Ora suwe, Splunk nambahake model lisensi liyane - lisensi berbasis infrastruktur (). Dheweke ngetung jumlah inti CPU ing server Splunk. Padha banget karo lisensi Elastic Stack, padha ngetung jumlah simpul Elasticsearch. Sistem SIEM biasane larang lan biasane ana pilihan antarane mbayar akeh lan mbayar akeh. Nanging, yen sampeyan nggunakake sawetara kapinteran, sampeyan bisa ngumpulake struktur sing padha.
Iku katon serem, nanging kadhangkala arsitektur iki dianggo ing produksi. Kerumitan mateni keamanan, lan, umume, mateni kabeh. Nyatane, kanggo kasus kaya mengkono (Aku ngomong babagan ngurangi biaya kepemilikan) ana kelas kabeh sistem - Central Log Management (CLM). bab iku , considering wong undervalued. Mangkene rekomendasine:
- Gunakake kemampuan lan alat CLM nalika ana watesan anggaran lan staf, syarat ngawasi keamanan, lan syarat kasus panggunaan khusus.
- Ngleksanakake CLM kanggo nambah kapabilitas koleksi log lan analisis nalika solusi SIEM mbuktekaken larang banget utawa Komplek.
- Investasi ing alat CLM kanthi panyimpenan sing efisien, telusuran cepet lan visualisasi fleksibel kanggo nambah investigasi / analisis insiden keamanan lan ndhukung mburu ancaman.
- Priksa manawa faktor lan pertimbangan sing ditrapake ditindakake sadurunge ngetrapake solusi CLM.
Ing artikel iki, kita bakal ngomong babagan bedane pendekatan kanggo lisensi, kita bakal ngerti CLM lan ngomong babagan sistem tartamtu saka kelas iki - . Rincian ing ngisor potong.
Ing wiwitan artikel iki, aku ngomong babagan pendekatan anyar kanggo lisensi Splunk. Jinis lisensi bisa dibandhingake karo tarif rental mobil. Ayo mbayangno model kasebut, ing babagan jumlah CPU, minangka mobil ekonomi kanthi jarak tempuh lan bensin tanpa wates. Sampeyan bisa pindhah menyang ngendi wae tanpa watesan jarak, nanging sampeyan ora bisa cepet banget lan, kanthi mangkono, nutupi pirang-pirang kilometer saben dina. Lisensi data padha karo mobil sport kanthi model jarak tempuh saben dina. Sampeyan bisa nyopir kanthi sembrono ing jarak sing adoh, nanging sampeyan kudu mbayar luwih akeh kanggo ngluwihi watesan jarak tempuh saben dina.
Kanggo entuk manfaat saka lisensi adhedhasar muatan, sampeyan kudu duwe rasio paling murah saka inti CPU menyang GB data sing dimuat. Ing laku iki tegese kaya:
- Jumlah pitakon paling cilik kanggo data sing dimuat.
- Nomer paling cilik saka pangguna solusi.
- Minangka data sing prasaja lan normal (supaya ora perlu mbuwang siklus CPU ing pangolahan lan analisis data sakteruse).
Sing paling masalah ing kene yaiku data sing dinormalisasi. Yen sampeyan pengin SIEM dadi aggregator kabeh log ing organisasi, iku mbutuhake jumlah ageng gaweyan ing parsing lan post-processing. Aja lali yen sampeyan uga kudu mikir babagan arsitektur sing ora bakal rusak ing beban, yaiku. server tambahan lan mulane prosesor tambahan bakal dibutuhake.
Lisensi volume data adhedhasar jumlah data sing dikirim menyang maw SIEM. Sumber data tambahan bisa dihukum dening ruble (utawa mata uang liyane) lan iki nggawe sampeyan mikir babagan apa sing ora pengin diklumpukake. Kanggo ngalahake model lisensi iki, sampeyan bisa nggigit data sadurunge disuntikake menyang sistem SIEM. Salah sawijining conto normalisasi sadurunge injeksi yaiku Elastic Stack lan sawetara SIEM komersial liyane.
AkibatΓ©, kita duwe lisensi dening infrastruktur efektif nalika sampeyan kudu ngumpulake mung data tartamtu kanthi preprocessing minimal, lan lisensi kanthi volume ora ngidini sampeyan ngumpulake kabeh. Panelusuran kanggo solusi penengah ndadΓ©kakΓ© kritΓ©ria ing ngisor iki:
- Nyederhanakake panggabungan lan normalisasi data.
- Nyaring data rame lan paling penting.
- Nyedhiyakake kemampuan analisis.
- Ngirim data sing disaring lan dinormalisasi menyang SIEM
AkibatΓ©, target sistem SIEM ora perlu mbuwang daya CPU tambahan ing pangolahan lan bisa entuk manfaat saka mung ngenali acara sing paling penting tanpa nyuda visibilitas apa sing kedadeyan.
Saenipun, solusi middleware kasebut uga kudu nyedhiyakake kemampuan deteksi lan respon wektu nyata sing bisa digunakake kanggo nyuda dampak saka aktivitas sing bisa mbebayani lan nglumpukake kabeh aliran acara dadi kuantum data sing migunani lan prasaja menyang SIEM. Inggih, banjur SIEM bisa digunakake kanggo nggawe agregasi tambahan, korΓ©lasi lan proses tandha.
Solusi penengah misterius sing padha ora liya CLM, sing dakkandhakake ing wiwitan artikel. Mangkene carane Gartner ndeleng:
Saiki sampeyan bisa nyoba ngerteni carane InTrust tundhuk karo rekomendasi Gartner:
- Panyimpenan sing efisien kanggo volume lan jinis data sing kudu disimpen.
- Kacepetan telusuran dhuwur.
- Kapabilitas visualisasi dudu sing dibutuhake CLM dhasar, nanging mburu ancaman kaya sistem BI kanggo keamanan lan analytics data.
- Pengayaan data kanggo nambah data mentah kanthi data kontekstual sing migunani (kayata geolokasi lan liya-liyane).
Quest InTrust nggunakake sistem panyimpenan dhewe kanthi kompresi data nganti 40: 1 lan deduplikasi kacepetan dhuwur, sing nyuda overhead panyimpenan kanggo sistem CLM lan SIEM.
Konsol Panelusuran Keamanan IT kanthi telusuran kaya google
Modul Panelusuran Keamanan IT (ITSS) basis web khusus bisa nyambung menyang data acara ing gudang InTrust lan menehi antarmuka sing gampang kanggo nggoleki ancaman. Antarmuka wis disederhanakake nganti tumindak kaya Google kanggo data log acara. ITSS nggunakake garis wektu kanggo asil pitakon, bisa nggabungake lan klompok lapangan acara, lan kanthi efektif mbantu mburu ancaman.
InTrust nambahake acara Windows kanthi pengenal keamanan, jeneng file, lan pengenal login keamanan. InTrust uga normalake acara menyang skema W6 sing prasaja (Sapa, Apa, Ngendi, Kapan, Sapa lan Saka ngendi) supaya data saka macem-macem sumber (acara asli Windows, log Linux utawa syslog) bisa dideleng ing format siji lan ing siji. search console.
InTrust ndhukung kemampuan alerting, deteksi lan respon wektu nyata sing bisa digunakake minangka sistem kaya EDR kanggo nyilikake karusakan sing disebabake kegiatan curiga. Aturan keamanan sing dibangun ndeteksi, nanging ora diwatesi, ancaman ing ngisor iki:
- Sandi-semprotan.
- Kerberoasting.
- Aktivitas PowerShell sing curiga, kayata eksekusi Mimikatz.
- Proses curiga, contone, LokerGoga ransomware.
- Enkripsi nggunakake log CA4FS.
- Mlebet karo akun istimewa ing workstations.
- Sandi guessing serangan.
- Panggunaan curiga klompok pangguna lokal.
Saiki aku bakal nuduhake sawetara gambar saka InTrust dhewe supaya sampeyan bisa entuk kesan babagan kemampuane.
Filter sing wis ditemtokake kanggo nggoleki kerentanan potensial
Conto set saringan kanggo ngumpulake data mentah
Conto nggunakake ekspresi reguler kanggo nggawe respon kanggo acara
Conto karo aturan telusuran kerentanan PowerShell
Basis kawruh sing dibangun kanthi katrangan babagan kerentanan
InTrust minangka alat sing kuat sing bisa digunakake minangka solusi mandiri utawa minangka bagean saka sistem SIEM, kaya sing dakkandhakake ing ndhuwur. Mbokmenawa kauntungan utama saka solusi iki yaiku sampeyan bisa miwiti nggunakake langsung sawise instalasi, amarga InTrust duwe perpustakaan gedhe aturan kanggo ndeteksi ancaman lan nanggapi (contone, mblokir pangguna).
Ing artikel aku ora ngomong babagan integrasi kothak. Nanging sanalika sawise instalasi, sampeyan bisa ngatur acara ngirim menyang Splunk, IBM QRadar, Microfocus Arcsight, utawa liwat webhook kanggo sistem liyane. Ing ngisor iki minangka conto antarmuka Kibana karo acara saka InTrust. Wis ana integrasi karo Elastic Stack lan, yen sampeyan nggunakake versi gratis Elastic, InTrust bisa digunakake minangka alat kanggo ngenali ancaman, nindakake tandha proaktif lan ngirim kabar.
Muga-muga artikel kasebut menehi ide minimal babagan produk iki. Kita siyap menehi InTrust kanggo sampeyan kanggo nyoba utawa nindakake proyek percontohan. Aplikasi bisa ditinggalake ing ing situs web kita
Waca artikel liyane babagan keamanan informasi:
(artikel populer)
Source: www.habr.com