Ոչ վաղ անցյալում Splunk-ը ավելացրեց մեկ այլ լիցենզավորման մոդել՝ ենթակառուցվածքի վրա հիմնված լիցենզավորում (
Սարսափելի է թվում, բայց երբեմն այս ճարտարապետությունն աշխատում է արտադրության մեջ: Բարդությունը սպանում է անվտանգությունը, և, ընդհանրապես, սպանում է ամեն ինչ։ Իրականում, նման դեպքերի համար (ես խոսում եմ սեփականության արժեքը նվազեցնելու մասին) գոյություն ունի համակարգերի մի ամբողջ դաս՝ Կենտրոնական մատյանների կառավարում (CLM): Դրա մասին
- Օգտագործեք CLM-ի հնարավորություններն ու գործիքները, երբ կան բյուջեի և անձնակազմի սահմանափակումներ, անվտանգության մոնիտորինգի պահանջներ և հատուկ օգտագործման դեպքերի պահանջներ:
- Կիրառեք CLM՝ տեղեկամատյանների հավաքագրման և վերլուծության հնարավորությունները բարելավելու համար, երբ SIEM լուծումը չափազանց թանկ է կամ բարդ:
- Ներդրումներ կատարեք CLM գործիքներում՝ արդյունավետ պահեստավորումով, արագ որոնմամբ և ճկուն վիզուալիզացիայով՝ բարելավելու անվտանգության միջադեպերի հետաքննությունը/վերլուծությունը և աջակցել սպառնալիքների որսին:
- Համոզվեք, որ կիրառելի գործոններն ու նկատառումները հաշվի են առնվել նախքան CLM լուծումը կիրառելը:
Այս հոդվածում մենք կխոսենք լիցենզավորման մոտեցումների տարբերությունների մասին, կհասկանանք CLM-ն և կխոսենք այս դասի հատուկ համակարգի մասին.
Այս հոդվածի սկզբում ես խոսեցի Splunk լիցենզավորման նոր մոտեցման մասին: Լիցենզավորման տեսակները կարելի է համեմատել մեքենաների վարձույթի գների հետ: Պատկերացնենք, որ մոդելը, պրոցեսորների քանակով, տնտեսական մեքենա է՝ անսահմանափակ վազքով և բենզինով։ Դուք կարող եք գնալ ցանկացած տեղ առանց հեռավորության սահմանափակման, բայց դուք չեք կարող շատ արագ գնալ և, համապատասխանաբար, օրական շատ կիլոմետրեր անցնել: Տվյալների լիցենզավորումը նման է ամենօրյա վազքի մոդելով սպորտային մեքենային: Դուք կարող եք անխոհեմ վարել երկար հեռավորությունների վրա, բայց դուք ստիպված կլինեք ավելի շատ վճարել օրական վազքի սահմանաչափը գերազանցելու համար:
Բեռի վրա հիմնված լիցենզավորումից օգտվելու համար դուք պետք է ունենաք CPU միջուկների և բեռնված տվյալների ԳԲ-ի հնարավոր նվազագույն հարաբերակցությունը: Գործնականում սա նշանակում է նման բան.
- Բեռնված տվյալների վրա հարցումների հնարավոր ամենափոքր թիվը:
- Լուծման հնարավոր օգտագործողների ամենափոքր թիվը:
- Հնարավորինս պարզ և նորմալացված տվյալներ (որպեսզի կարիք չլինի վատնել CPU-ի ցիկլերը հետագա տվյալների մշակման և վերլուծության վրա):
Այստեղ ամենախնդրահարույցը նորմալացված տվյալներն են։ Եթե ցանկանում եք, որ SIEM-ը լինի կազմակերպության բոլոր տեղեկամատյանների ագրեգատորը, դա պահանջում է հսկայական ջանք վերլուծության և հետմշակման համար: Մի մոռացեք, որ դուք նույնպես պետք է մտածեք այնպիսի ճարտարապետության մասին, որը չի քանդվի ծանրաբեռնվածության տակ, այսինքն. լրացուցիչ սերվերներ և հետևաբար լրացուցիչ պրոցեսորներ կպահանջվեն:
Տվյալների ծավալի լիցենզավորումը հիմնված է տվյալների քանակի վրա, որն ուղարկվում է SIEM-ի մաու: Տվյալների լրացուցիչ աղբյուրները պատժվում են ռուբլով (կամ այլ արժույթով), և դա ստիպում է ձեզ մտածել այն մասին, թե իրականում ինչ չէիք ուզում հավաքել: Այս լիցենզավորման մոդելը գերազանցելու համար դուք կարող եք կծել տվյալները նախքան դրանք ներարկվել SIEM համակարգ: Ներարկումից առաջ նման նորմալացման օրինակներից են Elastic Stack-ը և որոշ այլ առևտրային SIEM-ներ:
Արդյունքում, մենք ունենք, որ լիցենզավորումն ըստ ենթակառուցվածքի արդյունավետ է, երբ անհրաժեշտ է հավաքել միայն որոշակի տվյալներ նվազագույն նախնական մշակմամբ, և ըստ ծավալի լիցենզավորումն ընդհանրապես թույլ չի տա հավաքել ամեն ինչ: Միջանկյալ լուծման որոնումը հանգեցնում է հետևյալ չափանիշներին.
- Պարզեցնել տվյալների համախմբումը և նորմալացումը:
- Աղմկոտ և ամենաքիչ կարևոր տվյալների զտում:
- Վերլուծության հնարավորությունների ապահովում:
- Ուղարկեք զտված և նորմալացված տվյալներ SIEM-ին
Արդյունքում, թիրախային SIEM համակարգերը կարիք չեն ունենա կորցնելու լրացուցիչ պրոցեսորի հզորությունը վերամշակման վրա և կարող են օգուտ քաղել միայն ամենակարևոր իրադարձությունների նույնականացումից՝ չնվազեցնելով տեսանելիությունը կատարվածի նկատմամբ:
Իդեալում, նման միջին ծրագրային լուծումը պետք է նաև ապահովի իրական ժամանակի հայտնաբերման և արձագանքման հնարավորություններ, որոնք կարող են օգտագործվել պոտենցիալ վտանգավոր գործողությունների ազդեցությունը նվազեցնելու և իրադարձությունների ամբողջ հոսքը SIEM-ի համար օգտակար և պարզ տվյալների մեջ համախմբելու համար: Դե, ապա SIEM-ը կարող է օգտագործվել լրացուցիչ ագրեգացիաներ, հարաբերակցություններ և ահազանգման գործընթացներ ստեղծելու համար:
Այդ նույն խորհրդավոր միջանկյալ լուծումը ոչ այլ ոք է, քան CLM-ը, որը ես նշեցի հոդվածի սկզբում: Gartner-ն այսպես է տեսնում.
Այժմ դուք կարող եք փորձել պարզել, թե ինչպես է InTrust-ը համապատասխանում Gartner-ի առաջարկություններին.
- Արդյունավետ պահեստավորում տվյալների այն ծավալների և տեսակների համար, որոնք պետք է պահվեն:
- Որոնման բարձր արագություն:
- Վիզուալիզացիայի հնարավորություններն այն չեն, ինչ պահանջում է հիմնական CLM-ը, սակայն սպառնալիքների որսը նման է անվտանգության և տվյալների վերլուծության BI համակարգի:
- Տվյալների հարստացում՝ չմշակված տվյալները օգտակար համատեքստային տվյալներով հարստացնելու համար (օրինակ՝ աշխարհագրական դիրքը և այլն):
Quest InTrust-ն օգտագործում է իր սեփական պահեստային համակարգը մինչև 40:1 տվյալների սեղմումով և բարձր արագությամբ կրկնօրինակմամբ, ինչը նվազեցնում է CLM և SIEM համակարգերի պահեստային ծախսերը:
IT Security Search Console Google-ի նման որոնմամբ
Վեբ վրա հիմնված IT Security Search (ITSS) մասնագիտացված մոդուլը կարող է միանալ իրադարձությունների տվյալներին InTrust պահոցում և ապահովում է պարզ ինտերֆեյս սպառնալիքների որոնման համար: Միջերեսը այնքան պարզեցված է, որ այն գործում է Google-ի պես՝ իրադարձությունների մատյանների տվյալների համար: ITSS-ն օգտագործում է ժամանակացույցեր հարցումների արդյունքների համար, կարող է միավորել և խմբավորել իրադարձությունների դաշտերը և արդյունավետորեն օգնում է սպառնալիքների որսին:
InTrust-ը հարստացնում է Windows-ի իրադարձությունները անվտանգության նույնացուցիչներով, ֆայլերի անուններով և անվտանգության մուտքի նույնացուցիչներով: InTrust-ը նաև նորմալացնում է իրադարձությունները պարզ W6 սխեմայի (ով, ինչ, որտեղ, երբ, ում և որտեղից), այնպես որ տարբեր աղբյուրներից ստացված տվյալները (Windows-ի բնօրինակ իրադարձություններ, Linux տեղեկամատյաններ կամ syslog) կարող են դիտվել մեկ ձևաչափով և մեկ ձևաչափով: որոնման վահանակ:
InTrust-ն աջակցում է իրական ժամանակի ահազանգման, հայտնաբերման և արձագանքման հնարավորություններին, որոնք կարող են օգտագործվել որպես EDR-ի նման համակարգ՝ նվազագույնի հասցնելու կասկածելի գործողությունների հետևանքով պատճառված վնասը: Ներկառուցված անվտանգության կանոնները հայտնաբերում են, բայց չեն սահմանափակվում դրանով, հետևյալ սպառնալիքները.
- Գաղտնաբառ-ցողում.
- Kerberoasting.
- Կասկածելի PowerShell գործունեությունը, ինչպիսին է Mimikatz-ի կատարումը:
- Կասկածելի գործընթացներ, օրինակ՝ LokerGoga ransomware։
- Կոդավորումը՝ օգտագործելով CA4FS տեղեկամատյանները:
- Մուտք գործեք արտոնյալ հաշիվով աշխատանքային կայաններում:
- Գաղտնաբառերի գուշակության հարձակումներ:
- Տեղական օգտատերերի խմբերի կասկածելի օգտագործում:
Այժմ ես ձեզ ցույց կտամ InTrust-ի մի քանի սքրինշոթներ, որպեսզի կարողանաք տպավորություն ստանալ դրա հնարավորությունների մասին:
Նախապես սահմանված զտիչներ՝ հնարավոր խոցելիության որոնման համար
Հում տվյալների հավաքագրման ֆիլտրերի հավաքածուի օրինակ
Իրադարձությանը արձագանք ստեղծելու համար կանոնավոր արտահայտություններ օգտագործելու օրինակ
PowerShell-ի խոցելիության որոնման կանոնի օրինակ
Ներկառուցված գիտելիքների բազա՝ խոցելիության նկարագրություններով
InTrust-ը հզոր գործիք է, որը կարող է օգտագործվել որպես ինքնուրույն լուծում կամ որպես SIEM համակարգի մաս, ինչպես նկարագրեցի վերևում: Հավանաբար այս լուծման հիմնական առավելությունն այն է, որ դուք կարող եք սկսել օգտագործել այն տեղադրվելուց անմիջապես հետո, քանի որ InTrust-ն ունի սպառնալիքներ հայտնաբերելու և դրանց արձագանքելու կանոնների մեծ գրադարան (օրինակ՝ օգտատիրոջ արգելափակում):
Հոդվածում ես չխոսեցի տուփային ինտեգրումների մասին։ Բայց տեղադրումից անմիջապես հետո դուք կարող եք կարգավորել իրադարձությունների ուղարկումը Splunk, IBM QRadar, Microfocus Arcsight կամ webhook-ի միջոցով ցանկացած այլ համակարգ: Ստորև բերված է InTrust-ի իրադարձություններով Kibana ինտերֆեյսի օրինակ: Արդեն կա Elastic Stack-ի հետ ինտեգրում, և եթե դուք օգտագործում եք Elastic-ի անվճար տարբերակը, InTrust-ը կարող է օգտագործվել որպես սպառնալիքների նույնականացման, ակտիվ ծանուցումներ կատարելու և ծանուցումներ ուղարկելու գործիք:
Հուսով եմ, որ հոդվածը նվազագույն պատկերացում տվեց այս ապրանքի մասին: Մենք պատրաստ ենք Ձեզ տրամադրել InTrust-ը թեստավորման կամ փորձնական նախագիծ իրականացնելու համար: Դիմումը կարելի է թողնել այստեղ
Կարդացեք տեղեկատվական անվտանգության վերաբերյալ մեր մյուս հոդվածները.
Source: www.habr.com