როგორ შევამციროთ SIEM სისტემის საკუთრების ღირებულება და რატომ გჭირდებათ ცენტრალური ჟურნალის მენეჯმენტი (CLM)

ცოტა ხნის წინ, Splunk-მა დაამატა ლიცენზირების კიდევ ერთი მოდელი - ინფრასტრუქტურაზე დაფუძნებული ლიცენზირება (ახლა სამი მათგანია). ისინი ითვლიან CPU ბირთვების რაოდენობას Splunk სერვერების ქვეშ. ძალიან ჰგავს Elastic Stack ლიცენზირებას, ისინი ითვლიან Elasticsearch კვანძების რაოდენობას. SIEM სისტემები ტრადიციულად ძვირია და, როგორც წესი, არის არჩევანი ბევრის გადახდასა და ბევრის გადახდას შორის. მაგრამ, თუ გამოიყენებთ გარკვეულ ჭკუას, შეგიძლიათ მსგავსი სტრუქტურის შეკრება.

ეს საშინლად გამოიყურება, მაგრამ ზოგჯერ ეს არქიტექტურა მუშაობს წარმოებაში. სირთულე კლავს უსაფრთხოებას და, ზოგადად, კლავს ყველაფერს. სინამდვილეში, ასეთი შემთხვევებისთვის (მე ვსაუბრობ საკუთრების ღირებულების შემცირებაზე) არსებობს სისტემების მთელი კლასი - Central Log Management (CLM). Ამის შესახებ წერს Gartnerმათ დაუფასებლად მიგვაჩნია. აქ არის მათი რეკომენდაციები:

• გამოიყენეთ CLM შესაძლებლობები და ინსტრუმენტები, როდესაც არსებობს ბიუჯეტის და პერსონალის შეზღუდვები, უსაფრთხოების მონიტორინგის მოთხოვნები და გამოყენების კონკრეტული მოთხოვნები.
• განახორციელეთ CLM ჟურნალის შეგროვებისა და ანალიზის შესაძლებლობების გასაუმჯობესებლად, როდესაც SIEM გადაწყვეტა ძალიან ძვირი ან რთულია.
• ინვესტიცია CLM ინსტრუმენტებში ეფექტური შენახვის, სწრაფი ძიების და მოქნილი ვიზუალიზაციით უსაფრთხოების ინციდენტების გამოძიების/ანალიზის გასაუმჯობესებლად და საფრთხეებზე ნადირობის მხარდასაჭერად.
• დარწმუნდით, რომ მოქმედი ფაქტორები და მოსაზრებები გათვალისწინებულია CLM გადაწყვეტის განხორციელებამდე.

ამ სტატიაში ვისაუბრებთ ლიცენზირების მიდგომების განსხვავებებზე, გავიგებთ CLM-ს და ვისაუბრებთ ამ კლასის კონკრეტულ სისტემაზე - Quest InTrust. დეტალები ჭრილის ქვეშ.

ამ სტატიის დასაწყისში მე ვისაუბრე Splunk ლიცენზირების ახალ მიდგომაზე. ლიცენზირების სახეები შეიძლება შევადაროთ მანქანის დაქირავების ტარიფებს. წარმოვიდგინოთ, რომ მოდელი, CPU-ების რაოდენობის მიხედვით, არის ეკონომიური მანქანა შეუზღუდავი გარბენით და ბენზინით. შეგიძლიათ ყველგან წახვიდეთ მანძილის შეზღუდვის გარეშე, მაგრამ არ შეგიძლიათ ძალიან სწრაფად წასვლა და, შესაბამისად, დღეში ბევრ კილომეტრს დაფარავთ. მონაცემთა ლიცენზირება მსგავსია სპორტული მანქანის ყოველდღიური გარბენის მოდელით. თქვენ შეგიძლიათ დაუფიქრებლად მართოთ დიდ დისტანციებზე, მაგრამ მეტის გადახდა მოგიწევთ ყოველდღიური გარბენის ლიმიტის გადალახვისთვის.

იმისათვის, რომ ისარგებლოთ დატვირთვაზე დაფუძნებული ლიცენზირებით, თქვენ უნდა გქონდეთ CPU ბირთვების ყველაზე დაბალი შესაძლო თანაფარდობა დატვირთულ GB მონაცემებთან. პრაქტიკაში ეს ნიშნავს რაღაცას:

• დატვირთული მონაცემების მოთხოვნების ყველაზე მცირე რაოდენობა.
• გადაწყვეტის შესაძლო მომხმარებლების ყველაზე მცირე რაოდენობა.
• რაც შეიძლება მარტივი და ნორმალიზებული მონაცემები (ისე, რომ არ იყოს საჭირო CPU ციკლების დახარჯვა შემდგომი მონაცემების დამუშავებასა და ანალიზზე).

ყველაზე პრობლემური აქ არის ნორმალიზებული მონაცემები. თუ გსურთ, რომ SIEM იყოს ორგანიზაციის ყველა ჟურნალის აგრეგატორი, ეს მოითხოვს დიდ ძალისხმევას ანალიზსა და შემდგომ დამუშავებაში. არ დაგავიწყდეთ, რომ თქვენ ასევე უნდა იფიქროთ არქიტექტურაზე, რომელიც არ დაიშლება დატვირთვის ქვეშ, ე.ი. დამატებითი სერვერები და შესაბამისად დამატებითი პროცესორები იქნება საჭირო.

მონაცემთა მოცულობის ლიცენზირება ემყარება მონაცემთა რაოდენობას, რომელიც იგზავნება SIEM-ის საქაღალდეში. მონაცემთა დამატებითი წყაროები ისჯება რუბლით (ან სხვა ვალუტით) და ეს გაიძულებთ იფიქროთ იმაზე, რისი შეგროვება ნამდვილად არ გინდოდათ. ამ ლიცენზირების მოდელზე გადასასვლელად, შეგიძლიათ დაკბინოთ მონაცემები SIEM სისტემაში შეყვანამდე. ასეთი ნორმალიზების ერთ-ერთი მაგალითი ინექციამდე არის Elastic Stack და ზოგიერთი სხვა კომერციული SIEM.

შედეგად, ჩვენ გვაქვს, რომ ინფრასტრუქტურის მიერ ლიცენზირება ეფექტურია, როდესაც საჭიროა მხოლოდ გარკვეული მონაცემების შეგროვება მინიმალური წინასწარი დამუშავებით, ხოლო მოცულობითი ლიცენზირება საერთოდ არ მოგცემთ საშუალებას შეაგროვოთ ყველაფერი. შუალედური გადაწყვეტის ძიება იწვევს შემდეგ კრიტერიუმებს:

• მონაცემთა აგრეგაციისა და ნორმალიზაციის გამარტივება.
• ხმაურიანი და ნაკლებად მნიშვნელოვანი მონაცემების ფილტრაცია.
• ანალიზის შესაძლებლობების უზრუნველყოფა.
• გაფილტრული და ნორმალიზებული მონაცემების გაგზავნა SIEM-ში

შედეგად, სამიზნე SIEM სისტემებს არ დასჭირდებათ CPU-ს დამატებითი ენერგიის დახარჯვა დამუშავებაზე და შეუძლიათ ისარგებლონ მხოლოდ ყველაზე მნიშვნელოვანი მოვლენების იდენტიფიცირებით, ხილვადობის შემცირების გარეშე, რაც ხდება.

იდეალურ შემთხვევაში, ამგვარი შუალედური გადაწყვეტა ასევე უნდა უზრუნველყოფდეს რეალურ დროში აღმოჩენისა და რეაგირების შესაძლებლობებს, რომლებიც შეიძლება გამოყენებულ იქნას პოტენციურად საშიში აქტივობების ზემოქმედების შესამცირებლად და მოვლენების მთელი ნაკადის გაერთიანება SIEM-ის სასარგებლო და მარტივ მონაცემებში. კარგად, მაშინ SIEM შეიძლება გამოყენებულ იქნას დამატებითი აგრეგაციების, კორელაციებისა და გაფრთხილების პროცესების შესაქმნელად.

იგივე იდუმალი შუალედური გამოსავალი სხვა არაფერია, თუ არა CLM, რომელიც სტატიის დასაწყისში აღვნიშნე. ასე ხედავს ამას Gartner:

ახლა შეგიძლიათ სცადოთ გაერკვნენ, თუ როგორ შეესაბამება InTrust Gartner-ის რეკომენდაციებს:

• ეფექტური შენახვა მონაცემთა მოცულობისა და ტიპებისთვის, რომლებიც შესანახია.
• ძიების მაღალი სიჩქარე.
• ვიზუალიზაციის შესაძლებლობები არ არის ის, რასაც ძირითადი CLM მოითხოვს, მაგრამ საფრთხეებზე ნადირობა ჰგავს BI სისტემას უსაფრთხოებისა და მონაცემთა ანალიტიკისთვის.
• მონაცემთა გამდიდრება ნედლი მონაცემების გასამდიდრებლად სასარგებლო კონტექსტური მონაცემებით (როგორიცაა გეოლოკაცია და სხვა).

Quest InTrust იყენებს საკუთარ საცავის სისტემას 40:1-მდე მონაცემთა შეკუმშვით და მაღალი სიჩქარით დედუპლიკაციით, რაც ამცირებს CLM და SIEM სისტემების შენახვის ხარჯებს.

IT Security Search Console Google-ის მსგავსი ძიებით

სპეციალიზებულ ვებზე დაფუძნებულ IT Security Search (ITSS) მოდულს შეუძლია დაუკავშირდეს მოვლენის მონაცემებს InTrust საცავში და უზრუნველყოფს მარტივ ინტერფეისს საფრთხეების საძიებლად. ინტერფეისი გამარტივებულია იმდენად, რამდენადაც ის მოქმედებს Google-ის მსგავსად მოვლენების ჟურნალის მონაცემებისთვის. ITSS იყენებს ვადებს შეკითხვის შედეგებისთვის, შეუძლია ღონისძიების ველების გაერთიანება და დაჯგუფება და ეფექტურად ეხმარება საფრთხეებზე ნადირობას.

InTrust ამდიდრებს Windows-ის მოვლენებს უსაფრთხოების იდენტიფიკატორებით, ფაილების სახელებით და უსაფრთხოების შესვლის იდენტიფიკატორებით. InTrust ასევე ახდენს მოვლენების ნორმალიზებას მარტივი W6 სქემით (ვინ, რა, სად, როდის, ვისგან და საიდან), ისე, რომ მონაცემები სხვადასხვა წყაროებიდან (Windows მშობლიური მოვლენები, Linux ლოგები ან syslog) შეიძლება ნახოთ ერთ ფორმატში და ერთზე. საძიებო კონსოლი.

InTrust მხარს უჭერს რეალურ დროში გაფრთხილების, აღმოჩენისა და რეაგირების შესაძლებლობებს, რომლებიც შეიძლება გამოყენებულ იქნას როგორც EDR-ის მსგავსი სისტემა საეჭვო აქტივობით გამოწვეული ზიანის შესამცირებლად. უსაფრთხოების ჩაშენებული წესები აღმოაჩენს, მაგრამ არ შემოიფარგლება, შემდეგ საფრთხეებს:

• პაროლის შეფრქვევა.
• კერბეროსტინგი.
• PowerShell-ის საეჭვო აქტივობა, როგორიცაა Mimikatz-ის შესრულება.
• საეჭვო პროცესები, მაგალითად, LokerGoga ransomware.
• დაშიფვრა CA4FS ჟურნალების გამოყენებით.
• შესვლა ხდება პრივილეგირებული ანგარიშით სამუშაო სადგურებზე.
• პაროლის გამოცნობის შეტევები.
• ადგილობრივი მომხმარებელთა ჯგუფების საეჭვო გამოყენება.

ახლა მე გაჩვენებთ თავად InTrust-ის რამდენიმე ეკრანის სურათს, რათა მიიღოთ შთაბეჭდილება მის შესაძლებლობებზე.

წინასწარ განსაზღვრული ფილტრები პოტენციური დაუცველობის მოსაძებნად

ფილტრების ნაკრების მაგალითი ნედლეული მონაცემების შეგროვებისთვის

რეგულარული გამონათქვამების გამოყენების მაგალითი მოვლენაზე პასუხის შესაქმნელად

მაგალითი PowerShell დაუცველობის ძებნის წესით

ჩაშენებული ცოდნის ბაზა დაუცველობის აღწერით

InTrust არის ძლიერი ინსტრუმენტი, რომელიც შეიძლება გამოყენებულ იქნას როგორც დამოუკიდებელი გადაწყვეტა ან როგორც SIEM სისტემის ნაწილი, როგორც ზემოთ აღვწერე. ალბათ ამ გადაწყვეტის მთავარი უპირატესობა ის არის, რომ შეგიძლიათ დაიწყოთ მისი გამოყენება ინსტალაციისთანავე, რადგან InTrust-ს აქვს წესების დიდი ბიბლიოთეკა საფრთხეების აღმოსაჩენად და მათზე რეაგირებისთვის (მაგალითად, მომხმარებლის დაბლოკვა).

სტატიაში მე არ ვსაუბრობ ყუთში ინტეგრირებებზე. მაგრამ ინსტალაციისთანავე, თქვენ შეგიძლიათ დააკონფიგურიროთ მოვლენების გაგზავნა Splunk-ზე, IBM QRadar-ზე, Microfocus Arcsight-ზე ან ვებჰუკის საშუალებით ნებისმიერ სხვა სისტემაზე. ქვემოთ მოცემულია Kibana ინტერფეისის მაგალითი InTrust-ის მოვლენებთან. უკვე არის ინტეგრაცია Elastic Stack-თან და, თუ იყენებთ Elastic-ის უფასო ვერსიას, InTrust შეიძლება გამოყენებულ იქნას როგორც საფრთხეების იდენტიფიცირების, პროაქტიული გაფრთხილებების შესასრულებლად და შეტყობინებების გაგზავნის ინსტრუმენტად.

იმედი მაქვს, რომ სტატიამ მინიმალური წარმოდგენა მისცა ამ პროდუქტის შესახებ. ჩვენ მზად ვართ მოგცეთ InTrust ტესტირებისთვის ან საპილოტე პროექტის განსახორციელებლად. განაცხადის დატოვება შესაძლებელია უკუკავშირის ფორმა ჩვენს ვებგვერდზე.

წაიკითხეთ ჩვენი სხვა სტატიები ინფორმაციის უსაფრთხოების შესახებ:

ჩვენ აღმოვაჩენთ გამოსასყიდის შეტევას, ვიღებთ წვდომას დომენის კონტროლერზე და ვცდილობთ წინააღმდეგობა გავუწიოთ ამ შეტევებს

რა სასარგებლო ნივთების ამოღება შეიძლება Windows-ზე დაფუძნებული სამუშაო სადგურის ჟურნალებიდან? (პოპულარული სტატია)

მომხმარებელთა სასიცოცხლო ციკლის თვალყურის დევნება ქლიბის ან ლენტის გარეშე

ვინ გააკეთა? ჩვენ ავტომატიზირებს ინფორმაციის უსაფრთხოების აუდიტს

წყარო: www.habr.com