αα·αααΌαααα»ααααΆα Splunk ααΆαααααααααααΌα’αΆααααΆααααααα½ααααααααα - α’αΆααααΆαααααααα’ααααΎα αααααΆαα ααΆαααααααα () αα½αααααΆααα ααα½αααααΌααααΈααΈααΌαα ααααααααΆαααΈααα Splunk α αααααααα ααΉαα’αΆααααΆααααα Elastic Stack αα½αααααΆααα ααα½αααααΆαα Elasticsearch α αααααααα SIEM ααΆααααααααααααΆαααααααΈ α αΎαααΆααααααΆααΆααααααΎααααΆαααΆααααααααΆααα αααΎα αα·ααααα αααΎαα ααα»ααααααααα·αααΎα’αααααααΎααΆαααα·ααααααααααα α’αααα’αΆα αααααΌααααα»ααα ααΆααααααααααααααααααΆα

ααΆααΎααα
αα½αα±ααααααΆα
ααα»αααααααααααααααΆαααααααααααααααΎαααΆααααα»αααα·αααααα ααΆααααα»αααααΆααααααΆααααααα·αα»α α αΎαααΆααΌαα
αααααΆααα’αααΈαααΆααα’ααα ααΆααΆααα·ααααααΆααααααΈαααααα (αααα»ααααα»ααα·ααΆαα’αααΈααΆαααΆααααααααααααααααΆαααΆααα
αΆαα) ααΆαααααααααααΆααααΌα - Central Log Management (CLM) α α’αααΈβααΆ αααα
αΆαααα»αααΆαα½αααααΆααααααααΆαα αααααΆααΆαααααΆααααααα½αααα
- ααααΎααααΆαααααααααΆα αα·αα§ααααα CLM αα ααααααααΆαα§αααααααα·ααΆ αα·ααα»ααααα·α αααααΌαααΆααααα½ααα·αα·ααααα»ααααα·ααΆα αα·ααααααΌαααΆαααααΈααααΎααααΆααααΆααααΆααα
- α’αα»αααα CLM ααΎααααΈαααααΎααααααααΆααααααΌα αα·αααΆααα·ααΆα αα αααααααααααααααΆα SIEM αααα αΆαααΆααααααα α¬αααα»αααααΆαα
- αα·αα·αααααΎα§ααααα CLM ααΆαα½αααΉαααΆααααα»αααααααααααααα·αααααΆα ααΆαααααααααα αα αα·αααΆαααΎαααΎααααα’αΆα ααααααααΆα ααΎααααΈαααααα’ααΆααααΎαα’ααααα/ααΆααα·ααΆαα§ααααααα·α ααα»αα»ααααα·ααΆα αα·αααΆααααααΆααααααΆααααΆαααααΆαααα ααα
- ααααΌαααααΆααααΆαααααΆαααα’αΆα α’αα»ααααααΆα αα·αααΆααα·α αΆαααΆααααΌαααΆααααααα·α αΆαααΆαα»ααααα’αα»αααααααααααααΆα CLM α
αα
αααα»αα’ααααααααααΎαααΉααα·ααΆαα’αααΈααΆααα»αααααΆαααα·ααΈααΆααααααααα»αααΆααααααα’αΆααααΆααααα ααΎαααΉααααααΈ CLM α αΎααα·ααΆαα’αααΈααααααααααΆααααΆααααααααΆααααα - . ααααααΆααααα’α·ααα
αααααααΆαααΆααα
αα
ααΎαα’αααααααα αααα»αααΆααα·ααΆαα’αααΈαα·ααΈααΆαααααααααΈαααα»αααΆααααααα’αΆααααΆααααα Splunk α ααααααααα’αΆααααΆαααααα’αΆα
αααααααααα
ααΉαα’ααααΆαα½αααααααα α
αΌαααΎααααααααΆαααΌααααααααΎαα·ααΆαααΈα
ααα½ααααΈααΈααΌααΊααΆαααααααααααααα
ααααααΆαα
ααααΆααα·αααααααα·αααΆααα α’αααα’αΆα
αα
ααααααααΆααααΆααααααααΆαααΆαααΉααααα·αα
ααααΆα ααα»ααααα’ααααα·αα’αΆα
αα
ααΆαααΏααα α αΎαααΆαααα ααααααααααα
αααΎαααΈα‘αΌαααααααααα»ααα½αααααα ααΆααααααα’αΆααααΆααααααα·ααααααααΊαααααααα
ααΉαααααααααααααααααΆαααααΌαααΆααααααα
αΆαααααα α’αααα’αΆα
ααΎαααααααα·ααααα»ααααααααααααα»αα
ααααΆαααααΆα ααα»ααααα’αααααΉαααααΌααααααααΆααααααααααααααααΆααααΆαααΎαααΈα
ααα½αααααααααα
αΆαααααα

ααΎααααΈααα½αααΆαα’αααααααααααααΈααΆααααααα’αΆααααΆαααααααα’ααααΎααΆααααα»α α’αααααααΌαααΆααααΆααΆαααααΆααααα»αααααααΌααααΈααΈααΌαα
ααΈααΆαααααα·αααααααααααΆααααα»αα αα
αααα»αααΆαα’αα»αααααααααΆααααααΆα’αααΈαα½αααΌα
ααΆ:
- α ααα½ααααα½ααα·α αααα»ααααα’αΆα ααααΎαα ααΆαα αααααα·αααααααααααΆααααα»αα
- α ααα½αα’αααααααΎααααΆαααα·α αααα»ααααααααααααΆαα
- ααΆαα·ααααααααΆαααα αα·αααΆαααααααααααααΆααΆααααα’αΆα ααααΎαα ααΆα (ααΌα αααααα·αα αΆαααΆα αααααααααΆααααα CPU ααΎααααΎαααΆα αα·αααΆααα·ααΆααα·ααααααααΆαααααααααΆαα)α
ααΏααααααΆααααα αΆαααα»ααα ααΈαααααΊαα·ααααααααααααΆα ααααα·αααΎα’αααα ααα±αα SIEM ααααΆαααΆα’ααααααααΌααααα»ααααααααα ααα»ααΆααα’αααα αααα»αααααΆααααα½α ααΆααΆαααΆαα±ααααΆαααΆααα·αααααααΉαααααααααΆαα αααΎααααα»αααΆααα·ααΆα αα·ααααααααααΎαααΆαα αα»αααααα ααΆα’αααααααααΌααα·αα’αααΈααααΆαααααααααααααΉααα·αααααΆααα α»ααα αααααααααα»α αααααΊα§α αααΆαααΈααααααααα α αΎαααΌα ααααααααΎαααΆαααααααααΉαααααΌαααΆαααΆαααΆαα
ααΆααααααα’αΆααααΆαααααααα·ααΆααα·ααααααααΊααα’ααααΎααα·ααΆααααα·αααααααααααααΌαααΆααααααΌααα αααα»α maw αα SIEM α αααααβαα·ααααααβααααααβααααΌαβααα½αβαααβαααβααΌαα·ααααα (α¬βααΌαα·ααααααβαααααβααα) α αΎαβαααβααααΎβα±ααβα’αααβαα·αβα’αααΈβα’αααΈβαααβα’αααβαα·αβα ααβαααααΌαα ααΎααααΈα α½αααΈααααΌα’αΆααααΆαααααααα α’αααα’αΆα ααΆααα·αααααααα»ααααααΆααααΌαααΆαα αΆααα αΌααα αααα»ααααααααα SIEM α α§ααΆα ααααα½αααααΆαααααΎα±ααααααααΆαααααααα»ααααα αΆααααΊ Elastic Stack αα·α SIEMs ααΆαα·ααααααααα½αα ααα½ααααα
ααΆαααααα ααΎαααΆαα’αΆααααΆααααααααα αααααΆαα ααΆααααααααααΊααΆαααααα·αααααΆααα ααααααα’αααααααΌαααΆααααααΌααα·ααααααααΆααααΆαααααααααΎαααΆααα·α αα½α αααα»α α αΎαααΆααααααα’αΆααααΆαααααααΆαααα·ααΆαααΉααα·αα’αα»ααααΆαα±ααα’ααααααααΌαα’αααΈαααΆααα’ααααΆαααααααα ααΆαααααααααααααααααΆαααααα·ααααααααΆαα±ααααΆααααααααα·αα·α ααααααΌα ααΆααααααα
- ααααΎα±ααααΆααααααΌααααα»ααα·ααααααααΆαααα αα·αααααΎα±ααααΆαααααααααααααΆα
- ααααβαα·ααααααβαααβααααΆαβααα‘αα αα·αβααααΆααβαα·α α
- ααΆαααααααααααααΆααα·ααΆαα
- ααααΎαα·αααααααααααΆααααα αα·αααααααΆαα SIEM
ααΆαααααα αααααααα SIEM ααααα ααΉααα·αα αΆαααΆα αααααααααΆαααΆααααααΈααΈααΌααααααααΎααααΎαααΆαααααα α αΎαα’αΆα ααα½αααΆαα’αααααααααααααΈααΆααααααα’ααααααααΆαααααΉαααα·ααΆαααααααΆααααααα»αααααα·αααΆαααααααααΆαααΎαααΎαα ααααα’αααΈααααααα»αααΎαα‘αΎαα
ααΆαα§ααααααα· αααααααααΆαα§ααααααααααΆααααααααααα½ααααααααααΌαααΆαααααΎα αα·ααααααααΆαααααΎααααααα»ααααααααΆααΆααααααα αααα’αΆα ααααΌαααΆαααααΎααΎααααΈααΆααααααααααααααΆαααααααααααΆααααααΆααααααααααΆαα αα·ααααααΌααααα»αααααΉαααα·ααΆαααααΆααααΌααα ααΆααα·ααΆααα·ααααααααααΆααααααααα αα·αααΆααααααααααα ααΆαα SIEM α α’ααα αΉα SIEM α’αΆα βααααΌαβααΆαβααααΎβααΎααααΈβαααααΎαβααΆαβαα½αβαααα αΌα ααααΆαααααα αα·αβααααΎαααΆαβααΆααααΏαβααααααα
αααααααααΆαααααα·ααααααααα’αΆααααααΆααααααααα ααΊααααΆαααααΆαααα ααΈ CLM ααααααα»αααΆαααΎαα‘αΎααα ααΎαα’ααααααααααα αααααΆααααααα Gartner ααΎαααΎαααΆα

α₯α‘αΌααααα’αααα’αΆα
ααααΆααΆαααααααααααΈααααααα InTrust α’αα»αααααΆαααΆαααααΆααααα Gartnerα
- ααΆααααα»αααααααααααααα·αααααΆααααααΆααααα·ααΆα αα·ααααααααα·αααααααααααααΌαααΆααααααΆαα»αα
- ααααΏαααααααααααααα
- αααααααΆαααΎαααΎααα·ααααααΆα’αααΈααα CLM ααΆαααΆαααΆααΌαααααΆαααααα ααα»ααααααΆααααααααααΆαααααΆαααα ααααΊααΌα ααΆαααααααα BI αααααΆαααα»ααααα·ααΆα αα·αααΆααα·ααΆααα·ααααααα
- ααΆααααααΉααα·ααααααααΎααααΈαααααΎααα·αααααααα ααΆαα½αααΉααα·ααααααααα·αααααααΆααααααααα (ααΌα ααΆααΈααΆααααΌαα·ααΆααααα αα·ααααααααα)α
Quest InTrust ααααΎααααΆαααααααααααααα»ααα·ααααααααααΆαααααα½αααααααΆααΆαα½αααΉαααΆααααα αΆαααα·αααααααα αΌαααα 40:1 αα·αααΆααααα·αααααααααααΆαααααΏαααΏα αααααΆαααααααααΆααααα»αααΎαα ααα»ααααααΆαααααααααα CLM αα·α SIEM α

IT Security Search Console ααΆαα½αααΉαααΆααααααααααΌα
Google
αααΌαα»α IT Security Search (ITSS) αααααΆαααΌαααααΆαααΎαααααΆαα―ααααα’αΆα ααααΆαααα αα·ααααααααααΉαααα·ααΆααααα αααα»αααααΆαα InTrust αα·ααααααααΌαα ααα»α αααααΆααααΆαααααααααΆααααΆααααααααααΆαααααΆαααα ααα α ααα»α αααααΆααααααΌαααΆαααααα½ααααα ααα»α αααααΆααΎααα½ααΌα ααΆ Google αααααΆαααα·αααααααααααα ααα»ααααΉαααα·ααΆαααα ITSS ααααΎααΆαααααααααααααΆαααααΆαααααααααααα½α α’αΆα αααα αΌαα αΌαααααΆ αα·αααΆαααα»αααααΆαααααΉαααα·ααΆααα αα·ααα½ααααΆαααΆαααααα·αααααΆααααα»αααΆααααααααααΆαααααΆαααα ααα
InTrust αααααΉαααααΉαααα·ααΆαααααΆααΆ Windows α§ααααααααααα’ααααααααΆααα»ααααα·ααΆα αααααα―αααΆα αα·αα§ααααααααααα’ααααααααΆαα αΌααα»ααααα·ααΆαα InTrust ααααααΎα±ααααααΉαααα·ααΆαααααΆαααααααααααααΆαα ααΆαααααααΆααα W6 ααΆαααα (α’αααααΆ α’αααΈ ααααααααΆ αααααΆ α’αααααΆ αα·αααααααααΆααααΈααΆ) ααΌα αααααα·ααααααααΈαααααααααααααααΆ (ααααΉαααα·ααΆαααααΎα) Windows, αααααα ααα» Linux α¬ syslog) α’αΆα ααΎαααΎααααα»ααααααααααα½α αα·ααα ααΎαα»αααΌαααααααααααα½αα
InTrust ααΆααααααΆαααΆααααΏα ααΆαααααΎα αα·ααααααααΆαααααΎαααααΆααααααααΆααΆααααααα αααα’αΆα ααααΌαααΆαααααΎααΆααααααααααΌα EDR ααΎααααΈααΆαααααααααΆαααΌα ααΆαααααααααΆαααααΈαααααααΆααα½αα±ααααααααα α αααΆαααα»ααααα·ααΆααααααααΆααααααΆαα½αααααΎα ααα»αααααα·αααααΌαααΆααααααα ααααααΆαααααΆαααα ααααΌα ααΆαααααααααααα
- ααΆαααΆααααααΆαααΆααααααααΆααα
- Kerberoasting α
- αααααααΆα PowerShell αα½αα±αααααααα ααΌα ααΆααΆαααααα·ααααα· Mimikatz α
- ααααΎαααΆααα½αα±αααααααα α§ααΆα ααα LokerGoga ransomware α
- ααΆαα’αα·αααααΈααααααααΎαααααα ααα» CA4FS α
- α αΌααααααααΎααααΈαααααΆααα·αααα·αα ααΎααααΆααΈαααΆαααΆαα
- ααΆαααΆααααα αΆααααααααΆαααΆααααααααΆααα
- ααΆαααααΎααααΆαααα½αα±αααααααααααααα»αα’αααααααΎααααΆαααααα»ααααα»αα
α₯α‘αΌαααααααα»αααΉααααα αΆαα’αααααΌαααΌαααα’αααααααα½αα ααα½ααα InTrust αααα½αααΆ ααΌα ααααα’αααα’αΆα ααα½αααΆαα αααΆααα’αΆααααααααΈαααααααΆαααααααΆα

ααααααααααΆααααααααΆαα»α ααΎααααΈαααααααααΆαααΆαααααααααααα’αΆα
ααΎαααΆα

α§ααΆα ααααααααα»αααααααααααααΆααααΆααααααΌααα·αααααααα

α§ααΆα αααααααΆαααααΎααααΆααααααααααααααΆααΎααααΈαααααΎαααααα·ααααα
ααααααααΉαααα·ααΆααααα½αα

α§ααΆα αααααΆαα½αα
αααΆαααααααααααΆαααΆαααααααα PowerShell

ααΌαααααΆαα
ααααααΉααααααααΆααααααΆαα½αααΆαα½αααΉαααΆααα·αααααΆα’αααΈααΆαααΆαααααααα
InTrust ααΊααΆα§αααααααααΆαα₯αααα·αααααα’αΆα ααααΌαααΆαααααΎααΆαααααααααΆαα―αααΆααα α¬ααΆααααααα½ααααααααααα SIEM ααΌα ααααααα»αααΆααα·αααααΆααΆαααΎα αααα ααααΆα’αααααααααααα αααααααααααααααΆααααααΊααΆα’αααα’αΆα α αΆααααααΎαααααΎααΆααααΆααααααΆααααΈααΆαααα‘αΎα, αααααΆααα InTrust ααΆααααααΆααααααααα½αααα αααΆαααααααΆαααααααααααΆαααααΆαααα αα αα·αααααΎααααα ααΉααα½ααα (α§ααΆα ααα ααΆααααααααΆααα’αααααααΎααααΆαα)α
αα αααα»αα’ααααααααα»ααα·αααΆααα·ααΆαα’αααΈααΆααα½ααααα αΌααααα’ααα ααα»ααααααααΆαααααααΆααααΈααα‘αΎααα½α α’αααα’αΆα ααααααα ααΆααααααααααΆαααααΎααααΉαααα·ααΆααααα ααΆαα Splunk, IBM QRadar, Microfocus Arcsight α¬ααΆαααα webhook αα ααΆααααααααααααααααααα ααΆαααααααααααΊααΆα§ααΆα αααααα ααα»α αααααΆαα Kibana ααΆαα½αααΉαααααΉαααα·ααΆαααααΈ InTrust α ααΆαααΆααα½ααααα αΌαααΆαα½α Elastic Stack αα½α α αΎα α αΎαααααα·αααΎα’αααααααΎααααα₯ααα·ααααααα Elastic ααα InTrust α’αΆα ααααΌαααΆαααααΎααΆα§ααααααααααΆαααααααα’ααααααααΆαααΆαααααΆαααα αα α’αα»ααααααΆαααΌαααααΉαααααα αα·αααΆαααααΎααΆαααΌαααααΉαα

αααα»ααααααΉαααΆα’αααααααΆαααααααααα·ααα·α
αα½α
α’αααΈααα·ααααααα ααΎαααααααααα½αααΆααααα
ααΎααααΈααααα InTrust αααα’ααααααααΆααααΆαααΆααααα α¬ααααΎααααααααΆαααααα ααΆααααα»αα’αΆα
αα»ααα
αα
ααΎααα αααααααααααΎαα
ααΌαα’αΆαα’αααααααααααααααααααΎαααααΈααΈαα»ααααα·ααΆαααααααΆαα
(α’αααααααααα·αα)
ααααα: www.habr.com
