ʻAʻole i liʻuliʻu i hala aku nei, ua hoʻohui ʻo Splunk i kahi hoʻohālike laikini ʻē aʻe - ka laikini e pili ana i ka ʻōnaehana (). Helu lākou i ka helu o nā cores CPU ma lalo o nā kikowaena Splunk. Ua like loa me ka laikini Elastic Stack, helu lākou i ka helu o nā node Elasticsearch. He kumukūʻai maʻamau nā ʻōnaehana SIEM a maʻamau aia kahi koho ma waena o ka uku nui a me ka uku nui. Akā, inā hoʻohana ʻoe i kekahi ʻano akamai, hiki iā ʻoe ke hoʻohui i kahi ʻano like.
He mea weliweli ia, akā i kekahi manawa e hana ana kēia hale hana i ka hana. Hoʻopau ka paʻakikī i ka palekana, a, ma ka laulā, pepehi i nā mea āpau. ʻO kaʻoiaʻiʻo, no ia mau hihia (ke kamaʻilio nei wau e pili ana i ka hōʻemi ʻana i ke kumukūʻai o ka ʻona) aia kahi papa holoʻokoʻa o nā ʻōnaehana - Central Log Management (CLM). No ia mea , me ka noʻonoʻo ʻana iā lākou ʻaʻole i manaʻo ʻia. Eia kā lākou mau manaʻo:
- E hoʻohana i nā mana a me nā mea hana CLM inā loaʻa nā palena kālā a me nā limahana, nā koi nānā palekana, a me nā koi kikoʻī hoʻohana.
- E hoʻokō i ka CLM no ka hoʻonui ʻana i ka hōʻiliʻili lāʻau a me ka hiki ke nānā i ka wā e hōʻike ʻia ai kahi hopena SIEM i ke kumukūʻai a paʻakikī paha.
- Hoʻolilo i nā mea hana CLM me ka mālama pono, ka ʻimi wikiwiki a me ka hiʻohiʻona maʻalahi e hoʻomaikaʻi i ka hoʻokolokolo ʻana a me ke kākoʻo ʻana i ka hopu hoʻoweliweli.
- E hōʻoia i ka noʻonoʻo ʻana i nā kumu kūpono a me nā noʻonoʻo ma mua o ka hoʻokō ʻana i kahi hoʻonā CLM.
Ma kēia ʻatikala e kamaʻilio mākou e pili ana i nā ʻokoʻa o nā ala i ka laikini, e hoʻomaopopo mākou iā CLM a kamaʻilio e pili ana i kahi ʻōnaehana kikoʻī o kēia papa - . Nā kikoʻī ma lalo o ka ʻoki.
I ka hoʻomaka ʻana o kēia ʻatikala, ua kamaʻilio wau e pili ana i ke ala hou i ka laikini Splunk. Hiki ke hoʻohālikelike ʻia nā ʻano laikini me nā uku hoʻolimalima kaʻa. E noʻonoʻo kākou ʻo ke kumu hoʻohālike, e pili ana i ka helu o nā CPU, he kaʻa waiwai me ka palena palena ʻole a me ka ʻaila. Hiki iā ʻoe ke hele i nā wahi āpau me ka ʻole o nā palena mamao, akā ʻaʻole hiki iā ʻoe ke hele wikiwiki loa a, no laila, uhi ʻia nā kilomita he nui i ka lā. Ua like ka laikini ʻikepili me kahi kaʻa haʻuki me ke kumu hoʻohālike o kēlā me kēia lā. Hiki iā ʻoe ke kaʻa me ka noʻonoʻo ʻole ma kahi lōʻihi, akā pono ʻoe e uku hou aku no ka ʻoi aku o ka palena mile mile i kēlā me kēia lā.
I mea e pōmaikaʻi ai i ka laikini hoʻouka ʻana, pono ʻoe e loaʻa ka ratio haʻahaʻa loa o nā cores CPU i ka GB o ka ʻikepili i hoʻouka ʻia. I ka hoʻomaʻamaʻa, ʻo ia hoʻi kekahi mea e like me:
- ʻO ka helu liʻiliʻi loa o nā nīnau i ka ʻikepili i hoʻouka ʻia.
- ʻO ka helu liʻiliʻi o nā mea hoʻohana i ka hopena.
- E like me ka ʻikepili maʻalahi a maʻamau e like me ka hiki (no laila ʻaʻohe pono e hoʻopau i nā pōʻai CPU ma ka hoʻoili ʻikepili a me ka nānā ʻana).
ʻO ka mea pilikia loa ma aneʻi ʻo ka ʻikepili maʻamau. Inā makemake ʻoe i kahi SIEM i mea hōʻuluʻulu o nā lāʻau āpau i loko o kahi hui, pono ia i ka nui o ka hoʻoikaika ʻana i ka parsing a me ka hoʻoponopono hope. Mai poina pono ʻoe e noʻonoʻo e pili ana i kahi hoʻolālā e hāʻule ʻole ma lalo o ka ukana, ʻo ia hoʻi. nā kikowaena hou a no laila e koi ʻia nā mea hana hou.
Hoʻokumu ʻia ka laikini helu ʻikepili i ka nui o ka ʻikepili i hoʻouna ʻia i ka maw o ka SIEM. Hiki ke hoʻopaʻi ʻia nā kumu ʻikepili hou aʻe e ka ruble (a i ʻole ke kālā ʻē aʻe) a noʻonoʻo ʻoe i ka mea āu i makemake ʻole ai e hōʻiliʻili. No ka hoʻopuka ʻana i kēia ʻano laikini, hiki iā ʻoe ke nahu i ka ʻikepili ma mua o ka hoʻokomo ʻia ʻana i loko o ka ʻōnaehana SIEM. ʻO kahi hiʻohiʻona o ia ʻano maʻamau ma mua o ka hoʻopiʻi ʻana ʻo Elastic Stack a me kekahi mau SIEM pāʻoihana ʻē aʻe.
ʻO ka hopena, loaʻa iā mākou ka maikaʻi o ka laikini ʻana e ka ʻoihana inā pono ʻoe e hōʻiliʻili i kekahi mau ʻikepili me ka liʻiliʻi preprocessing, a ʻaʻole e ʻae ka laikini ma ka leo iā ʻoe e hōʻiliʻili i nā mea āpau. ʻO ka ʻimi ʻana i kahi hoʻonā waena e alakaʻi i nā pae hoʻohālike:
- E hoʻomaʻamaʻa i ka hōʻuluʻulu ʻikepili a me ka maʻamau.
- Ke kānana ʻana i nā ʻikepili walaʻau a liʻiliʻi loa.
- Hāʻawi i nā mana kālailai.
- E hoʻouna i ka ʻikepili kānana a maʻamau i SIEM
ʻO ka hopena, ʻaʻole pono nā ʻōnaehana SIEM e hoʻopau i ka mana CPU hou aʻe i ka hana ʻana a hiki ke pōmaikaʻi mai ka ʻike ʻana i nā hanana koʻikoʻi wale nō me ka hōʻemi ʻole ʻana i ka ʻike i nā mea e hana nei.
ʻO ka mea kūpono, pono e hāʻawi ʻia kēlā ʻano hoʻonā middleware i ka ʻike manawa maoli a me ka hiki ke pane i hiki ke hoʻohana ʻia e hōʻemi i ka hopena o nā hana hiki ke pilikia a hōʻuluʻulu i ke kahawai holoʻokoʻa o nā hanana i kahi helu kūpono a maʻalahi hoʻi i ka SIEM. ʻAe, a laila hiki ke hoʻohana ʻia ʻo SIEM e hana i nā aggregations, correlations a me nā kaʻina hana makaʻala.
ʻO kēlā hoʻonā waena pohihihi, ʻaʻohe mea ʻē aʻe ma CLM, aʻu i ʻōlelo ai ma ka hoʻomaka ʻana o ka ʻatikala. ʻO kēia ka manaʻo o Gartner:
I kēia manawa hiki iā ʻoe ke hoʻāʻo e noʻonoʻo pehea e hoʻokō ai ʻo InTrust me nā ʻōlelo aʻoaʻo a Gartner:
- Mālama maikaʻi no ka nui a me nā ʻano ʻikepili e pono e mālama ʻia.
- ʻO ka māmā huli kiʻekiʻe.
- ʻAʻole nā hiʻohiʻona hiʻohiʻona i ka CLM maʻamau, akā ʻo ka hopu hoʻoweliweli e like me kahi ʻōnaehana BI no ka palekana a me ka ʻikepili ʻikepili.
- Hoʻonui i ka ʻikepili e hoʻonui i ka ʻikepili maka me ka ʻikepili pili pono (e like me ka geolocation a me nā mea ʻē aʻe).
Hoʻohana ʻo Quest InTrust i kāna ʻōnaehana mālama pono a hiki i ka 40:1 ka hoʻopili ʻana i ka ʻikepili a me ka wehe ʻana i ka wikiwiki kiʻekiʻe, e hōʻemi ana i ka mālama ʻana no nā ʻōnaehana CLM a me SIEM.
IT Security Search console me ka huli like google
Hiki ke hoʻopili i ka ʻikepili hanana i loko o ka waihona InTrust a hāʻawi i kahi kikowaena maʻalahi no ka ʻimi ʻana i nā mea hoʻoweliweli. Hoʻomaʻamaʻa ʻia ka interface a hiki i ka hana e like me Google no ka ʻikepili log hanana. Hoʻohana ʻo ITSS i nā manawa manawa no nā hopena nīnau, hiki ke hoʻohui a hui pū i nā kahua hanana, a kōkua maikaʻi i ka hopu hoʻoweliweli.
Hoʻonui ʻo InTrust i nā hanana Windows me nā mea hōʻike palekana, nā inoa faila, a me nā mea hoʻopaʻa inoa palekana. Hoʻoponopono pū ʻo InTrust i nā hanana i kahi schema W6 maʻalahi (ʻO wai, ʻO wai, ʻAuhea, I hea, ʻo wai a mai hea mai) i ʻike ʻia ka ʻikepili mai nā kumu like ʻole (nā hanana maoli Windows, Linux logs a syslog) i ʻike ʻia ma kahi ʻano hoʻokahi a ma kahi hoʻokahi. ʻimi ʻoluʻolu.
Kākoʻo ʻo InTrust i ka makaʻala manawa maoli, ʻike a me ka hiki ke pane i hiki ke hoʻohana ʻia ma ke ʻano he ʻōnaehana like-EDR e hōʻemi i ka pōʻino i hana ʻia e ka hana kānalua. ʻIke ʻia nā lula palekana i kūkulu ʻia, akā ʻaʻole i kaupalena ʻia i kēia mau mea hoʻoweliweli:
- Ka ʻōlelo huna.
- Keberoasting.
- Hana ʻino PowerShell, e like me ka hoʻokō ʻana iā Mimikatz.
- ʻO nā kaʻina hana kānalua, no ka laʻana, LokerGoga ransomware.
- Hoʻopili me ka hoʻohana ʻana i nā log CA4FS.
- Ke komo ʻana me kahi moʻokāki hanohano ma nā hale hana.
- Hoʻouka ʻōlelo huna.
- Hoʻohana kānalua i nā hui mea hoʻohana kūloko.
I kēia manawa, e hōʻike wau iā ʻoe i kekahi mau kiʻi kiʻi o InTrust ponoʻī i hiki iā ʻoe ke loaʻa ka manaʻo o kona hiki.
Nā kānana i koho mua ʻia no ka ʻimi ʻana i nā mea nāwaliwali
He laʻana o kahi pūʻulu kānana no ka hōʻiliʻili ʻana i ka ʻikepili maka
He laʻana o ka hoʻohana ʻana i nā ʻōlelo maʻamau e hana i kahi pane i kahi hanana
Ka laʻana me kahi lula hulina nawaliwali PowerShell
Pahu ʻike i kūkulu ʻia me ka wehewehe ʻana i nā nāwaliwali
ʻO InTrust kahi mea hana ikaika e hiki ke hoʻohana ʻia ma ke ʻano he hoʻonā kūʻokoʻa a i ʻole he ʻāpana o kahi ʻōnaehana SIEM, e like me kaʻu i wehewehe ai ma luna. Malia paha ʻo ka pōmaikaʻi nui o kēia hoʻonā hiki iā ʻoe ke hoʻomaka e hoʻohana iā ia ma hope koke o ke kau ʻana, no ka mea Loaʻa iā InTrust kahi waihona nui o nā lula no ka ʻike ʻana i nā mea hoʻoweliweli a pane aku iā lākou (no ka laʻana, ke kāohi ʻana i kahi mea hoʻohana).
Ma ka ʻatikala ʻaʻole wau i kamaʻilio e pili ana i nā hoʻohui pahu. Akā ma hope koke o ka hoʻouka ʻana, hiki iā ʻoe ke hoʻonohonoho i ka hoʻouna ʻana i nā hanana i Splunk, IBM QRadar, Microfocus Arcsight, a i ʻole ma o kahi webhook i kekahi ʻōnaehana ʻē aʻe. Aia ma lalo kahi hiʻohiʻona o kahi pānaʻi Kibana me nā hanana mai InTrust. Aia ka hoʻohui pū ʻana me ka Elastic Stack a, inā ʻoe e hoʻohana i ka mana manuahi o Elastic, hiki ke hoʻohana ʻia ʻo InTrust ma ke ʻano he mea hana no ka ʻike ʻana i nā hoʻoweliweli, hana i nā mākaʻikaʻi proactive a me ka hoʻouna ʻana i nā leka.
Manaʻo wau ua hāʻawi ka ʻatikala i kahi manaʻo liʻiliʻi e pili ana i kēia huahana. Mākaukau mākou e hāʻawi iā InTrust iā ʻoe no ka hoʻāʻo ʻana a i ʻole ke alakaʻi ʻana i kahi papahana pailaka. Hiki ke waiho i ka palapala noi ma ma kā mākou pūnaewele.
E heluhelu i kā mākou mau ʻatikala e pili ana i ka palekana ʻike:
(ʻatikala kaulana)
Source: www.habr.com