Nem sokkal ezelőtt a Splunk egy másik licencelési modellt is hozzáadott - az infrastruktúra alapú licencelést (). A Splunk szerverek alatt számolják a CPU magok számát. Nagyon hasonlóan az Elastic Stack licenchez, számolják az Elasticsearch csomópontok számát. A SIEM-rendszerek hagyományosan drágák, és általában választhatunk a sokat és a sokat fizetni. De ha használ egy kis találékonyságot, összeállíthat egy hasonló szerkezetet.
Hátborzongatóan néz ki, de néha ez az architektúra működik a gyártás során. A komplexitás megöli a biztonságot, és általában mindent megöl. Valójában az ilyen esetekre (a tulajdonlási költségek csökkentéséről beszélek) a rendszerek egész osztálya létezik - a központi naplókezelés (CLM). Erről alulértékeltnek tekintve őket. Íme az ajánlásaik:
- Használja a CLM-képességeket és eszközöket, ha költségvetési és személyzeti korlátok, biztonsági megfigyelési követelmények és speciális használati esetekre vonatkozó követelmények vannak.
- Ha egy SIEM-megoldás túl drágának vagy bonyolultnak bizonyul, akkor a naplógyűjtési és -elemzési képességek javítása érdekében hajtsa végre a CLM-et.
- Fektessen be a hatékony tárolással, gyors kereséssel és rugalmas vizualizációval rendelkező CLM-eszközökbe a biztonsági incidensek kivizsgálásának/elemzésének javítása és a fenyegetésvadászat támogatása érdekében.
- Győződjön meg arról, hogy a vonatkozó tényezőket és szempontokat figyelembe veszi a CLM-megoldás bevezetése előtt.
Ebben a cikkben az engedélyezési megközelítések különbségeiről fogunk beszélni, megértjük a CLM-et, és beszélünk ennek az osztálynak egy speciális rendszeréről - . Részletek a vágás alatt.
A cikk elején a Splunk licencelés új megközelítéséről beszéltem. Az engedélyezési típusok az autóbérlési díjakhoz hasonlíthatók. Képzeljük el, hogy a modell a CPU-k számát tekintve egy gazdaságos autó, korlátlan futásteljesítménnyel és benzinnel. Távolságkorlátozás nélkül bárhová mehetsz, de nem tudsz túl gyorsan menni, és ennek megfelelően naponta sok kilométert megtenni. Az adatengedélyezés hasonló a napi futásteljesítményű modellel rendelkező sportautóhoz. Lehet meggondolatlanul vezetni nagy távolságokat, de a napi futásteljesítmény túllépéséért többet kell fizetni.
A terhelésalapú licencelés előnyeinek kihasználásához a lehető legalacsonyabb CPU-magok és GB betöltött adatok aránya szükséges. A gyakorlatban ez valami ilyesmit jelent:
- A lehető legkisebb számú lekérdezés a betöltött adatokhoz.
- A megoldás lehető legkisebb felhasználói száma.
- A lehető legegyszerűbb és normalizált adat (hogy ne kelljen a CPU-ciklusokat pazarolni a későbbi adatfeldolgozásra és elemzésre).
A legproblémásabb itt a normalizált adatok. Ha azt szeretné, hogy egy SIEM a szervezet összes naplójának aggregátora legyen, akkor hatalmas erőfeszítést igényel az elemzés és az utófeldolgozás. Ne felejtsük el, hogy olyan architektúrára is gondolni kell, amely terhelés hatására nem esik szét, pl. további szerverekre, ezért további processzorokra lesz szükség.
Az adatmennyiség-licencelés a SIEM-be küldött adatok mennyiségén alapul. A további adatforrásokat a rubel (vagy más pénznem) bünteti, és ez arra készteti az embert, hogy elgondolkodjon azon, amit nem igazán akart begyűjteni. Ennek az engedélyezési modellnek a kijátszásához leharaphatja az adatokat, mielőtt azok bekerülnének a SIEM rendszerbe. A befecskendezés előtti normalizálás egyik példája az Elastic Stack és néhány más kereskedelmi SIEM.
Ennek eredményeképpen az infrastruktúra szerinti licencelés akkor hatékony, ha csak bizonyos adatokat kell begyűjteni minimális előfeldolgozással, és a mennyiségi licencelés egyáltalán nem teszi lehetővé, hogy mindent összegyűjtsön. A köztes megoldás keresése a következő kritériumokhoz vezet:
- Egyszerűsítse az adatok összesítését és normalizálását.
- Zajos és legkevésbé fontos adatok szűrése.
- Elemzési képességek biztosítása.
- Szűrt és normalizált adatok küldése a SIEM-nek
Ennek eredményeként a megcélzott SIEM-rendszereknek nem kell további CPU-teljesítményt pazarolniuk a feldolgozásra, és csak a legfontosabb eseményeket azonosíthatják anélkül, hogy csökkentenék a folyamatok láthatóságát.
Ideális esetben egy ilyen köztesszoftver-megoldásnak valós idejű észlelési és válaszadási képességeket is kell biztosítania, amelyek felhasználhatók a potenciálisan veszélyes tevékenységek hatásának csökkentésére, és a teljes eseményfolyamot a SIEM felé irányuló hasznos és egyszerű adatmennyiséggé összesíthetik. Nos, akkor a SIEM segítségével további aggregációkat, összefüggéseket és riasztási folyamatokat hozhatunk létre.
Ugyanez a titokzatos köztes megoldás nem más, mint a CLM, amit a cikk elején említettem. Gartner így látja:
Most megpróbálhatja kitalálni, hogy az InTrust hogyan felel meg a Gartner ajánlásainak:
- Hatékony tárolás a tárolni kívánt adatmennyiségek és típusú adatok számára.
- Nagy keresési sebesség.
- Az alapszintű CLM-nek nem a vizualizációs képességekre van szüksége, de a fenyegetésvadászat olyan, mint egy biztonsági és adatelemzési BI-rendszer.
- Adatgazdagítás a nyers adatok hasznos kontextuális adatokkal való gazdagításához (például földrajzi helymeghatározás és mások).
A Quest InTrust saját tárolórendszert használ akár 40:1 arányú adattömörítéssel és nagy sebességű duplikáció megszüntetésével, ami csökkenti a CLM és SIEM rendszerek tárolási többletköltségét.
IT Security Keresőkonzol google-szerű kereséssel
Egy speciális, webes felülettel rendelkező modul, az IT Security Search (ITSS) képes kapcsolódni az InTrust adattárban lévő eseményadatokhoz, és egyszerű felületet biztosít a fenyegetések kereséséhez. A kezelőfelület annyiban leegyszerűsödött, hogy úgy viselkedik, mint a Google az eseménynapló-adatoknál. Az ITSS idővonalakat használ a lekérdezési eredményekhez, egyesítheti és csoportosíthatja az eseménymezőket, és hatékonyan segíti a fenyegetésvadászatot.
Az InTrust biztonsági azonosítókkal, fájlnevekkel és biztonsági bejelentkezési azonosítókkal gazdagítja a Windows eseményeket. Az InTrust ezenkívül normalizálja az eseményeket egy egyszerű W6-sémára (Ki, mi, hol, mikor, ki és honnan), így a különböző forrásokból származó adatok (Windows natív események, Linux-naplók vagy rendszernapló) egyetlen formátumban és egyetlen helyen láthatók. keresőkonzol.
Az InTrust támogatja a valós idejű riasztási, észlelési és válaszadási képességeket, amelyek EDR-szerű rendszerként használhatók a gyanús tevékenységek okozta károk minimalizálására. A beépített biztonsági szabályok a következő fenyegetéseket észlelik, de nem korlátozódnak azokra:
- Jelszószóró.
- Kerberoasting.
- Gyanús PowerShell-tevékenység, például a Mimikatz végrehajtása.
- Gyanús folyamatok, például LokerGoga ransomware.
- Titkosítás CA4FS naplókkal.
- Kiváltságos fiókkal jelentkezik be a munkaállomásokon.
- Jelszótaláló támadások.
- Helyi felhasználói csoportok gyanús használata.
Most megmutatok néhány képernyőképet magáról az InTrustról, hogy benyomást nyerhessen a képességeiről.
Előre definiált szűrők a lehetséges sebezhetőségek kereséséhez
Példa a nyers adatok gyűjtésére szolgáló szűrőkészletre
Példa reguláris kifejezések használatára egy eseményre adott válasz létrehozására
Példa a PowerShell sebezhetőség keresési szabályára
Beépített tudásbázis a sebezhetőségek leírásával
Az InTrust egy hatékony eszköz, amely használható önálló megoldásként vagy egy SIEM rendszer részeként, amint azt fentebb leírtam. Valószínűleg ennek a megoldásnak a legfőbb előnye, hogy telepítés után azonnal elkezdheti használni, mert Az InTrust számos szabálykönyvtárral rendelkezik a fenyegetések észlelésére és az azokra való reagálásra (például egy felhasználó blokkolására).
A cikkben nem beszéltem a dobozos integrációkról. De közvetlenül a telepítés után konfigurálhatja az események küldését a Splunk, IBM QRadar, Microfocus Arcsight vagy webhook segítségével bármely más rendszerre. Az alábbiakban egy példa látható egy Kibana felületre az InTrust eseményeivel. Már létezik az Elastic Stack integrációja, és ha az Elastic ingyenes verzióját használja, az InTrust eszközként használható a fenyegetések azonosítására, proaktív riasztások végrehajtására és értesítések küldésére.
Remélem, a cikk minimális ötletet adott erről a termékről. Készen állunk az InTrust tesztelésére vagy kísérleti projekt végrehajtására. A jelentkezés a címen hagyható weboldalunkon.
Olvassa el további információbiztonsági cikkeinket:
(népszerű cikk)
Forrás: will.com