Pirms neilga laika Splunk pievienoja vÄl vienu licencÄÅ”anas modeli - uz infrastruktÅ«ru balstÄ«tu licencÄÅ”anu (
Tas izskatÄs rÄpojoÅ”i, taÄu dažreiz Ŕī arhitektÅ«ra darbojas ražoÅ”anÄ. SarežģītÄ«ba nogalina droŔību un kopumÄ nogalina visu. Faktiski Å”Ädiem gadÄ«jumiem (es runÄju par Ä«paÅ”umtiesÄ«bu izmaksu samazinÄÅ”anu) ir vesela sistÄmu klase - CentrÄlÄ Å¾urnÄlu pÄrvaldÄ«ba (CLM). Par to
- Izmantojiet CLM iespÄjas un rÄ«kus, ja pastÄv budžeta un personÄla ierobežojumi, droŔības uzraudzÄ«bas prasÄ«bas un Ä«paÅ”as lietoÅ”anas gadÄ«juma prasÄ«bas.
- Ieviesiet CLM, lai uzlabotu žurnÄlu vÄkÅ”anas un analÄ«zes iespÄjas, ja SIEM risinÄjums izrÄdÄs pÄrÄk dÄrgs vai sarežģīts.
- Ieguldiet CLM rÄ«kos ar efektÄ«vu uzglabÄÅ”anu, Ätru meklÄÅ”anu un elastÄ«gu vizualizÄciju, lai uzlabotu droŔības incidentu izmeklÄÅ”anu/analÄ«zi un atbalstÄ«tu draudu meklÄÅ”anu.
- Pirms CLM risinÄjuma ievieÅ”anas pÄrliecinieties, ka tiek Åemti vÄrÄ piemÄrojamie faktori un apsvÄrumi.
Å ajÄ rakstÄ mÄs runÄsim par atŔķirÄ«bÄm pieejÄ licencÄÅ”anai, mÄs sapratÄ«sim CLM un runÄsim par konkrÄtu Ŕīs klases sistÄmu -
Å Ä« raksta sÄkumÄ es runÄju par jauno pieeju Splunk licencÄÅ”anai. LicencÄÅ”anas veidus var salÄ«dzinÄt ar automaŔīnu nomas likmÄm. IedomÄsimies, ka modelis CPU skaita ziÅÄ ir ekonomisks auto ar neierobežotu nobraukumu un benzÄ«nu. JÅ«s varat doties jebkur bez distances ierobežojumiem, taÄu jÅ«s nevarat iet ļoti Ätri un attiecÄ«gi nobraukt daudzus kilometrus dienÄ. Datu licencÄÅ”ana ir lÄ«dzÄ«ga sporta automaŔīnai ar ikdienas nobraukuma modeli. Var neapdomÄ«gi braukt lielos attÄlumos, bet par dienas nobraukuma limita pÄrsniegÅ”anu nÄksies maksÄt vairÄk.
Lai gÅ«tu labumu no uz slodzi balstÄ«tas licencÄÅ”anas, jums ir jÄbÅ«t mazÄkajai iespÄjamajai CPU kodolu attiecÄ«bai pret ielÄdÄto datu GB. PraksÄ tas nozÄ«mÄ kaut ko lÄ«dzÄ«gu:
- MazÄkais iespÄjamais vaicÄjumu skaits ielÄdÄtajiem datiem.
- MazÄkais iespÄjamo risinÄjuma lietotÄju skaits.
- PÄc iespÄjas vienkÄrÅ”Äki un normalizÄti dati (lai nebÅ«tu jÄtÄrÄ CPU cikli turpmÄkai datu apstrÄdei un analÄ«zei).
VisproblemÄtiskÄkÄ lieta Å”eit ir normalizÄtie dati. Ja vÄlaties, lai SIEM bÅ«tu visu organizÄcijas žurnÄlu apkopotÄjs, parsÄÅ”anai un pÄcapstrÄdei ir jÄpieliek milzÄ«gas pÅ«les. Neaizmirstiet, ka jÄdomÄ arÄ« par arhitektÅ«ru, kas slodzes laikÄ nesabruks, t.i. papildu serveri un tÄpÄc bÅ«s nepiecieÅ”ami papildu procesori.
Datu lielapjoma licencÄÅ”ana ir balstÄ«ta uz datu apjomu, kas tiek nosÅ«tÄ«ts uz SIEM. Papildu datu avoti tiek sodÄ«ti ar rubli (vai citu valÅ«tu), un tas liek domÄt par to, ko jÅ«s Ä«sti nevÄlÄjÄties vÄkt. Lai pÄrspÄtu Å”o licencÄÅ”anas modeli, varat iekost datus, pirms tie tiek ievadÄ«ti SIEM sistÄmÄ. Viens piemÄrs Å”Ädai normalizÄÅ”anai pirms injekcijas ir Elastic Stack un daži citi komerciÄli SIEM.
RezultÄtÄ mums ir tÄda, ka licencÄÅ”ana pÄc infrastruktÅ«ras ir efektÄ«va, ja ir nepiecieÅ”ams apkopot tikai noteiktus datus ar minimÄlu priekÅ”apstrÄdi, un licencÄÅ”ana pÄc apjoma neļaus apkopot visu. MeklÄjot starprisinÄjumu, tiek ievÄroti Å”Ädi kritÄriji:
- VienkÄrÅ”ojiet datu apkopoÅ”anu un normalizÄÅ”anu.
- TrokÅ”Åainu un mazÄk svarÄ«gu datu filtrÄÅ”ana.
- AnalÄ«zes iespÄju nodroÅ”inÄÅ”ana.
- NosÅ«tiet filtrÄtus un normalizÄtus datus uz SIEM
RezultÄtÄ mÄrÄ·a SIEM sistÄmÄm nebÅ«s jÄtÄrÄ papildu CPU jauda apstrÄdei, un tÄs var gÅ«t labumu no tikai svarÄ«gÄko notikumu identificÄÅ”anas, nemazinot notiekoÅ”Ä redzamÄ«bu.
IdeÄlÄ gadÄ«jumÄ Å”Ädam starpprogrammatÅ«ras risinÄjumam bÅ«tu jÄnodroÅ”ina arÄ« reÄllaika noteikÅ”anas un reaÄ£ÄÅ”anas iespÄjas, ko var izmantot, lai samazinÄtu potenciÄli bÄ«stamu darbÄ«bu ietekmi un apkopotu visu notikumu straumi noderÄ«gÄ un vienkÄrÅ”Ä datu kvantÄ, kas novirzÄ«ts uz SIEM. Nu, tad SIEM var izmantot, lai izveidotu papildu apkopojumus, korelÄcijas un brÄ«dinÄjumu procesus.
Tas pats noslÄpumainais starprisinÄjums ir neviens cits kÄ CLM, ko es minÄju raksta sÄkumÄ. Gartners to redz Å”Ädi:
Tagad varat mÄÄ£inÄt noskaidrot, kÄ InTrust atbilst Gartner ieteikumiem:
- EfektÄ«va uzglabÄÅ”ana nepiecieÅ”amo datu apjomiem un veidiem.
- Liels meklÄÅ”anas Ätrums.
- VizualizÄcijas iespÄjas nav tas, ko pieprasa pamata CLM, taÄu draudu meklÄÅ”ana ir kÄ BI sistÄma droŔībai un datu analÄ«zei.
- Datu bagÄtinÄÅ”ana, lai bagÄtinÄtu neapstrÄdÄtus datus ar noderÄ«giem kontekstuÄlajiem datiem (piemÄram, Ä£eogrÄfisko atraÅ”anÄs vietu un citiem).
Quest InTrust izmanto savu krÄtuves sistÄmu ar datu saspieÅ”anu lÄ«dz 40:1 un ÄtrdarbÄ«gu dublÄÅ”anu, kas samazina CLM un SIEM sistÄmu krÄtuves izmaksas.
IT droŔība MeklÄÅ”anas konsole ar Google lÄ«dzÄ«gu meklÄÅ”anu
SpecializÄts tÄ«mekļa IT droŔības meklÄÅ”anas (ITSS) modulis var izveidot savienojumu ar notikumu datiem InTrust repozitorijÄ un nodroÅ”ina vienkÄrÅ”u saskarni draudu meklÄÅ”anai. Saskarne ir vienkÄrÅ”ota tiktÄl, ka notikumu žurnÄla datiem tÄ darbojas kÄ Google. ITSS izmanto laika grafikus vaicÄjumu rezultÄtiem, var apvienot un grupÄt notikumu laukus un efektÄ«vi palÄ«dz draudu meklÄÅ”anÄ.
InTrust bagÄtina Windows notikumus ar droŔības identifikatoriem, failu nosaukumiem un droŔības pieteikÅ”anÄs identifikatoriem. InTrust arÄ« normalizÄ notikumus pÄc vienkÄrÅ”as W6 shÄmas (kas, kas, kur, kad, kurÅ” un no kurienes), lai datus no dažÄdiem avotiem (Windows vietÄjie notikumi, Linux žurnÄli vai syslog) varÄtu skatÄ«t vienÄ formÄtÄ un vienÄ meklÄÅ”anas konsole.
InTrust atbalsta reÄllaika brÄ«dinÄÅ”anas, noteikÅ”anas un reaÄ£ÄÅ”anas iespÄjas, ko var izmantot kÄ EDR lÄ«dzÄ«gu sistÄmu, lai samazinÄtu aizdomÄ«gu darbÄ«bu radÄ«tos bojÄjumus. IebÅ«vÄtie droŔības noteikumi atklÄj Å”Ädus draudus, bet neaprobežojas ar tiem:
- Paroles izsmidzinÄÅ”ana.
- Kerberoasting.
- AizdomÄ«ga PowerShell darbÄ«ba, piemÄram, Mimikatz izpilde.
- AizdomÄ«gi procesi, piemÄram, LokerGoga ransomware.
- Å ifrÄÅ”ana, izmantojot CA4FS žurnÄlus.
- PieteikÅ”anÄs ar priviliÄ£Ätu kontu darbstacijÄs.
- Paroles minÄÅ”anas uzbrukumi.
- AizdomÄ«ga vietÄjo lietotÄju grupu izmantoÅ”ana.
Tagad es jums parÄdÄ«Å”u dažus InTrust ekrÄnuzÅÄmumus, lai jÅ«s varÄtu gÅ«t priekÅ”statu par tÄs iespÄjÄm.
IepriekÅ” definÄti filtri, lai meklÄtu iespÄjamÄs ievainojamÄ«bas
Filtru kopas piemÄrs neapstrÄdÄtu datu vÄkÅ”anai
PiemÄrs regulÄro izteiksmju izmantoÅ”anai, lai izveidotu atbildi uz notikumu
PiemÄrs ar PowerShell ievainojamÄ«bas meklÄÅ”anas kÄrtulu
IebÅ«vÄta zinÄÅ”anu bÄze ar ievainojamÄ«bu aprakstiem
InTrust ir spÄcÄ«gs rÄ«ks, ko var izmantot kÄ atseviŔķu risinÄjumu vai SIEM sistÄmas daļu, kÄ es aprakstÄ«ju iepriekÅ”. IespÄjams, Ŕī risinÄjuma galvenÄ priekÅ”rocÄ«ba ir tÄ, ka to var sÄkt lietot uzreiz pÄc uzstÄdÄ«Å”anas, jo InTrust ir liela noteikumu bibliotÄka draudu noteikÅ”anai un reaÄ£ÄÅ”anai uz tiem (piemÄram, lietotÄja bloÄ·ÄÅ”anai).
RakstÄ es nerunÄju par kastÄ iekļautajÄm integrÄcijÄm. TaÄu tÅ«lÄ«t pÄc instalÄÅ”anas varat konfigurÄt notikumu sÅ«tÄ«Å”anu uz Splunk, IBM QRadar, Microfocus Arcsight vai izmantojot tÄ«mekļa aizÄ·eri uz jebkuru citu sistÄmu. TÄlÄk ir parÄdÄ«ts Kibana saskarnes piemÄrs ar notikumiem no InTrust. Jau pastÄv integrÄcija ar Elastic Stack, un, ja izmantojat Elastic bezmaksas versiju, InTrust var izmantot kÄ rÄ«ku draudu identificÄÅ”anai, proaktÄ«vu brÄ«dinÄjumu veikÅ”anai un paziÅojumu nosÅ«tÄ«Å”anai.
Es ceru, ka raksts sniedza minimÄlu priekÅ”statu par Å”o produktu. MÄs esam gatavi nodot InTrust jums testÄÅ”anai vai veikt izmÄÄ£inÄjuma projektu. Pieteikumu var atstÄt plkst
Izlasiet citus mÅ«su rakstus par informÄcijas droŔību:
Avots: www.habr.com