકો.

સંભવિત નબળાઈઓ શોધવા માટે પૂર્વવ્યાખ્યાયિત ફિલ્ટર્સ

કાચો ડેટા એકત્રિત કરવા માટે ફિલ્ટર્સના સમૂહનું ઉદાહરણ

ઇવેન્ટનો પ્રતિભાવ બનાવવા માટે રેગ્યુલર એક્સપ્રેશનનો ઉપયોગ કરવાનું ઉદાહરણ

PowerShell નબળાઈ શોધ નિયમ સાથેનું ઉદાહરણ

નબળાઈઓના વર્ણન સાથે બિલ્ટ-ઇન નોલેજ બેઝ

InTrust એ એક શક્તિશાળી સાધન છે જેનો ઉપયોગ એકલ ઉકેલ તરીકે અથવા SIEM સિસ્ટમના ભાગ રૂપે થઈ શકે છે, જેમ કે મેં ઉપર વર્ણવ્યું છે. સંભવતઃ આ ઉકેલનો મુખ્ય ફાયદો એ છે કે તમે ઇન્સ્ટોલેશન પછી તરત જ તેનો ઉપયોગ કરવાનું શરૂ કરી શકો છો, કારણ કે InTrust પાસે ધમકીઓ શોધવા અને તેનો પ્રતિસાદ આપવા માટે નિયમોની મોટી લાઇબ્રેરી છે (ઉદાહરણ તરીકે, વપરાશકર્તાને અવરોધિત કરવા).

લેખમાં મેં બોક્સવાળી એકીકરણ વિશે વાત કરી નથી. પરંતુ ઇન્સ્ટોલેશન પછી તરત જ, તમે સ્પ્લંક, IBM QRadar, Microfocus Arcsight અથવા વેબહૂક દ્વારા અન્ય કોઈપણ સિસ્ટમ પર ઇવેન્ટ્સ મોકલવાનું ગોઠવી શકો છો. નીચે InTrust ની ઇવેન્ટ્સ સાથે કિબાના ઇન્ટરફેસનું ઉદાહરણ છે. સ્થિતિસ્થાપક સ્ટેક સાથે પહેલેથી જ એકીકરણ છે અને, જો તમે ઇલાસ્ટીકના મફત સંસ્કરણનો ઉપયોગ કરો છો, તો InTrust નો ઉપયોગ ધમકીઓને ઓળખવા, સક્રિય ચેતવણીઓ કરવા અને સૂચનાઓ મોકલવા માટે એક સાધન તરીકે થઈ શકે છે.

હું આશા રાખું છું કે લેખે આ ઉત્પાદન વિશે ન્યૂનતમ વિચાર આપ્યો છે. પરીક્ષણ અથવા પાઇલોટ પ્રોજેક્ટ હાથ ધરવા માટે અમે તમને InTrust આપવા તૈયાર છીએ. અરજી પર છોડી શકાય છે પ્રતિસાદ ફોર્મ અમારી વેબસાઇટ પર.

માહિતી સુરક્ષા પર અમારા અન્ય લેખો વાંચો:

અમે રેન્સમવેર એટેક શોધીએ છીએ, ડોમેન કંટ્રોલરની ઍક્સેસ મેળવીએ છીએ અને આ હુમલાઓનો પ્રતિકાર કરવાનો પ્રયાસ કરીએ છીએ

વિન્ડોઝ-આધારિત વર્કસ્ટેશનના લોગમાંથી કઈ ઉપયોગી વસ્તુઓ કાઢી શકાય છે? (લોકપ્રિય લેખ)

પેઇર અથવા ડક્ટ ટેપ વિના વપરાશકર્તાઓના જીવનચક્રને ટ્રૅક કરવું

આ કોણે કર્યું? અમે માહિતી સુરક્ષા ઓડિટને સ્વચાલિત કરીએ છીએ

સોર્સ: www.habr.com

SIEM સિસ્ટમની માલિકીનો ખર્ચ કેવી રીતે ઘટાડવો અને તમારે સેન્ટ્રલ લોગ મેનેજમેન્ટ (CLM)ની કેમ જરૂર છે

એક ટિપ્પણી ઉમેરો જવાબ રદ