Non ita pridem, Splunk aliud exemplar licentiae addidit - infrastructurae licentiae substructio.). Numerum CPU nucleorum sub Splunk ministrantium numerant. Simillimum est Stack elasticae licentiae, numerum nodis elasticae inquisitionis numerant. SIEM systemata tradito pretiosa sunt et plerumque electio est inter solutionem multum et multum solvens. Sed, si ingenio uteris, similem structuram poteris convenire.
Spectat creepy, sed interdum haec architectura in productione operatur. Complexitas securitatem necat et generaliter omnia necat. Re vera, talibus casibus (de redigendo sumptus dominii loquor) totum genus systematum est - Central Log Management (CLM). De eo existimans eos contemni. Hic sunt suasiones:
- Utere CLM facultates et instrumenta, cum adsunt rationes budget et staffing angustiae, vigilantia securitatis requisita, et usus specificae casus requisita.
- Exsecutio CLM augendae collectionis et analyseos facultates cum solutio SIEM nimis pretiosa vel complexa probat.
- Collocare in CLM instrumenta cum repositione efficiente, inquisitione celeri et flexibili visualizationi ad meliorem securitatem incidentes investigationes/analysin et minas venationis sustinendas.
- Curare ut factores et considerationes applicabiles considerentur antequam solutionem CLM perficiant.
In hoc articulo loquemur de differentiis accessuum licentiae, intelligemus CLM et loquemur de certa systemate huius generis - . Singula sub incisa.
In principio huius articuli, de novo accessu licentiae Splunk locutus sum. Typi licentiae comparari possunt cum rates car rentalibus. Fingamus exemplar, secundum numerum CPUs, autocinetum oeconomicum cum infinitis passibus et gasolino esse. Alicubi ire potes sine exceptione distantiae, sed nimis celeriter ire non potes, ideoque multos dies chiliometrorum operire. Data licentiae similis est cum autocineto gymnasii cum exemplar cotidiano passibus. Incaute per longinqua spatia agitare potes, sed plus solvendum habebis propter modum cotidianum excedentem.
Prodesse ab onere substructio licentiae, debes habere infimam rationem CPU nucleorum ad GB notitiarum oneratarum. In usu hoc significat aliquid simile;
- Minimus numerus quaestionis oneratus datae.
- Minimus numerus solutionis utentium potest.
- Tam simplicia quam normalizata notitia quam maxime (ut non opus sit CPU cyclos perdere in processui et analysi subsequentibus).
Maxime problematica res hic est notitia normalized. Si vis SIEM esse aggregatorem omnium lignorum in organizatione, requirit ingentem vim laboris in parsing et post-processui. Noli oblivisci te etiam cogitare de architectura quae sub onere non dilaberetur, i.e. adiectis ministris et idcirco processores additi requirentur.
Data volumen licentiae fundatur super moles notitiarum quae in imma de SIEM immissa sunt. Additi fontes notitiae rublae (vel alia moneta) puniuntur et hoc efficit ut cogitas de iis quae vere colligere noluistis. Ut hoc licentiae exemplum fallas, notitias mordere potes antequam systematis SIEM infunditur. Unum exemplum talis ordinationis ante iniectio est Stack Elastica et aliud quoddam commerciale SIEMs.
Quo fit, ut licentiae infrastructurae efficax sit, cum certas notitias minimas cum praeprocessione colligere debes, et per volumen licentiae te omnia omnino colligere non sinet. Percontatio solutionis intermediae ducit ad sequentia criteria:
- Simpliciorem datam aggregationem et ordinationem.
- Obstinatio tumultuantium et minimorum data.
- Analysis facultates prospiciens.
- Mitte percolantur et normalized notitia ad SIEM
Quam ob rem, scopum SIEM systemata non necesse erit ut potestatem additam CPU in dispensando destruere ac prodesse possit ad cognoscendas tantum res praecipuas sine visibilitate minuendo in eventum.
Optime, talis solutionis mediae solutionis reali temporis detectionis et responsionis facultatum etiam praebere debet quae adhiberi possunt ad reducendum ictum potentiae periculosae actionis et totum rivum eventuum aggregatum in quantum utilem et simplicem notitiarum versus SIEM. Bene ergo SIEM adhiberi potest ad aggregationes, correlationes et processus adiectis creandis.
Eadem arcana intermedia solutio nulla alia est quam CLM, de qua in principio articuli monui. Sic Gartner hoc videt;
Nunc conemur ad instar quomodo Intrust obsequitur cum commendatione Gartneri:
- Repono efficiens ad volumina et genera notitiarum quae reponenda sunt.
- Altum quaerendi celeritatem.
- Facultates visualizationis non sunt quas CLM fundamentales requirit, sed venatio comminatio similis est ratio securitatis BI et analyticorum notitia.
- Data locupletatio ad rudis notitias cum utilibus notitia contextualis (sicut geolocation et alii).
Investigatio Intrust systema sua repositione utitur cum usque ad 40:1 data compressione et velocitate deduplicatione, quae supra caput repositionis rationum CLM et SIEM reducit.
IT Investigatio Securitatis consolatur cum inquisitione google
Specialis interretiarius substructus IT Securitatis Inquisitionis (ITSS) modulus ad eventum datas in repositorio Intrust coniungere potest et simplicem interfaciem praebet ad minas quaerendas. Interface simplicior ad punctum quod agit sicut Google pro eventu iniuriarum notitia. ITSS timelines utitur ad eventus investigationis, eventus agrorum confundi potest, et in venationibus minas efficaciter adiuvat.
Intrust eventa Fenestra auget cum identificantibus securitatem, nomina fasciculorum et identificatores login securitatis. Intrust etiam eventus normalizare ad schema simplex W6 (Qui, Quid, Ubi, Quando, Quem et Ubi Ex) ut notitia ex diversis fontibus (Fenestra eventa nativi, Linux tigna vel syslog) videri possent in una forma et in una. quaerere consolatorium.
In mitte subsidia real-time erectionis, detectionis et responsionis facultatum quae adhiberi possunt ut ratio EDR-similis ad minuendum damnum per suspectam actionem. Regulae securitatis inaedificatae deprehendere, sed non limitare, minas sequentes;
- Signum-spatio.
- Kerberoasting.
- PowerShell suspecta actio, ut exsecutio Mimikatz.
- Processus suspecti, exempli gratia, LokerGoga pretium est.
- Encryption utens CA4FS tigna.
- Logins cum praecipuo Ratione in workstations.
- Signum coniecturae fiebat.
- Suspectus usus coetuum localium usorum.
Nunc tibi paucas emissiones ipsius Intrusi ostendam ut impressionem facultatum eius habere possis.
Filtra praedefinita ut quaeramus vulnerabilitates potentiales
Exemplum Filtrae pro colligendis rudis notitia
Exemplum de expressionibus regularibus utendi responsum ad rem creare
Exemplum cum PowerShell vulnerability regulae quaerere
Basi scientia inaedificata cum descriptionibus vulnerabilities
Intrusum instrumentum potens est quod solutionis standalonei vel ut pars systematis SIEM adhiberi potest, ut supra dictum est. Probabiliter summa utilitas huius solutionis est ut ea statim post institutionem incipias uti, quia Intrust magnam bibliothecam regularum ad minas deprehendendas et illis respondendo (exempli gratia, claudendi user).
In articulo integrationes cohibenti non loqui. Sed statim post institutionem configurare potes eventus mittens ad Splunk, IBM QRadar, Microfocum Arcsight, vel per telam ad quamlibet aliam rationem. Infra exemplum Kibana instrumenti ex Intrust. Iam integratio cum Stack elastica est et, si libera elastica versione uteris, Intrusum adhiberi potest ut instrumentum ad minas cognoscendas, proactivas erectiones faciendos et notificationes mittens.
Articulum spero minimam ideam de hoc facto dedit. Parati sumus intrusum vobis dare ad probandum vel ad gubernatorem destinandum. Applicatio potest ad sinistram nostro loco.
Lege nostra alia vasa in notitia securitatis:
(vulgaris epistula)
Source: www.habr.com