Жақында Splunk тағы бір лицензиялау үлгісін қосты - инфрақұрылымға негізделген лицензиялау (). Олар Splunk серверлеріндегі CPU ядроларының санын есептейді. Elastic Stack лицензиясына өте ұқсас, олар Elasticsearch түйіндерінің санын есептейді. SIEM жүйелері дәстүрлі түрде қымбат және әдетте көп төлеу мен көп төлеу арасында таңдау болады. Бірақ, егер сіз кейбір тапқырлықты қолдансаңыз, ұқсас құрылымды жинай аласыз.
Бұл қорқынышты көрінеді, бірақ кейде бұл архитектура өндірісте жұмыс істейді. Күрделілік қауіпсіздікті өлтіреді, жалпы алғанда, бәрін өлтіреді. Шын мәнінде, мұндай жағдайлар үшін (мен меншік құнын төмендету туралы айтып отырмын) жүйелердің бүкіл класы бар - Орталық журналды басқару (CLM). Осы жайлы , олардың бағаланбағанын ескере отырып. Міне, олардың ұсыныстары:
- Бюджет және штаттық шектеулер, қауіпсіздікті бақылау талаптары және арнайы пайдалану жағдайлары талаптары болған кезде CLM мүмкіндіктері мен құралдарын пайдаланыңыз.
- SIEM шешімі тым қымбат немесе күрделі болған кезде журналдарды жинау және талдау мүмкіндіктерін жақсарту үшін CLM енгізіңіз.
- Қауіпсіздік оқиғаларын тергеу/талдау және қауіптерді іздеуді қолдау үшін тиімді сақтау, жылдам іздеу және икемді визуализациясы бар CLM құралдарына инвестициялаңыз.
- CLM шешімін енгізбес бұрын қолданылатын факторлар мен ойлардың ескерілгеніне көз жеткізіңіз.
Бұл мақалада біз лицензиялау тәсілдерінің айырмашылығы туралы айтатын боламыз, біз CLM түсінеміз және осы сыныптың белгілі бір жүйесі туралы сөйлесеміз - . Кесу астындағы мәліметтер.
Осы мақаланың басында мен Splunk лицензиясының жаңа тәсілі туралы айттым. Лицензиялау түрлерін автокөлікті жалға алу тарифтерімен салыстыруға болады. Модель процессорлар саны бойынша шексіз жүгіріс пен бензині бар үнемді автокөлік екенін елестетіп көрейік. Сіз кез келген жерге қашықтықты шектеусіз бара аласыз, бірақ сіз өте жылдам жүре алмайсыз және, тиісінше, күніне бірнеше шақырымды өте алмайсыз. Деректерді лицензиялау күнделікті жүгіріс үлгісі бар спорттық автокөлікке ұқсас. Сіз ұзақ қашықтыққа абайсызда жүре аласыз, бірақ күнделікті жүгіріс шегінен асып кеткеніңіз үшін көбірек төлеуге тура келеді.
Жүктемеге негізделген лицензиялаудың пайдасын алу үшін сізде процессор өзектерінің жүктелген деректердің ГБ көлеміне ең төмен қатынасы болуы керек. Іс жүзінде бұл мынаны білдіреді:
- Жүктелген деректерге сұраулардың ең аз ықтимал саны.
- Шешімді қолданушылардың ең аз саны.
- Мүмкіндігінше қарапайым және нормаланған деректер (мәліметтерді кейінгі өңдеу және талдау кезінде процессор циклдарын ысырап етудің қажеті жоқ).
Мұнда ең проблемалық нәрсе - нормаланған деректер. Егер сіз SIEM ұйымдағы барлық журналдардың агрегаторы болғанын қаласаңыз, ол талдау және кейінгі өңдеуде үлкен күш жұмсауды қажет етеді. Сондай-ақ жүктеме кезінде құлап кетпейтін сәулет туралы ойлау керек екенін ұмытпаңыз, яғни. қосымша серверлер, сондықтан қосымша процессорлар қажет болады.
Деректер көлемін лицензиялау SIEM жүйесіне жіберілетін деректер көлеміне негізделген. Қосымша деректер көздері рубльмен (немесе басқа валютамен) жазаланады және бұл сізді шынымен жинағыңыз келмеген нәрселер туралы ойлануға мәжбүр етеді. Бұл лицензиялау үлгісін жеңу үшін деректерді SIEM жүйесіне енгізбес бұрын тістеуге болады. Инъекцияға дейін мұндай қалыпқа келтірудің бір мысалы - Elastic Stack және кейбір басқа коммерциялық SIEM.
Нәтижесінде бізде инфрақұрылым бойынша лицензиялау ең аз алдын ала өңдеумен белгілі бір деректерді ғана жинау қажет болғанда тиімді болады, ал көлемі бойынша лицензиялау барлығын жинауға мүмкіндік бермейді. Аралық шешімді іздеу келесі критерийлерге әкеледі:
- Деректерді біріктіруді және қалыпқа келтіруді жеңілдету.
- Шулы және ең аз маңызды деректерді сүзу.
- Талдау мүмкіндіктерін беру.
- Сүзілген және қалыпқа келтірілген деректерді SIEM жүйесіне жіберіңіз
Нәтижесінде, мақсатты SIEM жүйелері өңдеуге қосымша процессор қуатын ысырап етуді қажет етпейді және болып жатқан оқиғаның көрінуін азайтпай ең маңызды оқиғаларды ғана анықтаудың пайдасын көре алады.
Ең дұрысы, мұндай аралық бағдарламалық құрал шешімі ықтимал қауіпті әрекеттердің әсерін азайту және оқиғалардың барлық ағынын SIEM үшін пайдалы және қарапайым деректер квантына біріктіру үшін пайдалануға болатын нақты уақытта анықтау және жауап беру мүмкіндіктерін қамтамасыз етуі керек. Сонымен, SIEM қосымша агрегаттарды, корреляцияларды және ескерту процестерін жасау үшін пайдаланылуы мүмкін.
Дәл сол жұмбақ аралық шешім - мен мақаланың басында айтқан CLM. Гартнер мұны осылай көреді:
Енді сіз InTrust қалай Gartner ұсыныстарына сәйкес келетінін анықтауға болады:
- Сақтау қажет деректер көлемі мен түрлерін тиімді сақтау.
- Жоғары іздеу жылдамдығы.
- Визуализация мүмкіндіктері негізгі CLM талап ететін нәрсе емес, бірақ қауіптерді іздеу қауіпсіздік пен деректерді талдауға арналған BI жүйесі сияқты.
- Шикі деректерді пайдалы контекстік деректермен (мысалы, геолокация және т.б.) байыту үшін деректерді байыту.
Quest InTrust 40:1-ге дейін деректерді қысу және жоғары жылдамдықты қайталау мүмкіндігі бар жеке сақтау жүйесін пайдаланады, бұл CLM және SIEM жүйелері үшін сақтау шығындарын азайтады.
Google сияқты іздеуі бар IT қауіпсіздік іздеу консолі
Мамандандырылған веб-негізделген IT Security Search (ITSS) модулі InTrust репозиторийіндегі оқиға деректеріне қосыла алады және қауіптерді іздеу үшін қарапайым интерфейсті қамтамасыз етеді. Интерфейс оқиғалар журналының деректері үшін Google сияқты әрекет ететіндей жеңілдетілген. ITSS сұрау нәтижелері үшін уақыт шкаласын пайдаланады, оқиға өрістерін біріктіріп, топтай алады және қауіптерді іздеуге тиімді көмектеседі.
InTrust Windows оқиғаларын қауіпсіздік идентификаторларымен, файл атауларымен және қауіпсіздік кіру идентификаторларымен байытады. InTrust сонымен қатар оқиғаларды W6 қарапайым схемасына (кім, не, қайдан, қашан, кімнен және қайдан) қалыпқа келтіреді, осылайша әртүрлі көздерден алынған деректерді (Windows жергілікті оқиғалары, Linux журналдары немесе жүйе журналдары) бір пішімде және бір форматта көруге болады. іздеу консолі.
InTrust нақты уақыттағы ескерту, анықтау және жауап беру мүмкіндіктерін қолдайды, олар күдікті әрекеттен туындаған зиянды азайту үшін EDR тәрізді жүйе ретінде пайдаланылады. Кірістірілген қауіпсіздік ережелері келесі қауіптерді анықтайды, бірақ олармен шектелмейді:
- Құпия сөзді бүрку.
- Керберостинг.
- Mimikatz орындалуы сияқты күдікті PowerShell әрекеті.
- Күдікті процестер, мысалы, LokerGoga ransomware.
- CA4FS журналдарын пайдаланып шифрлау.
- Жұмыс станцияларында артықшылықты тіркелгімен кіру.
- Құпия сөзді болжау шабуылдары.
- Жергілікті пайдаланушы топтарын күдікті пайдалану.
Енді мен сізге InTrust-тың бірнеше скриншоттарын көрсетемін, сонда сіз оның мүмкіндіктері туралы әсер аласыз.
Ықтимал осалдықтарды іздеу үшін алдын ала анықталған сүзгілер
Шикі деректерді жинауға арналған сүзгілер жиынтығының мысалы
Оқиғаға реакция жасау үшін тұрақты тіркестерді қолдану мысалы
PowerShell осалдықты іздеу ережесі бар мысал
Осалдықтардың сипаттамасы бар кірістірілген білім қоры
InTrust - жоғарыда сипатталғандай, дербес шешім ретінде немесе SIEM жүйесінің бөлігі ретінде пайдалануға болатын қуатты құрал. Мүмкін, бұл шешімнің басты артықшылығы - оны орнатудан кейін бірден пайдалануға болады, өйткені InTrust-та қауіптерді анықтау және оларға жауап беру (мысалы, пайдаланушыны блоктау) ережелерінің үлкен кітапханасы бар.
Мақалада мен қорапты интеграциялар туралы айтқан жоқпын. Бірақ орнатудан кейін бірден Splunk, IBM QRadar, Microfocus Arcsight немесе веб-хук арқылы кез келген басқа жүйеге оқиғаларды жіберуді теңшеуге болады. Төменде InTrust оқиғалары бар Kibana интерфейсінің мысалы берілген. Elastic Stack-пен интеграция әлдеқашан бар және егер сіз Elastic бағдарламасының тегін нұсқасын пайдалансаңыз, InTrust қауіптерді анықтау, белсенді ескертулерді орындау және хабарландыруларды жіберу құралы ретінде пайдаланылуы мүмкін.
Мақала осы өнім туралы ең аз түсінік берді деп үміттенемін. Біз сізге тестілеу немесе пилоттық жобаны жүргізу үшін InTrust беруге дайынбыз. Қолданбаны мына жерде қалдыруға болады біздің сайтта.
Ақпараттық қауіпсіздік туралы басқа мақалаларымызды оқыңыз:
(танымал мақала)
Ақпарат көзі: www.habr.com