SIEM प्रणालीच्या मालकीची किंमत कशी कमी करायची आणि तुम्हाला सेंट्रल लॉग मॅनेजमेंट (CLM) का आवश्यक आहे

काही काळापूर्वी, स्प्लंकने दुसरे परवाना मॉडेल जोडले - पायाभूत सुविधा-आधारित परवाना (आता त्यापैकी तीन आहेत). ते स्प्लंक सर्व्हर अंतर्गत CPU कोरची संख्या मोजतात. लवचिक स्टॅक परवान्याप्रमाणेच, ते इलास्टिकसर्च नोड्सची संख्या मोजतात. SIEM प्रणाली पारंपारिकपणे महाग आहेत आणि सहसा भरपूर पैसे देणे आणि भरपूर पैसे देणे यामधील पर्याय असतो. परंतु, आपण काही कल्पकता वापरल्यास, आपण समान रचना एकत्र करू शकता.

हे भितीदायक दिसते, परंतु कधीकधी हे आर्किटेक्चर उत्पादनात कार्य करते. जटिलता सुरक्षिततेला मारते आणि सर्वसाधारणपणे सर्वकाही मारते. खरं तर, अशा प्रकरणांसाठी (मी मालकीची किंमत कमी करण्याबद्दल बोलत आहे) सिस्टमचा संपूर्ण वर्ग आहे - सेंट्रल लॉग मॅनेजमेंट (सीएलएम). त्याबद्दल गार्टनर लिहितात, त्यांना कमी मानून. येथे त्यांच्या शिफारसी आहेत:

• जेव्हा बजेट आणि स्टाफिंग मर्यादा, सुरक्षा निरीक्षण आवश्यकता आणि विशिष्ट वापर केस आवश्यकता असतात तेव्हा CLM क्षमता आणि साधने वापरा.
• जेव्हा SIEM सोल्यूशन खूप महाग किंवा जटिल असल्याचे सिद्ध होते तेव्हा लॉग संकलन आणि विश्लेषण क्षमता वाढविण्यासाठी CLM लागू करा.
• सुरक्षितता घटना तपास/विश्लेषण सुधारण्यासाठी कार्यक्षम स्टोरेज, जलद शोध आणि लवचिक व्हिज्युअलायझेशनसह CLM टूल्समध्ये गुंतवणूक करा आणि धोक्याची शिकार करण्यास समर्थन द्या.
• CLM सोल्यूशन लागू करण्यापूर्वी लागू घटक आणि विचार विचारात घेतल्याची खात्री करा.

या लेखात आम्ही परवाना देण्याच्या दृष्टिकोनातील फरकांबद्दल बोलू, आम्ही CLM समजू आणि या वर्गाच्या विशिष्ट प्रणालीबद्दल बोलू - क्वेस्ट इंट्रस्ट. कट अंतर्गत तपशील.

या लेखाच्या सुरुवातीला, मी स्प्लंक परवाना देण्याच्या नवीन दृष्टिकोनाबद्दल बोललो. परवान्याच्या प्रकारांची कार भाड्याच्या दरांशी तुलना केली जाऊ शकते. चला कल्पना करूया की मॉडेल, सीपीयूच्या संख्येनुसार, अमर्यादित मायलेज आणि गॅसोलीनसह एक आर्थिक कार आहे. तुम्ही अंतराच्या निर्बंधांशिवाय कुठेही जाऊ शकता, परंतु तुम्ही फार वेगाने जाऊ शकत नाही आणि त्यानुसार, दिवसातून अनेक किलोमीटर अंतर कापता. डेटा परवाना दैनंदिन मायलेज मॉडेलसह स्पोर्ट्स कार सारखाच आहे. तुम्ही लांब पल्ल्यापर्यंत बेपर्वाईने गाडी चालवू शकता, परंतु दैनंदिन मायलेज मर्यादा ओलांडल्यास तुम्हाला जास्त पैसे द्यावे लागतील.

लोड-आधारित परवान्याचा लाभ घेण्यासाठी, तुमच्याकडे लोड केलेल्या डेटाच्या GB ते CPU कोरचे सर्वात कमी संभाव्य गुणोत्तर असणे आवश्यक आहे. सराव मध्ये याचा अर्थ असा काहीतरी आहे:

• लोड केलेल्या डेटासाठी शक्य तितक्या लहान क्वेरींची संख्या.
• सोल्यूशनच्या संभाव्य वापरकर्त्यांची सर्वात लहान संख्या.
• शक्य तितका साधा आणि सामान्यीकृत डेटा (जेणेकरून त्यानंतरच्या डेटा प्रोसेसिंग आणि विश्लेषणावर CPU सायकल वाया घालवण्याची गरज नाही).

येथे सर्वात समस्याप्रधान गोष्ट म्हणजे सामान्यीकृत डेटा. जर तुम्हाला एखाद्या संस्थेतील सर्व लॉगचा SIEM एग्रीगेटर बनवायचा असेल, तर त्याला पार्सिंग आणि पोस्ट-प्रोसेसिंगमध्ये मोठ्या प्रमाणात प्रयत्न करावे लागतील. हे विसरू नका की तुम्हाला अशा आर्किटेक्चरबद्दल देखील विचार करणे आवश्यक आहे जे लोडच्या खाली पडणार नाही, म्हणजे. अतिरिक्त सर्व्हर आणि म्हणून अतिरिक्त प्रोसेसर आवश्यक असतील.

डेटा व्हॉल्यूम लायसन्सिंग SIEM च्या maw मध्ये पाठवलेल्या डेटाच्या प्रमाणावर आधारित आहे. डेटाचे अतिरिक्त स्रोत रूबल (किंवा इतर चलन) द्वारे दंडनीय आहेत आणि यामुळे तुम्हाला खरोखर काय गोळा करायचे नव्हते याचा विचार करण्यास प्रवृत्त करते. या परवाना मॉडेलला मागे टाकण्यासाठी, तुम्ही SIEM सिस्टीममध्ये इंजेक्ट करण्यापूर्वी डेटा चावू शकता. इंजेक्शनपूर्वी अशा सामान्यीकरणाचे एक उदाहरण म्हणजे लवचिक स्टॅक आणि काही इतर व्यावसायिक SIEM.

परिणामस्वरुप, आमच्याकडे असे आहे की पायाभूत सुविधांनुसार परवाना देणे प्रभावी आहे जेव्हा तुम्हाला किमान पूर्व-प्रक्रियेसह काही विशिष्ट डेटा गोळा करणे आवश्यक असते आणि व्हॉल्यूमनुसार परवाना देणे तुम्हाला सर्व काही गोळा करण्याची परवानगी देणार नाही. इंटरमीडिएट सोल्यूशनचा शोध खालील निकषांवर नेतो:

• डेटा एकत्रीकरण आणि सामान्यीकरण सुलभ करा.
• गोंगाट करणारा आणि किमान महत्त्वाचा डेटा फिल्टर करणे.
• विश्लेषण क्षमता प्रदान करणे.
• SIEM ला फिल्टर केलेला आणि सामान्यीकृत डेटा पाठवा

परिणामी, लक्ष्य SIEM प्रणालींना प्रक्रियेवर अतिरिक्त CPU पॉवर वाया घालवण्याची गरज भासणार नाही आणि जे घडत आहे त्यामध्ये दृश्यमानता कमी न करता केवळ सर्वात महत्त्वाच्या घटना ओळखण्यात फायदा होऊ शकतो.

तद्वतच, अशा मिडलवेअर सोल्यूशनने रिअल-टाइम शोध आणि प्रतिसाद क्षमता देखील प्रदान केल्या पाहिजेत ज्याचा वापर संभाव्य धोकादायक क्रियाकलापांचा प्रभाव कमी करण्यासाठी आणि घटनांचा संपूर्ण प्रवाह SIEM साठी उपयुक्त आणि साध्या डेटामध्ये एकत्रित करण्यासाठी केला जाऊ शकतो. बरं, नंतर SIEM चा वापर अतिरिक्त एकत्रीकरण, सहसंबंध आणि इशारा प्रक्रिया तयार करण्यासाठी केला जाऊ शकतो.

तोच गूढ मध्यवर्ती उपाय सीएलएम व्यतिरिक्त दुसरा कोणी नाही, ज्याचा मी लेखाच्या सुरुवातीला उल्लेख केला आहे. गार्टनर हे कसे पाहतो:

आता तुम्ही InTrust गार्टनरच्या शिफारशींचे पालन कसे करते हे शोधण्याचा प्रयत्न करू शकता:

• संग्रहित करणे आवश्यक असलेल्या डेटाच्या व्हॉल्यूम आणि प्रकारांसाठी कार्यक्षम संचयन.
• उच्च शोध गती.
• व्हिज्युअलायझेशन क्षमता मूलभूत CLM आवश्यक नसतात, परंतु धोक्याची शिकार सुरक्षा आणि डेटा विश्लेषणासाठी BI प्रणालीसारखी असते.
• उपयुक्त संदर्भीय डेटासह (जसे की भौगोलिक स्थान आणि इतर) कच्चा डेटा समृद्ध करण्यासाठी डेटा समृद्धी.

Quest InTrust 40:1 पर्यंत डेटा कॉम्प्रेशन आणि हाय-स्पीड डिडुप्लिकेशनसह स्वतःची स्टोरेज सिस्टम वापरते, ज्यामुळे CLM आणि SIEM सिस्टमसाठी स्टोरेज ओव्हरहेड कमी होते.

Google सारख्या शोधासह IT सुरक्षा शोध कन्सोल

एक विशेष वेब-आधारित IT सुरक्षा शोध (ITSS) मॉड्यूल InTrust रेपॉजिटरीमधील इव्हेंट डेटाशी कनेक्ट होऊ शकतो आणि धोक्यांचा शोध घेण्यासाठी एक साधा इंटरफेस प्रदान करतो. इंटरफेस इव्हेंट लॉग डेटासाठी Google प्रमाणे कार्य करतो इतके सोपे केले आहे. ITSS क्वेरी परिणामांसाठी टाइमलाइन वापरते, इव्हेंट फील्ड विलीन आणि गटबद्ध करू शकते आणि धोका शोधण्यात प्रभावीपणे मदत करते.

InTrust सुरक्षा अभिज्ञापक, फाइल नावे आणि सुरक्षा लॉगिन अभिज्ञापकांसह विंडोज इव्हेंट समृद्ध करते. InTrust सोप्या W6 स्कीमा (कोण, काय, कुठे, केव्हा, कोणाकडून आणि कोठून) इव्हेंट्सचे सामान्यीकरण देखील करते जेणेकरुन विविध स्त्रोतांकडील डेटा (विंडोज नेटिव्ह इव्हेंट्स, लिनक्स लॉग किंवा syslog) एकाच स्वरूपात आणि एकाच स्वरूपात पाहिला जाऊ शकतो. कन्सोल शोधा.

InTrust रिअल-टाइम अलर्टिंग, शोध आणि प्रतिसाद क्षमतांना समर्थन देते ज्याचा वापर संशयास्पद क्रियाकलापांमुळे होणारे नुकसान कमी करण्यासाठी EDR सारखी प्रणाली म्हणून केला जाऊ शकतो. अंगभूत सुरक्षा नियम खालील धोक्यांचा शोध घेतात, परंतु इतकेच मर्यादित नाहीत:

• पासवर्ड फवारणी.
• कर्बेरोस्टिंग.
• संशयास्पद पॉवरशेल क्रियाकलाप, जसे की मिमिकॅट्झची अंमलबजावणी.
• संशयास्पद प्रक्रिया, उदाहरणार्थ, लोकरगोगा रॅन्समवेअर.
• CA4FS लॉग वापरून एन्क्रिप्शन.
• वर्कस्टेशन्सवर विशेषाधिकार प्राप्त खात्यासह लॉगिन.
• पासवर्ड अंदाज हल्ले.
• स्थानिक वापरकर्ता गटांचा संशयास्पद वापर.

आता मी तुम्हाला InTrust चेच काही स्क्रीनशॉट दाखवीन जेणेकरुन तुम्हाला त्याच्या क्षमतांची छाप मिळू शकेल.

संभाव्य भेद्यता शोधण्यासाठी पूर्वनिर्धारित फिल्टर

कच्चा डेटा गोळा करण्यासाठी फिल्टरच्या संचाचे उदाहरण

इव्हेंटला प्रतिसाद तयार करण्यासाठी रेग्युलर एक्सप्रेशन्स वापरण्याचे उदाहरण

पॉवरशेल असुरक्षा शोध नियमासह उदाहरण

भेद्यतेच्या वर्णनासह अंगभूत ज्ञान बेस

InTrust हे एक शक्तिशाली साधन आहे जे एक स्वतंत्र सोल्यूशन म्हणून किंवा SIEM प्रणालीचा भाग म्हणून वापरले जाऊ शकते, जसे मी वर वर्णन केले आहे. कदाचित या सोल्यूशनचा मुख्य फायदा असा आहे की आपण स्थापनेनंतर लगेचच ते वापरणे सुरू करू शकता, कारण InTrust मध्ये धोके शोधण्यासाठी आणि त्यांना प्रतिसाद देण्यासाठी (उदाहरणार्थ, वापरकर्त्याला अवरोधित करणे) नियमांची मोठी लायब्ररी आहे.

लेखात मी बॉक्स्ड इंटिग्रेशनबद्दल बोललो नाही. परंतु स्थापनेनंतर लगेच, तुम्ही स्प्लंक, IBM QRadar, Microfocus Arcsight किंवा वेबहुकद्वारे इतर कोणत्याही सिस्टीमवर इव्हेंट पाठवणे कॉन्फिगर करू शकता. खाली InTrust मधील इव्हेंटसह किबाना इंटरफेसचे उदाहरण आहे. लवचिक स्टॅकमध्ये आधीपासूनच एकीकरण आहे आणि, जर तुम्ही इलास्टिकची विनामूल्य आवृत्ती वापरत असाल तर, धोके ओळखण्यासाठी, सक्रिय इशारा देण्यासाठी आणि सूचना पाठवण्यासाठी InTrust एक साधन म्हणून वापरले जाऊ शकते.

मला आशा आहे की लेखाने या उत्पादनाबद्दल किमान कल्पना दिली आहे. चाचणीसाठी किंवा पायलट प्रोजेक्ट आयोजित करण्यासाठी आम्ही तुम्हाला InTrust देण्यास तयार आहोत. येथे अर्ज सोडला जाऊ शकतो अभिप्राय फॉर्म आमच्या वेबसाइटवर.

माहिती सुरक्षिततेवरील आमचे इतर लेख वाचा:

आम्हाला ransomware हल्ला आढळतो, डोमेन कंट्रोलरमध्ये प्रवेश मिळवा आणि या हल्ल्यांचा प्रतिकार करण्याचा प्रयत्न करा

विंडोज-आधारित वर्कस्टेशनच्या लॉगमधून कोणत्या उपयुक्त गोष्टी काढल्या जाऊ शकतात? (लोकप्रिय लेख)

पक्कड किंवा डक्ट टेपशिवाय वापरकर्त्यांच्या जीवनचक्राचा मागोवा घेणे

हे कोणी केले? आम्ही माहिती सुरक्षा ऑडिट स्वयंचलित करतो

स्त्रोत: www.habr.com