Саяхан Splunk лицензийн өөр загварыг нэмсэн - дэд бүтцэд суурилсан лиценз (
Энэ нь аймшигтай харагддаг, гэхдээ заримдаа энэ архитектур нь үйлдвэрлэлд ажилладаг. Нарийн төвөгтэй байдал нь аюулгүй байдлыг устгадаг бөгөөд ерөнхийдөө бүх зүйлийг устгадаг. Үнэн хэрэгтээ, ийм тохиолдлуудад (би өмчлөлийн зардлыг бууруулах талаар ярьж байна) бүхэл бүтэн ангиллын системүүд байдаг - Төв бүртгэлийн менежмент (CLM). Үүний тухай
- Төсөв, боловсон хүчний хязгаарлалт, аюулгүй байдлын хяналтын шаардлагууд болон ашиглалтын тодорхой шаардлага байгаа үед CLM-ийн чадавхи, хэрэгслийг ашиглана уу.
- SIEM шийдэл нь хэтэрхий үнэтэй эсвэл төвөгтэй байх үед бүртгэл цуглуулах, дүн шинжилгээ хийх чадварыг сайжруулахын тулд CLM-ийг хэрэгжүүлээрэй.
- Аюулгүй байдлын ослын мөрдөн байцаалт/шинжилгээг сайжруулах, заналхийллийн агнуурыг дэмжихийн тулд үр ашигтай хадгалалт, хурдан хайлт, уян хатан дүрслэл бүхий CLM хэрэгслүүдэд хөрөнгө оруулаарай.
- CLM шийдлийг хэрэгжүүлэхийн өмнө холбогдох хүчин зүйлүүд болон анхаарах зүйлсийг харгалзан үзсэн эсэхийг шалгаарай.
Энэ нийтлэлд бид лиценз олгох хандлагын ялгааны талаар ярих болно, бид CLM-ийг ойлгож, энэ ангийн тодорхой системийн талаар ярих болно.
Энэ нийтлэлийн эхэнд би Splunk лицензийн шинэ хандлагын талаар ярьсан. Лицензийн төрлийг машин түрээслэхтэй харьцуулж болно. Загвар нь CPU-ийн тооны хувьд хязгааргүй миль, бензинтэй хэмнэлттэй машин гэж төсөөлөөд үз дээ. Та зайны хязгаарлалтгүйгээр хаашаа ч явж болно, гэхдээ та маш хурдан явж чадахгүй бөгөөд үүний дагуу өдөрт олон км замыг туулдаг. Өгөгдлийн лиценз нь өдөр тутмын миль загвартай спорт машинтай төстэй юм. Та хол зайд болгоомжгүй жолоодож болно, гэхдээ та өдөр тутмын миль хязгаарыг хэтрүүлбэл илүү их мөнгө төлөх шаардлагатай болно.
Ачаалал дээр суурилсан лицензийн ашиг тусыг хүртэхийн тулд та CPU-ийн цөм болон ачаалагдсан өгөгдлийн GB хүртэлх хамгийн бага харьцаатай байх шаардлагатай. Практикт энэ нь дараахь зүйлийг илэрхийлдэг.
- Ачаалагдсан өгөгдлийн асуулгын хамгийн бага тоо.
- Шийдлийн боломжит хэрэглэгчдийн хамгийн бага тоо.
- Аль болох энгийн бөгөөд хэвийн өгөгдөл (дараагийн өгөгдөл боловсруулах, дүн шинжилгээ хийхэд CPU-ийн мөчлөгийг дэмий үрэх шаардлагагүй болно).
Энд хамгийн асуудалтай зүйл бол хэвийн өгөгдөл юм. Хэрэв та SIEM-ийг байгууллагын бүх бүртгэлийг нэгтгэгч болгохыг хүсч байвал задлан шинжилж, боловсруулахад асар их хүчин чармайлт шаардагдана. Ачааллын дор нурж унахгүй архитектурын талаар бодох хэрэгтэй гэдгийг бүү мартаарай, i.e. нэмэлт серверүүд тул нэмэлт процессор шаардлагатай болно.
Өгөгдлийн эзэлхүүний лицензийг SIEM-ийн мэдээллийн сан руу илгээсэн өгөгдлийн хэмжээн дээр үндэслэнэ. Мэдээллийн нэмэлт эх сурвалжийг рублиэр (эсвэл өөр валютаар) шийтгэдэг бөгөөд энэ нь таныг үнэхээр цуглуулахыг хүсээгүй зүйлийнхээ талаар бодоход хүргэдэг. Энэхүү лицензийн загварыг даван туулахын тулд та өгөгдлийг SIEM системд оруулахаас өмнө хазаж болно. Тарилгын өмнө ийм хэвийн байдалд оруулсны нэг жишээ бол Elastic Stack болон бусад арилжааны SIEM юм.
Үүний үр дүнд бид дэд бүтцээр лиценз олгох нь зөвхөн тодорхой өгөгдлийг хамгийн бага урьдчилсан боловсруулалтаар цуглуулах шаардлагатай үед үр дүнтэй байдаг бөгөөд эзлэхүүнээр лицензлэх нь бүх зүйлийг цуглуулах боломжийг танд олгохгүй. Завсрын шийдлийг хайх нь дараахь шалгуурыг бий болгодог.
- Өгөгдлийг нэгтгэх, хэвийн болгох ажлыг хялбарчлах.
- Дуу чимээ ихтэй, хамгийн чухал биш өгөгдлийг шүүх.
- Шинжилгээний чадвараар хангах.
- Шүүгдсэн, хэвийн болгосон өгөгдлийг SIEM руу илгээнэ үү
Үүний үр дүнд зорилтот SIEM системүүд боловсруулалтанд CPU-ийн нэмэлт хүчийг дэмий үрэх шаардлагагүй бөгөөд болж буй үйл явдлын харагдах байдлыг багасгахгүйгээр зөвхөн хамгийн чухал үйл явдлуудыг тодорхойлох нь ашиг тустай болно.
Ийм завсрын програм хангамжийн шийдэл нь аюултай байж болзошгүй үйл ажиллагааны нөлөөллийг бууруулах, үйл явдлын бүх урсгалыг SIEM-д чиглэсэн ашигтай бөгөөд энгийн тоон мэдээлэл болгон нэгтгэхэд ашиглаж болох бодит цагийн илрүүлэлт, хариу арга хэмжээ авах чадвартай байх ёстой. За тэгвэл SIEM-ийг нэмэлт нэгтгэлүүд, хамаарал, дохиоллын процессуудыг бий болгоход ашиглаж болно.
Яг л нууцлаг завсрын шийдэл нь нийтлэлийн эхэнд дурдсан CLM-ээс өөр зүйл биш юм. Гартнер үүнийг ингэж харж байна:
Одоо та InTrust нь Gartner-ын зөвлөмжид хэрхэн нийцэж байгааг олж мэдэхийг оролдож болно:
- Хадгалах шаардлагатай мэдээллийн хэмжээ, төрлийг үр дүнтэй хадгалах.
- Хайлтын өндөр хурд.
- Дүрслэх чадвар нь үндсэн CLM-ийн шаарддаг зүйл биш боловч аюул заналхийлэл нь аюулгүй байдал, мэдээллийн аналитикийн BI системтэй адил юм.
- Түүхий өгөгдлийг хэрэгтэй контекст мэдээллээр баяжуулахын тулд өгөгдлийг баяжуулах (газар байршил болон бусад).
Quest InTrust нь 40:1 хүртэлх өгөгдлийг шахах, давхар хуулбарлах өндөр хурдтай өөрийн хадгалах системийг ашигладаг бөгөөд энэ нь CLM болон SIEM системүүдийн хадгалалтын зардлыг бууруулдаг.
Google-тэй төстэй хайлт бүхий мэдээллийн технологийн аюулгүй байдлын хайлтын консол
Мэргэшсэн вэбэд суурилсан IT Security Search (ITSS) модуль нь InTrust репозитор дахь үйл явдлын өгөгдөлтэй холбогдож, аюулыг хайх энгийн интерфейсээр хангадаг. Интерфэйс нь үйл явдлын бүртгэлийн өгөгдөлд Google-тэй адил үйлчилдэг болтол хялбаршуулсан. ITSS нь асуулгын үр дүнгийн цагийн хуваарийг ашигладаг, үйл явдлын талбаруудыг нэгтгэж, бүлэглэж, аюул заналхийллийг илрүүлэхэд үр дүнтэй тусалдаг.
InTrust нь Windows үйл явдлуудыг аюулгүй байдлын танигч, файлын нэр, аюулгүй байдлын нэвтрэлт танигчаар баяжуулдаг. InTrust нь үйл явдлыг энгийн W6 схемд (Хэн, Юу, Хаана, Хэзээ, Хэн, Хаанаас) хэвийн болгож, янз бүрийн эх сурвалжаас авсан өгөгдлийг (Windows-ийн үндсэн үйл явдлууд, Линуксийн бүртгэл эсвэл систем) нэг форматаар, нэг хэлбэрээр харах боломжтой болгодог. хайлтын консол.
InTrust нь сэжигтэй үйл ажиллагааны улмаас учирсан хохирлыг багасгахын тулд EDR-тэй төстэй систем болгон ашиглаж болох бодит цагийн дохиолол, илрүүлэх, хариу арга хэмжээ авах чадварыг дэмждэг. Суурилуулсан аюулгүй байдлын дүрмүүд нь дараах аюулыг илрүүлдэг боловч үүгээр хязгаарлагдахгүй:
- Нууц үг цацах.
- Kerberoasting.
- Mimikatz-ийн гүйцэтгэл зэрэг сэжигтэй PowerShell үйл ажиллагаа.
- Сэжигтэй процессууд, жишээлбэл, LokerGoga ransomware.
- CA4FS бүртгэлийг ашиглан шифрлэлт.
- Ажлын станцууд дээр давуу эрхтэй бүртгэлээр нэвтэрнэ.
- Нууц үг таах халдлага.
- Орон нутгийн хэрэглэгчийн бүлгүүдийн сэжигтэй хэрэглээ.
Одоо би танд InTrust-ийн хэд хэдэн дэлгэцийн агшинг үзүүлэх болно, ингэснээр та түүний чадварын талаар сэтгэгдэлтэй болно.
Боломжит эмзэг байдлыг хайхын тулд урьдчилан тодорхойлсон шүүлтүүрүүд
Түүхий мэдээлэл цуглуулах шүүлтүүрүүдийн жишээ
Үйл явдалд хариу бичихийн тулд ердийн хэллэг ашиглах жишээ
PowerShell-ийн эмзэг байдлын хайлтын дүрмийн жишээ
Эмзэг байдлын тайлбар бүхий суурилагдсан мэдлэгийн сан
InTrust бол дээр дурдсанчлан бие даасан шийдэл эсвэл SIEM системийн нэг хэсэг болгон ашиглаж болох хүчирхэг хэрэгсэл юм. Магадгүй энэ шийдлийн гол давуу тал нь суулгасны дараа шууд ашиглаж эхлэх явдал юм, учир нь InTrust нь аюул заналыг илрүүлэх, түүнд хариу үйлдэл үзүүлэх (жишээлбэл, хэрэглэгчийг хаах) дүрмийн том номын сантай.
Нийтлэлд би хайрцагласан интеграцийн талаар яриагүй. Гэхдээ суулгасны дараа шууд Splunk, IBM QRadar, Microfocus Arcsight эсвэл вэб дэгээгээр дамжуулан бусад системд үйл явдал илгээх тохиргоог хийж болно. InTrust-ийн үйл явдлуудтай Кибана интерфейсийн жишээг доор харуулав. Elastic Stack-тай аль хэдийн интеграцчлагдсан байгаа бөгөөд хэрэв та Elastic-ийн үнэгүй хувилбарыг ашигладаг бол InTrust-ийг аюул заналхийллийг тодорхойлох, идэвхтэй дохиолол хийх, мэдэгдэл илгээх хэрэгсэл болгон ашиглаж болно.
Нийтлэл нь энэ бүтээгдэхүүний талаар хамгийн бага санаа өгсөн гэж найдаж байна. Бид танд InTrust-ийг турших эсвэл туршилтын төсөл хэрэгжүүлэхэд бэлэн байна. Програмыг хаягаар үлдээж болно
Мэдээллийн аюулгүй байдлын талаарх манай бусад нийтлэлийг уншина уу:
Эх сурвалж: www.habr.com