Neseniai „Splunk“ pridėjo dar vieną licencijavimo modelį – infrastruktūros licencijavimą (). Jie skaičiuoja „Splunk“ serverių procesoriaus branduolių skaičių. Labai panašus į Elastic Stack licencijavimą, jie skaičiuoja Elasticsearch mazgų skaičių. SIEM sistemos tradiciškai yra brangios ir dažniausiai galima rinktis – mokėti daug arba mokėti daug. Tačiau, jei pasitelksite šiek tiek išradingumo, galite surinkti panašią konstrukciją.
Atrodo siaubingai, bet kartais ši architektūra pasiteisina gamyboje. Sudėtingumas žudo saugumą ir apskritai žudo viską. Tiesą sakant, tokiems atvejams (kalbu apie nuosavybės sąnaudų sumažinimą) yra visa sistemų klasė - centrinis žurnalų valdymas (CLM). Apie tai , manydamas, kad jie neįvertinti. Štai jų rekomendacijos:
- Naudokite CLM galimybes ir įrankius, kai yra biudžeto ir personalo apribojimų, saugos stebėjimo reikalavimų ir specifinių naudojimo atvejų reikalavimų.
- Įdiekite CLM, kad pagerintumėte žurnalų rinkimo ir analizės galimybes, kai SIEM sprendimas pasirodo per brangus arba sudėtingas.
- Investuokite į CLM įrankius su efektyvia saugykla, greita paieška ir lanksčia vizualizacija, kad pagerintumėte saugumo incidentų tyrimą / analizę ir palaikytumėte grėsmių paiešką.
- Prieš diegdami CLM sprendimą, įsitikinkite, kad būtų atsižvelgta į taikomus veiksnius ir svarstymus.
Šiame straipsnyje kalbėsime apie požiūrių į licencijavimą skirtumus, suprasime CLM ir kalbėsime apie konkrečią šios klasės sistemą - . Detalės po pjūviu.
Šio straipsnio pradžioje kalbėjau apie naują požiūrį į Splunk licencijavimą. Licencijavimo tipus galima palyginti su automobilių nuomos įkainiais. Įsivaizduokime, kad modelis pagal procesorių skaičių yra ekonomiškas automobilis su neribota rida ir benzinu. Galite važiuoti bet kur be atstumo apribojimų, bet negalite važiuoti labai greitai ir atitinkamai įveikti daugybę kilometrų per dieną. Duomenų licencijavimas yra panašus į sportinį automobilį su dienos ridos modeliu. Galima beatodairiškai važiuoti ilgus atstumus, tačiau už paros ridos limito viršijimą teks mokėti daugiau.
Norėdami gauti naudos iš apkrovos licencijavimo, turite turėti mažiausią įmanomą procesoriaus branduolių ir įkeltų duomenų GB santykį. Praktiškai tai reiškia kažką panašaus į:
- Mažiausias įmanomas užklausų į įkeltus duomenis skaičius.
- Mažiausias galimų sprendimo vartotojų skaičius.
- Kuo paprastesni ir normalizuoti duomenys (kad nereikėtų eikvoti procesoriaus ciklų tolesniam duomenų apdorojimui ir analizei).
Problemiškiausias dalykas čia yra normalizuoti duomenys. Jei norite, kad SIEM būtų visų organizacijos žurnalų kaupiklis, tai reikalauja daug pastangų analizuojant ir apdorojant. Nepamirškite, kad reikia pagalvoti ir apie architektūrą, kuri nuo apkrovos nesuirtų, t.y. papildomų serverių, todėl reikės papildomų procesorių.
Duomenų apimties licencijavimas pagrįstas duomenų kiekiu, kuris siunčiamas į SIEM. Už papildomus duomenų šaltinius baudžiama rubliu (ar kita valiuta) ir tai verčia susimąstyti apie tai, ko tikrai nenorėjote rinkti. Norėdami pergudrauti šį licencijavimo modelį, galite įkandinėti duomenis prieš juos įvedant į SIEM sistemą. Vienas tokio normalizavimo prieš injekciją pavyzdžių yra Elastic Stack ir kai kurie kiti komerciniai SIEM.
Dėl to turime, kad licencijavimas pagal infrastruktūrą yra efektyvus, kai reikia surinkti tik tam tikrus duomenis su minimaliu išankstiniu apdorojimu, o licencijavimas pagal apimtis neleis surinkti visko. Tarpinio sprendimo paieška lemia šiuos kriterijus:
- Supaprastinkite duomenų kaupimą ir normalizavimą.
- Triukšmingų ir mažiausiai svarbių duomenų filtravimas.
- Analizės galimybių suteikimas.
- Siųskite filtruotus ir normalizuotus duomenis į SIEM
Dėl to tikslinėms SIEM sistemoms nereikės eikvoti papildomos procesoriaus galios apdorojimui ir gali būti naudinga nustatyti tik svarbiausius įvykius, nesumažinant matomumo, kas vyksta.
Idealiu atveju toks tarpinės programinės įrangos sprendimas taip pat turėtų suteikti realiojo laiko aptikimo ir reagavimo galimybes, kurias būtų galima panaudoti siekiant sumažinti potencialiai pavojingos veiklos poveikį ir sujungti visą įvykių srautą į naudingą ir paprastą duomenų kiekį, nukreiptą į SIEM. Na, tada SIEM galima naudoti kuriant papildomus sujungimus, koreliacijas ir įspėjimų procesus.
Tas pats paslaptingas tarpinis sprendimas yra ne kas kitas, o CLM, apie kurį minėjau straipsnio pradžioje. Štai kaip „Gartner“ tai mato:
Dabar galite pabandyti išsiaiškinti, kaip „InTrust“ atitinka „Gartner“ rekomendacijas:
- Veiksminga duomenų, kuriuos reikia saugoti, apimčių ir tipų saugykla.
- Didelis paieškos greitis.
- Vizualizacijos galimybės nėra tai, ko reikalauja pagrindinis CLM, tačiau grėsmių paieška yra tarsi BI sistema, skirta saugumui ir duomenų analizei.
- Duomenų praturtinimas, siekiant praturtinti neapdorotus duomenis naudingais kontekstiniais duomenimis (pvz., geografine vieta ir kitais).
„Quest InTrust“ naudoja savo saugojimo sistemą su iki 40:1 duomenų glaudinimo ir didelės spartos dubliavimo panaikinimu, o tai sumažina CLM ir SIEM sistemų saugojimo išlaidas.
IT sauga Paieškos konsolė su google panašia paieška
Specializuotas žiniatinklio IT saugos paieškos (ITSS) modulis gali prisijungti prie įvykių duomenų „InTrust“ saugykloje ir suteikia paprastą sąsają grėsmių paieškai. Sąsaja supaprastinta tiek, kad įvykių žurnalo duomenims ji veikia kaip „Google“. ITSS naudoja užklausų rezultatų laiko juostas, gali sujungti ir sugrupuoti įvykių laukus ir veiksmingai padeda ieškoti grėsmių.
„InTrust“ praturtina „Windows“ įvykius saugos identifikatoriais, failų pavadinimais ir saugos prisijungimo identifikatoriais. „InTrust“ taip pat normalizuoja įvykius pagal paprastą W6 schemą (kas, kas, kur, kada, kieno ir iš kur), kad duomenys iš skirtingų šaltinių („Windows“ vietiniai įvykiai, „Linux“ žurnalai arba „syslog“) būtų matomi vienu formatu ir viename. paieškos konsolė.
„InTrust“ palaiko įspėjimo, aptikimo ir reagavimo realiuoju laiku galimybes, kurios gali būti naudojamos kaip į EDR panaši sistema, siekiant sumažinti įtartinos veiklos padarytą žalą. Integruotos saugos taisyklės aptinka šias grėsmes, bet jomis neapsiriboja:
- Slaptažodžio purškimas.
- Kerberoasting.
- Įtartina „PowerShell“ veikla, pvz., „Mimikatz“ vykdymas.
- Įtartini procesai, pavyzdžiui, „LokerGoga“ išpirkos programa.
- Šifravimas naudojant CA4FS žurnalus.
- Prisijungiama su privilegijuota paskyra darbo vietose.
- Slaptažodžio spėjimo atakos.
- Įtartinas vietinių vartotojų grupių naudojimas.
Dabar parodysiu keletą paties InTrust ekrano kopijų, kad galėtumėte susidaryti įspūdį apie jos galimybes.
Iš anksto nustatyti filtrai galimų pažeidžiamumų paieškai
Filtrų rinkinio, skirto neapdorotiems duomenims rinkti, pavyzdys
Įprastų posakių naudojimo atsakui į įvykį sukurti pavyzdys
Pavyzdys su PowerShell pažeidžiamumo paieškos taisykle
Integruota žinių bazė su pažeidžiamumų aprašymais
„InTrust“ yra galingas įrankis, kurį galima naudoti kaip atskirą sprendimą arba kaip SIEM sistemos dalį, kaip aprašiau aukščiau. Turbūt pagrindinis šio sprendimo privalumas yra tai, kad jį galima pradėti naudoti iškart po įdiegimo, nes InTrust turi didelę grėsmių aptikimo ir atsako į jas taisyklių biblioteką (pavyzdžiui, blokuoti vartotoją).
Straipsnyje nekalbėjau apie dėžutes. Tačiau iškart po įdiegimo galite sukonfigūruoti įvykių siuntimą į „Splunk“, „IBM QRadar“, „Microfocus Arcsight“ arba per „Webhook“ į bet kurią kitą sistemą. Toliau pateikiamas Kibana sąsajos su įvykiais iš InTrust pavyzdys. Jau yra integracija su Elastic Stack ir, jei naudojate nemokamą Elastic versiją, InTrust gali būti naudojamas kaip grėsmių nustatymo, aktyvių įspėjimų ir pranešimų siuntimo įrankis.
Tikiuosi, kad straipsnis pateikė minimalų supratimą apie šį produktą. Esame pasirengę suteikti „InTrust“ jums išbandyti arba vykdyti bandomąjį projektą. Paraišką galima palikti adresu mūsų svetainėje.
Skaitykite kitus mūsų straipsnius apie informacijos saugą:
(populiarus straipsnis)
Šaltinis: www.habr.com