ProHoster > Blogs > Administrācija > Kā samazināt SIEM sistēmas Ä«paÅ”umtiesÄ«bu izmaksas un kāpēc jums ir nepiecieÅ”ama centrālā žurnālu pārvaldÄ«ba (CLM)

Kā samazināt SIEM sistēmas Ä«paÅ”umtiesÄ«bu izmaksas un kāpēc jums ir nepiecieÅ”ama centrālā žurnālu pārvaldÄ«ba (CLM)

Pirms neilga laika Splunk pievienoja vēl vienu licencÄ“Å”anas modeli - uz infrastruktÅ«ru balstÄ«tu licencÄ“Å”anu (tagad tās ir trÄ«s). Viņi uzskaita CPU kodolu skaitu sadaļā Splunk serveri. Ä»oti lÄ«dzÄ«gi Elastic Stack licencÄ“Å”anai, tie uzskaita Elasticsearch mezglu skaitu. SIEM sistēmas tradicionāli ir dārgas, un parasti ir iespēja izvēlēties starp maksāt daudz vai maksāt daudz. Bet, ja izmantojat kādu atjautÄ«bu, varat salikt lÄ«dzÄ«gu struktÅ«ru.

Kā samazināt SIEM sistēmas Ä«paÅ”umtiesÄ«bu izmaksas un kāpēc jums ir nepiecieÅ”ama centrālā žurnālu pārvaldÄ«ba (CLM)

Tas izskatās rāpojoÅ”i, taču dažreiz Ŕī arhitektÅ«ra darbojas ražoÅ”anā. SarežģītÄ«ba nogalina droŔību un kopumā nogalina visu. Faktiski Ŕādiem gadÄ«jumiem (es runāju par Ä«paÅ”umtiesÄ«bu izmaksu samazināŔanu) ir vesela sistēmu klase - Centrālā žurnālu pārvaldÄ«ba (CLM). Par to raksta Gartner, uzskatot tos par nenovērtētiem. Å eit ir viņu ieteikumi:

  • Izmantojiet CLM iespējas un rÄ«kus, ja pastāv budžeta un personāla ierobežojumi, droŔības uzraudzÄ«bas prasÄ«bas un Ä«paÅ”as lietoÅ”anas gadÄ«juma prasÄ«bas.
  • Ieviesiet CLM, lai uzlabotu žurnālu vākÅ”anas un analÄ«zes iespējas, ja SIEM risinājums izrādās pārāk dārgs vai sarežģīts.
  • Ieguldiet CLM rÄ«kos ar efektÄ«vu uzglabāŔanu, ātru meklÄ“Å”anu un elastÄ«gu vizualizāciju, lai uzlabotu droŔības incidentu izmeklÄ“Å”anu/analÄ«zi un atbalstÄ«tu draudu meklÄ“Å”anu.
  • Pirms CLM risinājuma ievieÅ”anas pārliecinieties, ka tiek ņemti vērā piemērojamie faktori un apsvērumi.

Å ajā rakstā mēs runāsim par atŔķirÄ«bām pieejā licencÄ“Å”anai, mēs sapratÄ«sim CLM un runāsim par konkrētu Ŕīs klases sistēmu - Quest InTrust. SÄ«kāka informācija zem griezuma.

Å Ä« raksta sākumā es runāju par jauno pieeju Splunk licencÄ“Å”anai. LicencÄ“Å”anas veidus var salÄ«dzināt ar automaŔīnu nomas likmēm. Iedomāsimies, ka modelis CPU skaita ziņā ir ekonomisks auto ar neierobežotu nobraukumu un benzÄ«nu. JÅ«s varat doties jebkur bez distances ierobežojumiem, taču jÅ«s nevarat iet ļoti ātri un attiecÄ«gi nobraukt daudzus kilometrus dienā. Datu licencÄ“Å”ana ir lÄ«dzÄ«ga sporta automaŔīnai ar ikdienas nobraukuma modeli. Var neapdomÄ«gi braukt lielos attālumos, bet par dienas nobraukuma limita pārsniegÅ”anu nāksies maksāt vairāk.

Kā samazināt SIEM sistēmas Ä«paÅ”umtiesÄ«bu izmaksas un kāpēc jums ir nepiecieÅ”ama centrālā žurnālu pārvaldÄ«ba (CLM)

Lai gÅ«tu labumu no uz slodzi balstÄ«tas licencÄ“Å”anas, jums ir jābÅ«t mazākajai iespējamajai CPU kodolu attiecÄ«bai pret ielādēto datu GB. Praksē tas nozÄ«mē kaut ko lÄ«dzÄ«gu:

  • Mazākais iespējamais vaicājumu skaits ielādētajiem datiem.
  • Mazākais iespējamo risinājuma lietotāju skaits.
  • Pēc iespējas vienkārŔāki un normalizēti dati (lai nebÅ«tu jātērē CPU cikli turpmākai datu apstrādei un analÄ«zei).

Visproblemātiskākā lieta Å”eit ir normalizētie dati. Ja vēlaties, lai SIEM bÅ«tu visu organizācijas žurnālu apkopotājs, parsÄ“Å”anai un pēcapstrādei ir jāpieliek milzÄ«gas pÅ«les. Neaizmirstiet, ka jādomā arÄ« par arhitektÅ«ru, kas slodzes laikā nesabruks, t.i. papildu serveri un tāpēc bÅ«s nepiecieÅ”ami papildu procesori.

Datu lielapjoma licencÄ“Å”ana ir balstÄ«ta uz datu apjomu, kas tiek nosÅ«tÄ«ts uz SIEM. Papildu datu avoti tiek sodÄ«ti ar rubli (vai citu valÅ«tu), un tas liek domāt par to, ko jÅ«s Ä«sti nevēlējāties vākt. Lai pārspētu Å”o licencÄ“Å”anas modeli, varat iekost datus, pirms tie tiek ievadÄ«ti SIEM sistēmā. Viens piemērs Ŕādai normalizÄ“Å”anai pirms injekcijas ir Elastic Stack un daži citi komerciāli SIEM.

Rezultātā mums ir tāda, ka licencÄ“Å”ana pēc infrastruktÅ«ras ir efektÄ«va, ja ir nepiecieÅ”ams apkopot tikai noteiktus datus ar minimālu priekÅ”apstrādi, un licencÄ“Å”ana pēc apjoma neļaus apkopot visu. Meklējot starprisinājumu, tiek ievēroti Ŕādi kritēriji:

  • VienkārÅ”ojiet datu apkopoÅ”anu un normalizÄ“Å”anu.
  • TrokŔņainu un mazāk svarÄ«gu datu filtrÄ“Å”ana.
  • AnalÄ«zes iespēju nodroÅ”ināŔana.
  • NosÅ«tiet filtrētus un normalizētus datus uz SIEM

Rezultātā mērÄ·a SIEM sistēmām nebÅ«s jātērē papildu CPU jauda apstrādei, un tās var gÅ«t labumu no tikai svarÄ«gāko notikumu identificÄ“Å”anas, nemazinot notiekoŔā redzamÄ«bu.

Ideālā gadÄ«jumā Ŕādam starpprogrammatÅ«ras risinājumam bÅ«tu jānodroÅ”ina arÄ« reāllaika noteikÅ”anas un reaģēŔanas iespējas, ko var izmantot, lai samazinātu potenciāli bÄ«stamu darbÄ«bu ietekmi un apkopotu visu notikumu straumi noderÄ«gā un vienkārŔā datu kvantā, kas novirzÄ«ts uz SIEM. Nu, tad SIEM var izmantot, lai izveidotu papildu apkopojumus, korelācijas un brÄ«dinājumu procesus.

Tas pats noslēpumainais starprisinājums ir neviens cits kā CLM, ko es minēju raksta sākumā. Gartners to redz Ŕādi:

Kā samazināt SIEM sistēmas Ä«paÅ”umtiesÄ«bu izmaksas un kāpēc jums ir nepiecieÅ”ama centrālā žurnālu pārvaldÄ«ba (CLM)

Tagad varat mēģināt noskaidrot, kā InTrust atbilst Gartner ieteikumiem:

  • EfektÄ«va uzglabāŔana nepiecieÅ”amo datu apjomiem un veidiem.
  • Liels meklÄ“Å”anas ātrums.
  • Vizualizācijas iespējas nav tas, ko pieprasa pamata CLM, taču draudu meklÄ“Å”ana ir kā BI sistēma droŔībai un datu analÄ«zei.
  • Datu bagātināŔana, lai bagātinātu neapstrādātus datus ar noderÄ«giem kontekstuālajiem datiem (piemēram, Ä£eogrāfisko atraÅ”anās vietu un citiem).

Quest InTrust izmanto savu krātuves sistēmu ar datu saspieÅ”anu lÄ«dz 40:1 un ātrdarbÄ«gu dublÄ“Å”anu, kas samazina CLM un SIEM sistēmu krātuves izmaksas.

Kā samazināt SIEM sistēmas Ä«paÅ”umtiesÄ«bu izmaksas un kāpēc jums ir nepiecieÅ”ama centrālā žurnālu pārvaldÄ«ba (CLM)
IT droŔība MeklÄ“Å”anas konsole ar Google lÄ«dzÄ«gu meklÄ“Å”anu

Specializēts tÄ«mekļa IT droŔības meklÄ“Å”anas (ITSS) modulis var izveidot savienojumu ar notikumu datiem InTrust repozitorijā un nodroÅ”ina vienkārÅ”u saskarni draudu meklÄ“Å”anai. Saskarne ir vienkārÅ”ota tiktāl, ka notikumu žurnāla datiem tā darbojas kā Google. ITSS izmanto laika grafikus vaicājumu rezultātiem, var apvienot un grupēt notikumu laukus un efektÄ«vi palÄ«dz draudu meklÄ“Å”anā.

InTrust bagātina Windows notikumus ar droŔības identifikatoriem, failu nosaukumiem un droŔības pieteikÅ”anās identifikatoriem. InTrust arÄ« normalizē notikumus pēc vienkārÅ”as W6 shēmas (kas, kas, kur, kad, kurÅ” un no kurienes), lai datus no dažādiem avotiem (Windows vietējie notikumi, Linux žurnāli vai syslog) varētu skatÄ«t vienā formātā un vienā meklÄ“Å”anas konsole.

InTrust atbalsta reāllaika brÄ«dināŔanas, noteikÅ”anas un reaģēŔanas iespējas, ko var izmantot kā EDR lÄ«dzÄ«gu sistēmu, lai samazinātu aizdomÄ«gu darbÄ«bu radÄ«tos bojājumus. IebÅ«vētie droŔības noteikumi atklāj Ŕādus draudus, bet neaprobežojas ar tiem:

  • Paroles izsmidzināŔana.
  • Kerberoasting.
  • AizdomÄ«ga PowerShell darbÄ«ba, piemēram, Mimikatz izpilde.
  • AizdomÄ«gi procesi, piemēram, LokerGoga ransomware.
  • Å ifrÄ“Å”ana, izmantojot CA4FS žurnālus.
  • PieteikÅ”anās ar priviliģētu kontu darbstacijās.
  • Paroles minÄ“Å”anas uzbrukumi.
  • AizdomÄ«ga vietējo lietotāju grupu izmantoÅ”ana.

Tagad es jums parādÄ«Å”u dažus InTrust ekrānuzņēmumus, lai jÅ«s varētu gÅ«t priekÅ”statu par tās iespējām.

Kā samazināt SIEM sistēmas Ä«paÅ”umtiesÄ«bu izmaksas un kāpēc jums ir nepiecieÅ”ama centrālā žurnālu pārvaldÄ«ba (CLM)
IepriekÅ” definēti filtri, lai meklētu iespējamās ievainojamÄ«bas

Kā samazināt SIEM sistēmas Ä«paÅ”umtiesÄ«bu izmaksas un kāpēc jums ir nepiecieÅ”ama centrālā žurnālu pārvaldÄ«ba (CLM)
Filtru kopas piemērs neapstrādātu datu vākÅ”anai

Kā samazināt SIEM sistēmas Ä«paÅ”umtiesÄ«bu izmaksas un kāpēc jums ir nepiecieÅ”ama centrālā žurnālu pārvaldÄ«ba (CLM)
Piemērs regulāro izteiksmju izmantoÅ”anai, lai izveidotu atbildi uz notikumu

Kā samazināt SIEM sistēmas Ä«paÅ”umtiesÄ«bu izmaksas un kāpēc jums ir nepiecieÅ”ama centrālā žurnālu pārvaldÄ«ba (CLM)
Piemērs ar PowerShell ievainojamÄ«bas meklÄ“Å”anas kārtulu

Kā samazināt SIEM sistēmas Ä«paÅ”umtiesÄ«bu izmaksas un kāpēc jums ir nepiecieÅ”ama centrālā žurnālu pārvaldÄ«ba (CLM)
IebÅ«vēta zināŔanu bāze ar ievainojamÄ«bu aprakstiem

InTrust ir spēcÄ«gs rÄ«ks, ko var izmantot kā atseviŔķu risinājumu vai SIEM sistēmas daļu, kā es aprakstÄ«ju iepriekÅ”. Iespējams, Ŕī risinājuma galvenā priekÅ”rocÄ«ba ir tā, ka to var sākt lietot uzreiz pēc uzstādÄ«Å”anas, jo InTrust ir liela noteikumu bibliotēka draudu noteikÅ”anai un reaģēŔanai uz tiem (piemēram, lietotāja bloÄ·Ä“Å”anai).

Rakstā es nerunāju par kastē iekļautajām integrācijām. Taču tÅ«lÄ«t pēc instalÄ“Å”anas varat konfigurēt notikumu sÅ«tÄ«Å”anu uz Splunk, IBM QRadar, Microfocus Arcsight vai izmantojot tÄ«mekļa aizÄ·eri uz jebkuru citu sistēmu. Tālāk ir parādÄ«ts Kibana saskarnes piemērs ar notikumiem no InTrust. Jau pastāv integrācija ar Elastic Stack, un, ja izmantojat Elastic bezmaksas versiju, InTrust var izmantot kā rÄ«ku draudu identificÄ“Å”anai, proaktÄ«vu brÄ«dinājumu veikÅ”anai un paziņojumu nosÅ«tÄ«Å”anai.

Kā samazināt SIEM sistēmas Ä«paÅ”umtiesÄ«bu izmaksas un kāpēc jums ir nepiecieÅ”ama centrālā žurnālu pārvaldÄ«ba (CLM)

Es ceru, ka raksts sniedza minimālu priekÅ”statu par Å”o produktu. Mēs esam gatavi nodot InTrust jums testÄ“Å”anai vai veikt izmēģinājuma projektu. Pieteikumu var atstāt plkst atsauksmju veidlapa mÅ«su mājas lapā.

Izlasiet citus mūsu rakstus par informācijas droŔību:

Mēs atklājam izspiedējvÄ«rusa uzbrukumu, iegÅ«stam piekļuvi domēna kontrollerim un cenÅ”amies pretoties Å”iem uzbrukumiem

Kādas noderīgas lietas var iegūt no Windows darbstacijas žurnāliem? (populārs raksts)

Lietotāju dzÄ«ves cikla izsekoÅ”ana bez knaiblēm vai lÄ«mlentes

Kas to izdarÄ«ja? Mēs automatizējam informācijas droŔības auditus

Avots: www.habr.com

Pievieno komentāru