Fyrir ekki löngu síðan bætti Splunk við öðru leyfismódeli - innviðabundið leyfi (). Þeir telja fjölda CPU kjarna undir Splunk netþjónum. Mjög svipað Elastic Stack leyfisveitingum, þeir telja fjölda Elasticsearch hnúta. SIEM kerfi eru jafnan dýr og venjulega er val á milli að borga mikið og að borga mikið. En ef þú notar hugvitssemi geturðu sett saman svipaða uppbyggingu.
Það lítur hrollvekjandi út, en stundum virkar þessi arkitektúr í framleiðslu. Flækjustig drepur öryggi, og almennt drepur allt. Reyndar, fyrir slík tilvik (ég er að tala um að draga úr eignarkostnaði) er heill flokkur kerfa - Central Log Management (CLM). Um það , þar sem þau eru vanmetin. Hér eru ráðleggingar þeirra:
- Notaðu CLM getu og tól þegar það eru fjárhagsáætlun og starfsmannahald, kröfur um öryggiseftirlit og sérstakar kröfur um notkunartilvik.
- Innleiða CLM til að auka annálasöfnun og greiningargetu þegar SIEM lausn reynist of dýr eða flókin.
- Fjárfestu í CLM verkfærum með skilvirkri geymslu, hraðri leit og sveigjanlegri sýn til að bæta rannsókn/greiningu öryggisatvika og styðja við ógnarleit.
- Gakktu úr skugga um að tekið sé tillit til viðeigandi þátta og sjónarmiða áður en CLM lausn er innleidd.
Í þessari grein munum við tala um muninn á aðferðum við leyfisveitingar, við munum skilja CLM og tala um ákveðið kerfi í þessum flokki - . Upplýsingar undir klippingu.
Í upphafi þessarar greinar talaði ég um nýju nálgunina við Splunk leyfisveitingar. Hægt er að bera saman tegundir leyfis við bílaleiguverð. Ímyndum okkur að líkanið, hvað varðar fjölda örgjörva, sé hagkvæmur bíll með ótakmarkaðan kílómetrafjölda og bensín. Þú getur farið hvert sem er án fjarlægðartakmarkana, en þú getur ekki farið mjög hratt og því ekið marga kílómetra á dag. Gagnaleyfi er svipað og sportbíll með daglega mílufjölda. Þú getur keyrt kæruleysislega langar vegalengdir en þú þarft að borga meira fyrir að fara yfir daglega kílómetrafjölda.
Til að njóta góðs af hleðslubundinni leyfisveitingu þarftu að hafa lægsta mögulega hlutfall CPU kjarna á móti GB af gögnum sem hlaðið er inn. Í reynd þýðir þetta eitthvað eins og:
- Minnsti mögulegi fjöldi fyrirspurna í hlaðin gögn.
- Minnsti fjöldi mögulegra notenda lausnarinnar.
- Eins einföld og eðlileg gögn og mögulegt er (svo að engin þörf sé á að sóa CPU-lotum í síðari gagnavinnslu og greiningu).
Það sem er mest vandamál hér eru staðlað gögn. Ef þú vilt að SIEM sé samansafn allra annála í fyrirtæki, krefst það gríðarlegrar fyrirhafnar í þáttun og eftirvinnslu. Ekki gleyma því að þú þarft líka að hugsa um arkitektúr sem mun ekki falla í sundur við álag, þ.e. fleiri netþjóna og því verður þörf á fleiri örgjörvum.
Gagnamagn leyfis er byggt á magni gagna sem er sent inn í maw SIEM. Viðbótaruppsprettur gagna eru refsiverð með rúblunni (eða öðrum gjaldmiðli) og þetta fær þig til að hugsa um hvað þú vildir í raun ekki safna. Til að yfirstíga þetta leyfislíkan geturðu bitið í gögnunum áður en þeim er sprautað inn í SIEM kerfið. Eitt dæmi um slíka normalization fyrir inndælingu er Elastic Stack og nokkur önnur SIEM í atvinnuskyni.
Þar af leiðandi höfum við að leyfisveiting eftir innviðum er áhrifarík þegar þú þarft aðeins að safna ákveðnum gögnum með lágmarks forvinnslu og leyfisveiting eftir magni mun alls ekki leyfa þér að safna öllu. Leitin að millilausn leiðir til eftirfarandi viðmiða:
- Einfalda gagnasöfnun og staðla.
- Sía hávaðasamra og minnst mikilvægra gagna.
- Að veita greiningargetu.
- Sendir síuð og eðlileg gögn til SIEM
Þar af leiðandi munu SIEM-markkerfi ekki þurfa að sóa auknu örgjörvaafli í vinnslu og geta notið góðs af því að bera kennsl á mikilvægustu atburðina án þess að draga úr sýnileika á það sem er að gerast.
Helst ætti slík millihugbúnaðarlausn einnig að veita rauntíma uppgötvun og viðbragðsmöguleika sem hægt er að nota til að draga úr áhrifum hugsanlegra hættulegra athafna og safna öllum atburðarásinni saman í gagnlegt og einfalt gagnamagn í átt að SIEM. Jæja, þá er hægt að nota SIEM til að búa til viðbótarsamsöfnun, fylgni og viðvörunarferli.
Þessi sama dularfulla millilausn er engin önnur en CLM, sem ég nefndi í upphafi greinarinnar. Svona lítur Gartner á þetta:
Nú geturðu reynt að komast að því hvernig InTrust uppfyllir ráðleggingar Gartner:
- Skilvirk geymsla fyrir magn og tegundir gagna sem þarf að geyma.
- Hár leitarhraði.
- Sjónræn getu er ekki það sem grunn CLM krefst, en ógnarleit er eins og BI kerfi fyrir öryggi og gagnagreiningar.
- Gagnaauðgun til að auðga hrá gögn með gagnlegum samhengisgögnum (eins og landfræðileg staðsetning og fleira).
Quest InTrust notar sitt eigið geymslukerfi með allt að 40:1 gagnaþjöppun og háhraða aftvíföldun, sem dregur úr geymslukostnaði fyrir CLM og SIEM kerfi.
IT Security Search stjórnborð með Google-líkri leit
Sérhæfð eining með vefviðmóti, IT Security Search (ITSS), getur tengst atburðagögnum í InTrust geymslunni og veitir einfalt viðmót til að leita að ógnum. Viðmótið er einfaldað að því marki að það virkar eins og Google fyrir atburðaskrárgögn. ITSS notar tímalínur fyrir niðurstöður fyrirspurna, getur sameinað og flokkað viðburðareiti og aðstoðar á áhrifaríkan hátt við ógnarleit.
InTrust auðgar Windows atburði með öryggisauðkennum, skráarnöfnum og öryggisinnskráningarauðkennum. InTrust staðlar einnig atburði í einfalt W6 skema (Hver, Hvað, Hvar, Hvenær, Hvern og Hvaðan) þannig að hægt væri að sjá gögn frá mismunandi aðilum (Windows innfæddir atburðir, Linux logs eða syslog) á einu sniði og á einu sniði leitarvél.
InTrust styður viðvörunar-, greiningar- og viðbragðsgetu í rauntíma sem hægt er að nota sem EDR-líkt kerfi til að lágmarka skemmdir af völdum grunsamlegra athafna. Innbyggðar öryggisreglur greina, en takmarkast ekki við, eftirfarandi ógnir:
- Spraying með lykilorði.
- Kerberoasting.
- Grunsamleg PowerShell virkni, svo sem framkvæmd á Mimikatz.
- Grunsamlegir ferlar, til dæmis LokerGoga lausnarhugbúnaður.
- Dulkóðun með CA4FS logs.
- Innskráning með forréttindareikningi á vinnustöðvum.
- Árásir sem giska á lykilorð.
- Grunsamleg notkun staðbundinna notendahópa.
Nú mun ég sýna þér nokkrar skjámyndir af InTrust sjálfu svo þú getir fengið mynd af getu þess.
Forskilgreindar síur til að leita að hugsanlegum veikleikum
Dæmi um sett af síum til að safna hrágögnum
Dæmi um notkun reglubundinna segða til að skapa viðbrögð við atburði
Dæmi með PowerShell varnarleysisleitarreglu
Innbyggður þekkingargrunnur með lýsingum á veikleikum
InTrust er öflugt tól sem hægt er að nota sem sjálfstæða lausn eða sem hluta af SIEM kerfi, eins og ég lýsti hér að ofan. Sennilega er helsti kosturinn við þessa lausn að þú getur byrjað að nota hana strax eftir uppsetningu, því InTrust er með mikið bókasafn af reglum til að greina ógnir og bregðast við þeim (til dæmis að loka fyrir notanda).
Í greininni talaði ég ekki um kassasamþættingu. En strax eftir uppsetningu geturðu stillt sendingu viðburða til Splunk, IBM QRadar, Microfocus Arcsight eða í gegnum nethook í hvaða annað kerfi sem er. Hér að neðan er dæmi um Kibana viðmót við atburði frá InTrust. Það er nú þegar samþætting við Elastic Stack og ef þú notar ókeypis útgáfuna af Elastic er hægt að nota InTrust sem tæki til að bera kennsl á ógnir, framkvæma fyrirbyggjandi viðvaranir og senda tilkynningar.
Ég vona að greinin hafi gefið lágmarks hugmynd um þessa vöru. Við erum tilbúin að gefa þér InTrust til að prófa eða framkvæma tilraunaverkefni. Hægt er að skilja umsóknina eftir á á heimasíðu okkar.
Lestu aðrar greinar okkar um upplýsingaöryggi:
(vinsæl grein)
Heimild: www.habr.com