ProHoster > blog > administrasi > Cara mengurangi biaya kepemilikan sistem SIEM dan mengapa Anda memerlukan Central Log Management (CLM)

Cara mengurangi biaya kepemilikan sistem SIEM dan mengapa Anda memerlukan Central Log Management (CLM)

Belum lama ini, Splunk menambahkan model perizinan lain - perizinan berbasis infrastruktur (sekarang ada tiga dari mereka). Mereka menghitung jumlah inti CPU di server Splunk. Sangat mirip dengan lisensi Elastic Stack, mereka menghitung jumlah node Elasticsearch. Sistem SIEM secara tradisional mahal dan biasanya ada pilihan antara membayar banyak dan membayar banyak. Namun, jika Anda menggunakan sedikit kecerdikan, Anda dapat merakit struktur serupa.

Cara mengurangi biaya kepemilikan sistem SIEM dan mengapa Anda memerlukan Central Log Management (CLM)

Kelihatannya menyeramkan, tapi terkadang arsitektur ini berfungsi dalam produksi. Kompleksitas mematikan keamanan, dan, secara umum, mematikan segalanya. Faktanya, untuk kasus seperti itu (saya sedang berbicara tentang pengurangan biaya kepemilikan) ada seluruh kelas sistem - Central Log Management (CLM). Tentang itu tulis Gartner, mengingat mereka diremehkan. Berikut rekomendasi mereka:

  • Gunakan kemampuan dan alat CLM ketika ada kendala anggaran dan staf, persyaratan pemantauan keamanan, dan persyaratan kasus penggunaan tertentu.
  • Menerapkan CLM untuk meningkatkan kemampuan pengumpulan dan analisis log ketika solusi SIEM terbukti terlalu mahal atau rumit.
  • Berinvestasi pada alat CLM dengan penyimpanan yang efisien, pencarian cepat, dan visualisasi fleksibel untuk meningkatkan investigasi/analisis insiden keamanan dan mendukung perburuan ancaman.
  • Pastikan bahwa faktor dan pertimbangan yang berlaku telah dipertimbangkan sebelum menerapkan solusi CLM.

Pada artikel ini kita akan berbicara tentang perbedaan pendekatan perizinan, kita akan memahami CLM dan berbicara tentang sistem spesifik kelas ini - Pencarian Dalam Kepercayaan. Detail di bawah potongan.

Di awal artikel ini, saya berbicara tentang pendekatan baru terhadap lisensi Splunk. Jenis perizinan dapat dibandingkan dengan tarif sewa mobil. Bayangkan modelnya, dari segi jumlah CPU, adalah mobil irit dengan jarak tempuh dan bensin tak terbatas. Anda dapat pergi ke mana pun tanpa batasan jarak, tetapi Anda tidak dapat melaju terlalu cepat dan karenanya menempuh jarak beberapa kilometer dalam sehari. Lisensi datanya mirip mobil sport dengan model jarak tempuh harian. Anda bisa saja berkendara sembarangan dalam jarak jauh, namun Anda harus membayar lebih karena melebihi batas jarak tempuh harian.

Cara mengurangi biaya kepemilikan sistem SIEM dan mengapa Anda memerlukan Central Log Management (CLM)

Untuk mendapatkan manfaat dari lisensi berbasis beban, Anda harus memuat rasio inti CPU terhadap GB data serendah mungkin. Dalam praktiknya, ini berarti sesuatu seperti:

  • Jumlah kueri sekecil mungkin terhadap data yang dimuat.
  • Jumlah terkecil dari kemungkinan pengguna solusi.
  • Data sesederhana dan dinormalisasi mungkin (sehingga tidak perlu membuang siklus CPU pada pemrosesan dan analisis data selanjutnya).

Hal yang paling bermasalah di sini adalah data yang dinormalisasi. Jika Anda ingin SIEM menjadi agregator semua log dalam suatu organisasi, diperlukan upaya yang sangat besar dalam penguraian dan pasca-pemrosesan. Jangan lupa bahwa Anda juga perlu memikirkan arsitektur yang tidak akan berantakan karena beban, mis. server tambahan dan oleh karena itu prosesor tambahan akan diperlukan.

Lisensi volume data didasarkan pada jumlah data yang dikirim ke dalam perut SIEM. Sumber data tambahan dapat dihukum dengan rubel (atau mata uang lainnya) dan ini membuat Anda berpikir tentang apa yang sebenarnya tidak ingin Anda kumpulkan. Untuk mengecoh model perizinan ini, Anda bisa menggigit datanya sebelum disuntikkan ke sistem SIEM. Salah satu contoh normalisasi sebelum injeksi adalah Elastic Stack dan beberapa SIEM komersial lainnya.

Hasilnya, kami yakin bahwa pemberian lisensi berdasarkan infrastruktur akan efektif jika Anda hanya perlu mengumpulkan data tertentu dengan pra-pemrosesan minimal, dan pemberian lisensi berdasarkan volume tidak akan memungkinkan Anda mengumpulkan semuanya sama sekali. Pencarian solusi perantara mengarah pada kriteria berikut:

  • Sederhanakan agregasi dan normalisasi data.
  • Memfilter data yang berisik dan tidak penting.
  • Memberikan kemampuan analisis.
  • Kirim data yang difilter dan dinormalisasi ke SIEM

Hasilnya, sistem SIEM target tidak perlu membuang daya CPU tambahan untuk pemrosesan dan dapat memperoleh manfaat dengan hanya mengidentifikasi peristiwa yang paling penting tanpa mengurangi visibilitas terhadap apa yang sedang terjadi.

Idealnya, solusi middleware semacam itu juga harus menyediakan kemampuan deteksi dan respons real-time yang dapat digunakan untuk mengurangi dampak aktivitas yang berpotensi berbahaya dan menggabungkan seluruh aliran peristiwa menjadi sejumlah data yang berguna dan sederhana menuju SIEM. Nah, SIEM dapat digunakan untuk membuat agregasi, korelasi, dan proses peringatan tambahan.

Solusi perantara misterius yang sama tidak lain adalah CLM, yang saya sebutkan di awal artikel. Beginilah cara Gartner melihatnya:

Cara mengurangi biaya kepemilikan sistem SIEM dan mengapa Anda memerlukan Central Log Management (CLM)

Sekarang Anda dapat mencoba mencari tahu bagaimana InTrust mematuhi rekomendasi Gartner:

  • Penyimpanan yang efisien untuk volume dan jenis data yang perlu disimpan.
  • Kecepatan pencarian tinggi.
  • Kemampuan visualisasi bukanlah hal dasar yang dibutuhkan CLM, namun perburuan ancaman seperti sistem BI untuk keamanan dan analisis data.
  • Pengayaan data untuk memperkaya data mentah dengan data kontekstual yang berguna (seperti geolokasi dan lainnya).

Quest InTrust menggunakan sistem penyimpanannya sendiri dengan kompresi data hingga 40:1 dan deduplikasi berkecepatan tinggi, yang mengurangi overhead penyimpanan untuk sistem CLM dan SIEM.

Cara mengurangi biaya kepemilikan sistem SIEM dan mengapa Anda memerlukan Central Log Management (CLM)
Konsol Pencarian Keamanan TI dengan pencarian seperti Google

Modul Pencarian Keamanan TI (ITSS) berbasis web khusus dapat terhubung ke data peristiwa di repositori InTrust dan menyediakan antarmuka sederhana untuk mencari ancaman. Antarmukanya disederhanakan hingga berfungsi seperti Google untuk data log peristiwa. ITSS menggunakan garis waktu untuk hasil kueri, dapat menggabungkan dan mengelompokkan bidang peristiwa, dan secara efektif membantu dalam perburuan ancaman.

InTrust memperkaya acara Windows dengan pengidentifikasi keamanan, nama file, dan pengidentifikasi login keamanan. InTrust juga menormalkan peristiwa ke skema W6 sederhana (Siapa, Apa, Di Mana, Kapan, Siapa, dan Dari Mana) sehingga data dari sumber berbeda (peristiwa asli Windows, log Linux, atau syslog) dapat dilihat dalam satu format dan satu konsol pencarian.

InTrust mendukung kemampuan peringatan, deteksi, dan respons real-time yang dapat digunakan sebagai sistem mirip EDR untuk meminimalkan kerusakan yang disebabkan oleh aktivitas mencurigakan. Aturan keamanan bawaan mendeteksi, namun tidak terbatas pada, ancaman berikut:

  • Penyemprotan kata sandi.
  • memanggang kerber.
  • Aktivitas PowerShell yang mencurigakan, seperti eksekusi Mimikatz.
  • Proses yang mencurigakan, misalnya ransomware LokerGoga.
  • Enkripsi menggunakan log CA4FS.
  • Masuk dengan akun istimewa di stasiun kerja.
  • Serangan menebak kata sandi.
  • Penggunaan kelompok pengguna lokal yang mencurigakan.

Sekarang saya akan menunjukkan kepada Anda beberapa tangkapan layar InTrust itu sendiri sehingga Anda bisa mendapatkan gambaran tentang kemampuannya.

Cara mengurangi biaya kepemilikan sistem SIEM dan mengapa Anda memerlukan Central Log Management (CLM)
Filter yang telah ditentukan sebelumnya untuk mencari potensi kerentanan

Cara mengurangi biaya kepemilikan sistem SIEM dan mengapa Anda memerlukan Central Log Management (CLM)
Contoh sekumpulan filter untuk mengumpulkan data mentah

Cara mengurangi biaya kepemilikan sistem SIEM dan mengapa Anda memerlukan Central Log Management (CLM)
Contoh penggunaan ekspresi reguler untuk membuat respons terhadap suatu peristiwa

Cara mengurangi biaya kepemilikan sistem SIEM dan mengapa Anda memerlukan Central Log Management (CLM)
Contoh dengan aturan pencarian kerentanan PowerShell

Cara mengurangi biaya kepemilikan sistem SIEM dan mengapa Anda memerlukan Central Log Management (CLM)
Basis pengetahuan bawaan dengan deskripsi kerentanan

InTrust adalah alat canggih yang dapat digunakan sebagai solusi mandiri atau sebagai bagian dari sistem SIEM, seperti yang saya jelaskan di atas. Mungkin keuntungan utama dari solusi ini adalah Anda dapat mulai menggunakannya segera setelah instalasi, karena InTrust memiliki perpustakaan aturan yang luas untuk mendeteksi ancaman dan meresponsnya (misalnya, memblokir pengguna).

Dalam artikel tersebut saya tidak berbicara tentang integrasi kotak. Namun segera setelah instalasi, Anda dapat mengonfigurasi pengiriman acara ke Splunk, IBM QRadar, Microfocus Arcsight, atau melalui webhook ke sistem lain. Di bawah ini adalah contoh antarmuka Kibana dengan acara dari InTrust. Sudah ada integrasi dengan Elastic Stack dan, jika Anda menggunakan Elastic versi gratis, InTrust dapat digunakan sebagai alat untuk mengidentifikasi ancaman, melakukan peringatan proaktif, dan mengirimkan pemberitahuan.

Cara mengurangi biaya kepemilikan sistem SIEM dan mengapa Anda memerlukan Central Log Management (CLM)

Saya harap artikel ini memberikan gambaran minimal tentang produk ini. Kami siap memberikan InTrust kepada Anda untuk pengujian atau melakukan proyek percontohan. Aplikasi dapat ditinggalkan di formulir umpan balik di situs web kami.

Baca artikel kami yang lain tentang keamanan informasi:

Kami mendeteksi serangan ransomware, mendapatkan akses ke pengontrol domain, dan mencoba melawan serangan ini

Hal berguna apa yang dapat diambil dari log workstation berbasis Windows? (artikel populer)

Melacak siklus hidup pengguna tanpa tang atau lakban

Siapa yang melakukannya? Kami mengotomatiskan audit keamanan informasi

Sumber: www.habr.com

Tambah komentar