SIEM システムの所有コストを削減する方法と中央ログ管理 (CLM) が必要な理由

少し前に、Splunk は別のライセンス モデル、つまりインフラストラクチャ ベースのライセンス (今はXNUMX人います）。 Splunk サーバーの CPU コアの数をカウントします。 Elastic Stack ライセンスと非常に似ており、Elasticsearch ノードの数をカウントします。 SIEM システムは伝統的に高価であり、通常、高額を支払うか高額を支払うかの選択があります。 しかし、工夫すれば同じような構造を組み立てることができます。

見た目は不気味ですが、このアーキテクチャが実稼働環境で動作する場合もあります。 複雑さはセキュリティを破壊し、一般的にはすべてを破壊します。 実際、そのような場合 (所有コストの削減について話しているのです) のために、集中ログ管理 (CLM) という一連のシステムが存在します。 それについて ガートナーは書いている、過小評価されていると考えられます。 彼らの推奨事項は次のとおりです。

• 予算と人員配置の制約、セキュリティ監視要件、および特定のユースケース要件がある場合は、CLM の機能とツールを使用します。
• SIEM ソリューションが高価または複雑すぎることが判明した場合は、CLM を実装してログ収集および分析機能を強化します。
• 効率的なストレージ、高速検索、柔軟な視覚化を備えた CLM ツールに投資して、セキュリティ インシデントの調査/分析を改善し、脅威ハンティングをサポートします。
• CLM ソリューションを実装する前に、該当する要因と考慮事項が考慮されていることを確認してください。

この記事では、ライセンスのアプローチの違いについて説明し、CLM を理解し、このクラスの特定のシステムについて説明します。 クエスト・イントラスト。 詳細はカットの下にあります。

この記事の冒頭で、Splunk ライセンスに対する新しいアプローチについて説明しました。 ライセンスの種類はレンタカー料金と比較できます。 このモデルは、CPU の数の観点から、走行距離とガソリンが無制限の経済的な車であると想像してみましょう。 距離制限なしでどこにでも行くことができますが、あまり速く移動することはできないため、XNUMX 日に何キロメートルも移動することになります。 データ ライセンスは、XNUMX 日の走行距離モデルを備えたスポーツ カーに似ています。 長距離を無謀に運転することもできますが、XNUMX日の走行距離制限を超えると追加料金を支払う必要があります。

負荷ベースのライセンスのメリットを享受するには、ロードされるデータの GB に対する CPU コアの比率を可能な限り低くする必要があります。 実際には、これは次のような意味になります。

• ロードされたデータに対するクエリの可能な最小数。
• ソリューションの可能なユーザーの最小数。
• 可能な限り単純で正規化されたデータ (後続のデータ処理や分析で CPU サイクルを無駄にする必要がないように)。

ここで最も問題となるのは正規化されたデータです。 SIEM を組織内のすべてのログのアグリゲーターにしたい場合、解析と後処理に多大な労力が必要になります。 負荷がかかっても崩壊しないアーキテクチャについても考える必要があることを忘れないでください。 追加のサーバー、したがって追加のプロセッサが必要になります。

データ ボリューム ライセンスは、SIEM の maw に送信されるデータの量に基づいています。 データの追加ソースはルーブル (または他の通貨) によって罰せられるため、本当に収集したくなかったものについて考えさせられます。 このライセンス モデルを欺くには、データが SIEM システムに挿入される前にデータを噛むことができます。 挿入前のこのような正規化の一例は、Elastic Stack およびその他の商用 SIEM です。

その結果、インフラストラクチャ別のライセンスは、最小限の前処理で特定のデータのみを収集する必要がある場合に効果的であり、ボリューム別のライセンスではすべてを収集することはできません。 中間ソリューションを検索すると、次の基準が導き出されます。

• データの集計と正規化を簡素化します。
• ノイズの多いデータや重要度の低いデータのフィルタリング。
• 分析機能を提供します。
• フィルタリングおよび正規化されたデータを SIEM に送信する

その結果、ターゲット SIEM システムは処理に追加の CPU パワーを浪費する必要がなくなり、何が起こっているかの可視性を損なうことなく最も重要なイベントのみを識別できるというメリットが得られます。

理想的には、このようなミドルウェア ソリューションは、潜在的に危険なアクティビティの影響を軽減し、イベントのストリーム全体を SIEM 向けの有用でシンプルなデータ量に集約するために使用できるリアルタイムの検出および応答機能も提供する必要があります。 SIEM を使用すると、追加の集計、相関、アラート プロセスを作成できます。

これと同じ神秘的な中間ソリューションが、記事の冒頭で述べた CLM に他なりません。 Gartner は次のように見ています。

ここで、InTrust が Gartner の推奨事項にどのように準拠しているかを確認してみましょう。

• 保存する必要があるデータのボリュームと種類に応じた効率的なストレージ。
• 検索速度が速い。
• 視覚化機能は基本的な CLM に必要なものではありませんが、脅威ハンティングはセキュリティとデータ分析のための BI システムのようなものです。
• データ エンリッチメント。生データを有用なコンテキスト データ (地理位置情報など) で強化します。

Quest InTrust は、最大 40:1 のデータ圧縮と高速重複排除を備えた独自のストレージ システムを使用し、CLM および SIEM システムのストレージ オーバーヘッドを削減します。

Google のような検索を備えた IT セキュリティ サーチ コンソール

特殊な Web ベースの IT セキュリティ検索 (ITSS) モジュールは、InTrust リポジトリ内のイベント データに接続でき、脅威を検索するためのシンプルなインターフェイスを提供します。 インターフェースは、イベント ログ データに対して Google のように機能するまで簡素化されています。 ITSS はクエリ結果のタイムラインを使用し、イベント フィールドをマージおよびグループ化して、脅威ハンティングを効果的に支援します。

InTrust は、セキュリティ識別子、ファイル名、セキュリティ ログイン識別子を使用して Windows イベントを強化します。 また、InTrust はイベントを単純な W6 スキーマ (誰が、何を、どこで、いつ、誰が、どこから来たのか) に正規化するため、さまざまなソース (Windows ネイティブ イベント、Linux ログ、または syslog) からのデータを単一の形式で単一のファイルで確認できるようになります。サーチコンソール。

InTrust は、不審なアクティビティによる被害を最小限に抑えるための EDR のようなシステムとして使用できる、リアルタイムのアラート、検出、および対応機能をサポートしています。 組み込みのセキュリティ ルールは、次の脅威を検出しますが、これらに限定されません。

• パスワードスプレー。
• ケルベロスティング。
• Mimikatz の実行などの不審な PowerShell アクティビティ。
• 不審なプロセス (LokerGoga ランサムウェアなど)。
• CA4FS ログを使用した暗号化。
• ワークステーション上で特権アカウントを使用してログインします。
• パスワード推測攻撃。
• ローカル ユーザー グループの不審な使用。

ここで、InTrust 自体のスクリーンショットをいくつかお見せして、その機能の印象をつかんでいただきます。

潜在的な脆弱性を検索するための事前定義されたフィルター

生データを収集するためのフィルターのセットの例

正規表現を使用してイベントに対する反応を作成する例

PowerShell 脆弱性検索ルールの例

脆弱性の説明を含む組み込みのナレッジベース

InTrust は、上で説明したように、スタンドアロン ソリューションとして、または SIEM システムの一部として使用できる強力なツールです。 おそらく、このソリューションの主な利点は、インストール後すぐに使用を開始できることです。 InTrust には、脅威を検出し、それに対応する (ユーザーのブロックなど) ためのルールの大規模なライブラリがあります。

この記事では、ボックス化された統合については触れませんでした。 ただし、インストール直後に、Splunk、IBM QRadar、Microfocus Arcsight に、または Webhook 経由で他のシステムにイベントを送信するように構成できます。 以下は、InTrust からのイベントを使用した Kibana インターフェイスの例です。 Elastic Stack との統合はすでに行われており、Elastic の無料版を使用している場合は、InTrust を脅威の特定、プロアクティブなアラートの実行、通知の送信のためのツールとして使用できます。

この記事でこの製品について少しでも理解していただければ幸いです。 当社では、テストまたはパイロット プロジェクトの実施のために InTrust を提供する準備ができています。 アプリケーションはそのままにしておくことができます フィードバックフォーム 私達のウェブサイトで。

情報セキュリティに関する他の記事をお読みください。

ランサムウェア攻撃を検出し、ドメイン コントローラーにアクセスして、これらの攻撃に対抗しようとします。

Windows OS ベースのワークステーションのログから役立つこと (人気記事)

ペンチやダクトテープを使わずにユーザーのライフサイクルを追跡

そして誰がやったの？ 情報セキュリティ監査を自動化します

出所： habr.com