SIEM စနစ်တစ်ခု၏ ပိုင်ဆိုင်မှုကုန်ကျစရိတ်ကို လျှော့ချနည်းနှင့် Central Log Management (CLM) ကို အဘယ်ကြောင့် လိုအပ်သနည်း။

မကြာသေးမီက Splunk သည် အခြားသော လိုင်စင်ပုံစံကို ထည့်သွင်းခဲ့သည် - အခြေခံအဆောက်အအုံအခြေခံ လိုင်စင် (အခု သူတို့ သုံးယောက် ရှိတယ်။) ၎င်းတို့သည် Splunk ဆာဗာများအောက်တွင် CPU core အရေအတွက်ကိုရေတွက်သည်။ Elastic Stack လိုင်စင်နှင့် အလွန်ဆင်တူသည်၊ ၎င်းတို့သည် Elasticsearch node များကိုရေတွက်သည်။ SIEM စနစ်များသည် ရှေးယခင်ကတည်းက ဈေးကြီးပြီး အများအားဖြင့် ပေးဆောင်ခြင်းနှင့် အများအပြားပေးဆောင်ခြင်းကြား ရွေးချယ်မှုရှိပါသည်။ ဒါပေမယ့် ဉာဏ်ပညာကို သင်အသုံးပြုမယ်ဆိုရင် အလားတူပုံစံတစ်ခုကို စုစည်းနိုင်ပါတယ်။

ကြောက်စရာကောင်းပုံရသည်၊ သို့သော် တစ်ခါတစ်ရံတွင် ဤဗိသုကာလက်ရာသည် ထုတ်လုပ်မှုတွင် အလုပ်လုပ်သည်။ ရှုပ်ထွေးမှုသည် လုံခြုံရေးကို သတ်စေပြီး ယေဘုယျအားဖြင့် အရာအားလုံးကို သတ်ပစ်သည်။ တကယ်တော့၊ ဒီလိုကိစ္စတွေအတွက် (ပိုင်ဆိုင်မှုကုန်ကျစရိတ်ကို လျှော့ချဖို့ ပြောနေတာပါ) Central Log Management (CLM) စနစ် အမျိုးအစား အစုံရှိပါတယ်။ ထိုအကြောင်း Gartner ကရေးသားသည်။သူတို့ကို မတန်တဆ ဆင်ခြင်တယ်။ ဤသည်မှာ ၎င်းတို့၏ အကြံပြုချက်များဖြစ်သည်။

• ဘတ်ဂျက်နှင့် ဝန်ထမ်းအင်အား ကန့်သတ်ချက်များ၊ လုံခြုံရေး စောင့်ကြည့်မှု လိုအပ်ချက်များနှင့် သီးခြားအသုံးပြုမှု လိုအပ်ချက်များရှိသည့်အခါ CLM စွမ်းရည်များနှင့် ကိရိယာများကို အသုံးပြုပါ။
• SIEM ဖြေရှင်းချက်သည် အလွန်စျေးကြီးသော သို့မဟုတ် ရှုပ်ထွေးကြောင်း သက်သေပြသည့်အခါ မှတ်တမ်းစုဆောင်းခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာနိုင်စွမ်းကို မြှင့်တင်ရန် CLM ကို အကောင်အထည်ဖော်ပါ။
• လုံခြုံရေးဆိုင်ရာ အဖြစ်အပျက်စုံစမ်းခြင်း/ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် ခြိမ်းခြောက်မှုရှာဖွေခြင်းတို့ကို ပံ့ပိုးပေးရန်အတွက် ထိရောက်သောသိုလှောင်မှု၊ လျင်မြန်သောရှာဖွေမှုနှင့် လိုက်လျောညီထွေရှိသော အသွင်အပြင်ဖြင့် CLM ကိရိယာများတွင် ရင်းနှီးမြှုပ်နှံပါ။
• CLM ဖြေရှင်းချက်ကို မအကောင်အထည်ဖော်မီ သက်ဆိုင်သောအချက်များနှင့် ထည့်သွင်းစဉ်းစားမှုများကို ထည့်သွင်းစဉ်းစားကြောင်း သေချာပါစေ။

ဤဆောင်းပါးတွင် လိုင်စင်ရယူခြင်းဆိုင်ရာ ချဉ်းကပ်ပုံ ကွာခြားချက်များအကြောင်း ဆွေးနွေးမည်ဖြစ်ပြီး၊ ကျွန်ုပ်တို့သည် CLM ကို နားလည်ပြီး ဤအတန်း၏ သီးခြားစနစ်တစ်ခုအကြောင်း ဆွေးနွေးပါမည်။ Quest InTrust. အသေးစိတ်အချက်အလတ်များကို အောက်တွင်ဖော်ပြထားပါသည်။

ဤဆောင်းပါး၏အစတွင်၊ ကျွန်ုပ်သည် Splunk လိုင်စင်အတွက်ချဉ်းကပ်မှုအသစ်အကြောင်းပြောခဲ့သည်။ လိုင်စင်အမျိုးအစားများကို ကားငှားရမ်းခနှုန်းထားများနှင့် နှိုင်းယှဉ်နိုင်သည်။ CPU အရေအတွက်အရ မော်ဒယ်သည် အကန့်အသတ်မရှိ ခရီးအကွာအဝေးနှင့် ဓာတ်ဆီပါသော စျေးသက်သာသော ကားတစ်စီးဖြစ်ကြောင်း စိတ်ကူးကြည့်ကြပါစို့။ အကွာအဝေး ကန့်သတ်ချက်များမရှိဘဲ မည်သည့်နေရာသို့မဆို သင်သွားနိုင်သော်လည်း အလွန်လျင်မြန်စွာ မသွားနိုင်သည့်အပြင် တစ်နေ့လျှင် ကီလိုမီတာများစွာကို လွှမ်းခြုံနိုင်သည်။ ဒေတာလိုင်စင်သည် နေ့စဉ်မိုင်အကွာအဝေးမော်ဒယ်ရှိသော အားကစားကားနှင့် ဆင်တူသည်။ ခရီးဝေးကို မဆင်မခြင် မောင်းနှင်နိုင်သော်လည်း နေ့စဉ် ခရီးမိုင်ကန့်သတ်ချက်ထက် ကျော်လွန်ပါက ပိုမိုပေးဆောင်ရမည်ဖြစ်ပါသည်။

load-based လိုင်စင်ရယူခြင်းမှ အကျိုးကျေးဇူးရရှိရန်၊ သင် loaded data ၏ GB မှ CPU cores ၏ အနိမ့်ဆုံးဖြစ်နိုင်သောအချိုးရှိရန် လိုအပ်ပါသည်။ လက်တွေ့တွင်၊ ၎င်းသည် အောက်ပါကဲ့သို့ တစ်စုံတစ်ရာကို ဆိုလိုသည်။

• တင်ထားသောဒေတာအတွက် ဖြစ်နိုင်ချေအနည်းဆုံး စုံစမ်းမေးမြန်းမှုအရေအတွက်။
• ဖြစ်နိုင်ချေရှိသော အသုံးပြုသူများ၏ အနည်းစုမှာ ဖြေရှင်းချက်ဖြစ်သည်။
• တတ်နိုင်သမျှ ရိုးရှင်းပြီး ပုံမှန်ဒေတာအဖြစ် (နောက်ဆက်တွဲ ဒေတာလုပ်ဆောင်ခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာခြင်းတွင် CPU သံသရာကို ဖြုန်းတီးရန်မလိုအပ်ပါ)။

ဤနေရာတွင် ပြဿနာအရှိဆုံးအရာမှာ ပုံမှန်ပြုလုပ်ထားသော ဒေတာဖြစ်သည်။ SIEM သည် အဖွဲ့အစည်းတစ်ခုရှိ မှတ်တမ်းများအားလုံးကို စုစည်းမှုဖြစ်စေလိုပါက၊ ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် လုပ်ဆောင်ပြီးနောက် လုပ်ဆောင်ခြင်းအတွက် ကြီးမားသောကြိုးစားအားထုတ်မှု လိုအပ်ပါသည်။ ဝန်ထုပ်ဝန်ပိုးမပြိုကွဲစေမယ့် ဗိသုကာပညာကိုလည်း စဉ်းစားဖို့ လိုတယ်ဆိုတာ မမေ့ပါနဲ့။ အပိုဆာဗာများနှင့် ထို့ကြောင့် အပိုပရိုဆက်ဆာများ လိုအပ်မည်ဖြစ်သည်။

Data Volume လိုင်စင်သည် SIEM ၏ တွင်းထဲသို့ ပေးပို့သည့် ဒေတာပမာဏအပေါ် အခြေခံသည်။ အပိုဒေတာရင်းမြစ်များသည် ရူဘယ် (သို့မဟုတ် အခြားငွေကြေး) ဖြင့် အပြစ်ပေးခံရပြီး ၎င်းသည် သင် အမှန်တကယ် မစုဆောင်းချင်သောအရာကို စဉ်းစားစေသည်။ ဤလိုင်စင်ပုံစံကို ကျော်လွန်ရန်၊ ၎င်းကို SIEM စနစ်သို့ မထိုးသွင်းမီ ဒေတာကို ကိုက်နိုင်သည်။ ဆေးမထိုးမီ ယင်းကဲ့သို့ ပုံမှန်ပြုလုပ်ခြင်း၏ ဥပမာတစ်ခုမှာ Elastic Stack နှင့် အခြားသော စီးပွားရေးဆိုင်ရာ SIEM များဖြစ်သည်။

ရလဒ်အနေဖြင့်၊ အချို့သောဒေတာများကို အနည်းငယ်မျှသာကြိုတင်လုပ်ဆောင်ခြင်းဖြင့်သာ စုဆောင်းရန်လိုအပ်သည့်အခါတွင် အခြေခံအဆောက်အအုံဖြင့် လိုင်စင်ထုတ်ပေးခြင်းသည် ထိရောက်မှုရှိသည်၊ နှင့် volume အလိုက် လိုင်စင်သည် သင့်အား အလုံးစုံစုဆောင်းရန် လုံးဝခွင့်ပြုမည်မဟုတ်ပါ။ အလယ်အလတ်ဖြေရှင်းချက်ကို ရှာဖွေခြင်းသည် အောက်ပါစံနှုန်းများဆီသို့ ဦးတည်သည်-

• ဒေတာစုပေါင်းမှုကို ရိုးရှင်းစေပြီး ပုံမှန်ဖြစ်စေသည်။
• ဆူညံပြီး အရေးကြီးဆုံးဒေတာကို စစ်ထုတ်ခြင်း။
• ခွဲခြမ်းစိတ်ဖြာနိုင်စွမ်းများ ပေးဆောင်ခြင်း။
• စစ်ထုတ်ပြီး ပုံမှန်ဒေတာကို SIEM သို့ ပို့ပါ။

ရလဒ်အနေဖြင့် ပစ်မှတ် SIEM စနစ်များသည် လုပ်ဆောင်ခြင်းတွင် နောက်ထပ် CPU ပါဝါကို ဖြုန်းတီးနေရန် မလိုအပ်ဘဲ ဖြစ်ပျက်နေသည့်အရာများကို မြင်နိုင်စွမ်းကို လျှော့ချခြင်းမရှိဘဲ အရေးကြီးဆုံးဖြစ်ရပ်များကိုသာ ခွဲခြားသတ်မှတ်ခြင်းမှ အကျိုးကျေးဇူးရရှိနိုင်မည်ဖြစ်သည်။

အကောင်းဆုံးကတော့၊ ထိုကဲ့သို့သော အလယ်တန်းဆော့ဖ်ဝဲဖြေရှင်းချက်သည် အန္တရာယ်ရှိနိုင်သော လုပ်ဆောင်မှုများ၏သက်ရောက်မှုကို လျှော့ချရန်နှင့် SIEM သို့ အသုံးဝင်ပြီး ရိုးရှင်းသောဒေတာပမာဏတစ်ခုအဖြစ် အဖြစ်အပျက်များအားလုံးကို စုစည်းရန် အချိန်နှင့်တပြေးညီ ထောက်လှမ်းမှုနှင့် တုံ့ပြန်မှုစွမ်းရည်များကိုလည်း ပေးစွမ်းသင့်ပါသည်။ ကောင်းပြီ၊ ထို့နောက် SIEM ကို ပေါင်းစည်းမှု၊ ဆက်စပ်မှုနှင့် သတိပေးချက် လုပ်ငန်းစဉ်များကို ဖန်တီးရန် အသုံးပြုနိုင်သည်။

တူညီသော လျှို့ဝှက်ဆန်းကြယ်သော အလယ်အလတ်ဖြေရှင်းချက်သည် ဆောင်းပါးအစတွင် ဖော်ပြခဲ့သည့် CLM မှလွဲ၍ အခြားမဟုတ်ပေ။ Gartner က ဒါကိုမြင်ပုံပါပဲ။

ယခုတွင် InTrust သည် Gartner အကြံပြုချက်များကို မည်ကဲ့သို့ လိုက်နာသည်ကို သင်ရှာဖွေနိုင်သည်-

• သိမ်းဆည်းရန် လိုအပ်သော ပမာဏနှင့် ဒေတာအမျိုးအစားများအတွက် ထိရောက်သော သိုလှောင်မှု။
• မြင့်မားသောရှာဖွေမှုမြန်နှုန်း။
• Visualization စွမ်းရည်များသည် အခြေခံ CLM လိုအပ်သည်မဟုတ်သော်လည်း ခြိမ်းခြောက်မှုရှာဖွေခြင်းသည် လုံခြုံရေးနှင့် ဒေတာခွဲခြမ်းစိတ်ဖြာမှုအတွက် BI စနစ်ကဲ့သို့ဖြစ်သည်။
• အသုံးဝင်သော ဆက်စပ်အချက်အလက်များ (ပထဝီတည်နေရာနှင့် အခြားအရာများကဲ့သို့) ဒေတာကုန်ကြမ်းများကို ကြွယ်ဝစေရန် ဒေတာဖြည့်သွင်းခြင်း။

Quest InTrust သည် CLM နှင့် SIEM စနစ်များအတွက် သိုလှောင်မှုအပေါ်ပိုင်းကို လျှော့ချပေးသည့် 40:1 ဒေတာချုံ့မှု နှင့် မြန်နှုန်းမြင့် ထပ်ယူမှုတို့အထိ ၎င်း၏ကိုယ်ပိုင်သိုလှောင်မှုစနစ်ကို အသုံးပြုသည်။

google-like search ဖြင့် IT Security Search console

အထူးပြု web-based IT Security Search (ITSS) module တစ်ခုသည် InTrust repository ရှိ ဖြစ်ရပ်ဒေတာနှင့် ချိတ်ဆက်နိုင်ပြီး ခြိမ်းခြောက်မှုများကို ရှာဖွေရန်အတွက် ရိုးရှင်းသော အင်တာဖေ့စ်ကို ပံ့ပိုးပေးပါသည်။ အင်တာဖေ့စ်သည် ဖြစ်ရပ်မှတ်တမ်းဒေတာအတွက် Google ကဲ့သို့ လုပ်ဆောင်သည့်အချက်အထိ ရိုးရှင်းပါသည်။ ITSS သည် မေးမြန်းမှုရလဒ်များအတွက် အချိန်ဇယားများကို အသုံးပြုကာ ဖြစ်ရပ်နယ်ပယ်များကို ပေါင်းစည်းနိုင်ပြီး အုပ်စုဖွဲ့ကာ ခြိမ်းခြောက်မှုရှာဖွေခြင်းတွင် ထိထိရောက်ရောက် ကူညီပေးပါသည်။

InTrust သည် Windows ဖြစ်ရပ်များကို လုံခြုံရေး ခွဲခြားသတ်မှတ်မှုများ၊ ဖိုင်အမည်များနှင့် လုံခြုံရေး အကောင့်ဝင်မှု သတ်မှတ်ချက်များဖြင့် ကြွယ်ဝစေသည်။ InTrust သည် ရိုးရှင်းသော W6 schema (Who, What, Where, Whom and Where From) မှ အဖြစ်အပျက်များကို ပုံမှန်ဖြစ်အောင် ပြုလုပ်ပေးသည်၊ သို့မှသာ မတူညီသော အရင်းအမြစ်များ (Windows ဇာတိဖြစ်ရပ်များ၊ Linux မှတ်တမ်းများ သို့မဟုတ် syslog) ကိုဖော်မတ်တစ်ခုတည်းနှင့် တစ်ခုတည်းတွင် မြင်တွေ့နိုင်မည်ဖြစ်သည်။ search console

InTrust သည် အချိန်နှင့်တပြေးညီ သတိပေးချက်၊ ထောက်လှမ်းမှုနှင့် တုံ့ပြန်မှုစွမ်းရည်များကို ပံ့ပိုးပေးထားပြီး သံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက်ကြောင့် ပျက်စီးဆုံးရှုံးမှု အနည်းဆုံးဖြစ်အောင် EDR ကဲ့သို့ စနစ်တစ်ခုအဖြစ် အသုံးပြုနိုင်သည်။ တပ်ဆင်ထားသော လုံခြုံရေးစည်းမျဉ်းများကို သိရှိနိုင်သော်လည်း အောက်ပါခြိမ်းခြောက်မှုများတွင် အကန့်အသတ်မရှိပါ-

• စကားဝှက်ဖြန်းခြင်း။
• Kerberoasting။
• Mimikatz ကို လုပ်ဆောင်ခြင်းကဲ့သို့သော သံသယဖြစ်ဖွယ် PowerShell လုပ်ဆောင်ချက်။
• သံသယဖြစ်စဉ်များ ဥပမာ LokerGoga ransomware။
• CA4FS မှတ်တမ်းများကို အသုံးပြု၍ ကုဒ်ဝှက်ခြင်း
• အလုပ်ရုံများတွင် အခွင့်ထူးခံအကောင့်တစ်ခုဖြင့် ဝင်ရောက်ပါ။
• စကားဝှက်ကို ခန့်မှန်းတိုက်ခိုက်မှုများ။
• ဒေသခံအသုံးပြုသူအုပ်စုများကို သံသယဖြစ်ဖွယ်အသုံးပြုမှု။

ယခု ကျွန်ုပ်သည် သင့်အား InTrust ကိုယ်တိုင်၏ ဖန်သားပြင်ပုံအချို့ကို ပြသပေးမည်ဖြစ်သောကြောင့် ၎င်း၏စွမ်းရည်များကို သင်ခံစားကြည့်နိုင်မည်ဖြစ်သည်။

ဖြစ်နိုင်ချေရှိသော အားနည်းချက်များကို ရှာဖွေရန် ကြိုတင်သတ်မှတ်ထားသော စစ်ထုတ်မှုများ

ဒေတာအကြမ်းစုဆောင်းခြင်းအတွက် စစ်ထုတ်မှုအစုတစ်ခု၏ ဥပမာ

ဖြစ်ရပ်တစ်ခုအပေါ် တုံ့ပြန်မှုဖန်တီးရန် ပုံမှန်အသုံးအနှုန်းများကို အသုံးပြုခြင်း ဥပမာ

PowerShell အားနည်းချက်ရှာဖွေမှုစည်းမျဉ်းနှင့်အတူ နမူနာ

အားနည်းချက်များကို ဖော်ပြချက်ပါရှိသော အသိပညာအခြေခံ

InTrust သည် အထက်တွင်ဖော်ပြထားသည့်အတိုင်း သီးခြားဖြေရှင်းချက်တစ်ခုအဖြစ် သို့မဟုတ် SIEM စနစ်၏တစ်စိတ်တစ်ပိုင်းအဖြစ် အသုံးပြုနိုင်သည့် အစွမ်းထက်သောကိရိယာတစ်ခုဖြစ်သည်။ ဤဖြေရှင်းချက်၏ အဓိကအားသာချက်မှာ တပ်ဆင်ပြီးနောက် ချက်ချင်းစတင်အသုံးပြုနိုင်သောကြောင့် ဖြစ်ကောင်းဖြစ်နိုင်သည်။ InTrust တွင် ခြိမ်းခြောက်မှုများကို ထောက်လှမ်းရန်နှင့် ၎င်းတို့အား တုံ့ပြန်ရန် စည်းမျဉ်းများ (ဥပမာ၊ အသုံးပြုသူတစ်ဦးကို ပိတ်ဆို့ခြင်း) တွင် ကြီးမားသော စာကြည့်တိုက်တစ်ခု ရှိသည်။

ဆောင်းပါးတွင် ကျွန်ုပ်သည် ထုပ်ပိုးထားသော ပေါင်းစပ်မှုများအကြောင်း မပြောခဲ့ပါ။ သို့သော် တပ်ဆင်ပြီးပြီးချင်း၊ သင်သည် Splunk၊ IBM QRadar၊ Microfocus Arcsight သို့ အဖြစ်အပျက်များကို webhook မှတဆင့် ပေးပို့ခြင်းကို သင်စီစဉ်နိုင်ပါသည်။ အောက်တွင် InTrust မှ ဖြစ်ရပ်များပါရှိသော Kibana interface ၏ ဥပမာတစ်ခုဖြစ်သည်။ Elastic Stack နှင့် ပေါင်းစပ်ပြီးသားဖြစ်ပြီး၊ Elastic ၏ အခမဲ့ဗားရှင်းကို သင်အသုံးပြုပါက၊ InTrust သည် ခြိမ်းခြောက်မှုများကို ဖော်ထုတ်ရန်၊ ကြိုတင်သတိပေးချက်များကို လုပ်ဆောင်ခြင်းနှင့် သတိပေးချက်များပေးပို့ခြင်းအတွက် ကိရိယာတစ်ခုအဖြစ် အသုံးပြုနိုင်သည်။

ဆောင်းပါးသည် ဤထုတ်ကုန်နှင့် ပတ်သက်၍ အနည်းငယ်မျှသော အကြံဥာဏ်ပေးမည်ဟု မျှော်လင့်ပါသည်။ စမ်းသပ်ခြင်း သို့မဟုတ် ရှေ့ပြေးပရောဂျက်တစ်ခုလုပ်ဆောင်ရန်အတွက် သင့်အား InTrust ကို ပေးအပ်ရန် ကျွန်ုပ်တို့ အသင့်ရှိပါသည်။ လျှောက်လွှာမှာချန်ထားနိုင်ပါတယ်။ တုံ့ပြန်ချက်ပုံစံ ကျွန်တော်တို့ရဲ့ဝက်ဘ်ဆိုက်ပေါ်မှာ။

သတင်းအချက်အလက်လုံခြုံရေးဆိုင်ရာ ကျွန်ုပ်တို့၏ အခြားဆောင်းပါးများကို ဖတ်ရှုပါ-

ကျွန်ုပ်တို့သည် ransomware တိုက်ခိုက်မှုကို တွေ့ရှိပြီး ဒိုမိန်းထိန်းချုပ်ကိရိယာသို့ ဝင်ရောက်ခွင့်ရရှိပြီး ဤတိုက်ခိုက်မှုများကို တွန်းလှန်ရန် ကြိုးစားပါသည်။

Windows-based workstation ၏မှတ်တမ်းများမှ မည်သည့်အသုံးဝင်သောအရာများကို ထုတ်ယူနိုင်သနည်း။ (နာမည်ကြီးဆောင်းပါး)

ပလာယာ သို့မဟုတ် ပြွန်တိပ်မပါဘဲ အသုံးပြုသူများ၏ ဘဝသံသရာကို ခြေရာခံခြင်း။

ဘယ်သူလုပ်တာလဲ။ ကျွန်ုပ်တို့သည် အချက်အလက်လုံခြုံရေးစစ်ဆေးမှုများကို အလိုအလျောက်လုပ်ဆောင်ပေးပါသည်။

source: www.habr.com