áááŒá¬áá±ážáá®á Splunk ááẠá¡ááŒá¬ážáá±á¬ ááá¯ááºá
ááºáá¯á¶á
á¶ááᯠááá·áºááœááºážáá²á·ááẠ- á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶á¡ááŒá±áᶠááá¯ááºá
áẠ(
ááŒá±á¬ááºá
áá¬áá±á¬ááºážáá¯á¶ááááºá ááá¯á·áá±á¬áº áá
áºáá«áá
áºáá¶ááœáẠá€áááá¯áá¬áááºáá¬ááẠáá¯ááºáá¯ááºááŸá¯ááœáẠá¡áá¯ááºáá¯ááºáááºá ááŸá¯ááºááœá±ážááŸá¯ááẠáá¯á¶ááŒá¯á¶áá±ážááᯠáááºá
á±ááŒá®áž áá±áá¯áá»á¡á¬ážááŒáá·áº á¡áá¬á¡á¬ážáá¯á¶ážááᯠáááºáá
áºáááºá ááááºáá±á¬á·á áá®ááá¯ááá
á¹á
ááœá±á¡ááœáẠ(ááá¯ááºááá¯ááºááŸá¯áá¯ááºáá»á
ááááºááᯠáá»áŸá±á¬á·áá»ááá¯á· ááŒá±á¬áá±áá¬áá«) Central Log Management (CLM) á
áá
Ạá¡áá»áá¯ážá¡á
á¬áž á¡á
á¯á¶ááŸááá«áááºá ááá¯á¡ááŒá±á¬ááºáž
- áááºáá»ááºááŸáá·áº áááºáááºážá¡ááºá¡á¬áž ááá·áºáááºáá»ááºáá»á¬ážá áá¯á¶ááŒá¯á¶áá±áž á á±á¬áá·áºááŒáá·áºááŸá¯ ááá¯á¡ááºáá»ááºáá»á¬ážááŸáá·áº áá®ážááŒá¬ážá¡áá¯á¶ážááŒá¯ááŸá¯ ááá¯á¡ááºáá»ááºáá»á¬ážááŸáááá·áºá¡áá« CLM á áœááºážáááºáá»á¬ážááŸáá·áº áááááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá«á
- SIEM ááŒá±ááŸááºážáá»ááºááẠá¡ááœááºá á»á±ážááŒá®ážáá±á¬ ááá¯á·ááá¯áẠááŸá¯ááºááœá±ážááŒá±á¬ááºáž áááºáá±ááŒááá·áºá¡áá« ááŸááºáááºážá á¯áá±á¬ááºážááŒááºážááŸáá·áº ááœá²ááŒááºážá áááºááŒá¬ááá¯ááºá áœááºážááᯠááŒáŸáá·áºáááºááẠCLM ááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºáá«á
- áá¯á¶ááŒá¯á¶áá±ážááá¯ááºáᬠá¡ááŒá áºá¡áá»ááºá á¯á¶á ááºážááŒááºáž/ááœá²ááŒááºážá áááºááŒá¬ááŒááºážááŸáá·áº ááŒáááºážááŒá±á¬ááºááŸá¯ááŸá¬ááœá±ááŒááºážááá¯á·ááᯠáá¶á·ááá¯ážáá±ážáááºá¡ááœáẠáááá±á¬ááºáá±á¬ááá¯ááŸá±á¬ááºááŸá¯á áá»ááºááŒááºáá±á¬ááŸá¬ááœá±ááŸá¯ááŸáá·áº ááá¯ááºáá»á±á¬áá®ááœá±ááŸááá±á¬ á¡ááœááºá¡ááŒááºááŒáá·áº CLM áááááá¬áá»á¬ážááœáẠáááºážááŸá®ážááŒáŸá¯ááºááŸá¶áá«á
- CLM ááŒá±ááŸááºážáá»ááºááᯠáá¡áá±á¬ááºá¡áááºáá±á¬áºáá® áááºááá¯ááºáá±á¬á¡áá»ááºáá»á¬ážááŸáá·áº ááá·áºááœááºážá ááºážá á¬ážááŸá¯áá»á¬ážááᯠááá·áºááœááºážá ááºážá á¬ážááŒá±á¬ááºáž áá±áá»á¬áá«á á±á
á€áá±á¬ááºážáá«ážááœáẠááá¯ááºá
ááºááá°ááŒááºážááá¯ááºáᬠáá»ááºážáááºáá¯á¶ ááœá¬ááŒá¬ážáá»ááºáá»á¬ážá¡ááŒá±á¬ááºáž ááœá±ážááœá±ážáááºááŒá
áºááŒá®ážá áá»áœááºá¯ááºááá¯á·ááẠCLM ááᯠáá¬ážáááºááŒá®áž á€á¡áááºážá áá®ážááŒá¬ážá
áá
áºáá
áºáá¯á¡ááŒá±á¬ááºáž ááœá±ážááœá±ážáá«áááºá
á€áá±á¬ááºážáá«ážáá¡á
ááœááºá áá»áœááºá¯ááºááẠSplunk ááá¯ááºá
ááºá¡ááœááºáá»ááºážáááºááŸá¯á¡áá
áºá¡ááŒá±á¬ááºážááŒá±á¬áá²á·áááºá ááá¯ááºá
ááºá¡áá»áá¯ážá¡á
á¬ážáá»á¬ážááᯠáá¬ážááŸá¬ážáááºážáááŸá¯ááºážáá¬ážáá»á¬ážááŸáá·áº ááŸáá¯ááºážááŸááºááá¯ááºáááºá CPU á¡áá±á¡ááœááºá¡á áá±á¬áºáááºááẠá¡ááá·áºá¡áááºáááŸá ááá®ážá¡ááœá¬á¡áá±ážááŸáá·áº áá¬ááºáá®áá«áá±á¬ á
á»á±ážáááºáá¬áá±á¬ áá¬ážáá
áºá
á®ážááŒá
áºááŒá±á¬ááºáž á
áááºáá°ážááŒáá·áºááŒáá«á
áá¯á·á á¡ááœá¬á¡áá±áž ááá·áºáááºáá»ááºáá»á¬ážáááŸááá² áááºááá·áºáá±áá¬ááá¯á·áááᯠáááºááœá¬ážááá¯ááºáá±á¬áºáááºáž á¡ááœááºáá»ááºááŒááºá
áœá¬ áááœá¬ážááá¯ááºááá·áºá¡ááŒáẠáá
áºáá±á·áá»áŸáẠáá®ááá¯áá®áá¬áá»á¬ážá
áœá¬ááᯠááœáŸááºážááŒá¯á¶ááá¯ááºáááºá áá±áá¬ááá¯ááºá
ááºááẠáá±á·á
ááºááá¯ááºá¡ááœá¬á¡áá±ážáá±á¬áºáááºááŸááá±á¬ á¡á¬ážáá
á¬ážáá¬ážááŸáá·áº áááºáá°áááºá ááá®ážáá±ážááᯠááááºáááŒáẠáá±á¬ááºážááŸááºááá¯ááºáá±á¬áºáááºáž áá±á·á
áẠááá®ážááá¯ááºááá·áºáááºáá»ááºááẠáá»á±á¬áºááœááºáá«á ááá¯ááá¯áá±ážáá±á¬ááºááááºááŒá
áºáá«áááºá
load-based ááá¯ááºá
ááºááá°ááŒááºážá០á¡áá»áá¯ážáá»á±ážáá°ážáááŸááááºá ááẠloaded data á GB á០CPU cores á á¡áááá·áºáá¯á¶ážááŒá
áºááá¯ááºáá±á¬á¡áá»áá¯ážááŸáááẠááá¯á¡ááºáá«áááºá áááºááœá±á·ááœááºá áááºážááẠá¡á±á¬ááºáá«áá²á·ááá¯á· áá
áºá
á¯á¶áá
áºáá¬ááᯠááá¯ááá¯áááºá
- áááºáá¬ážáá±á¬áá±áá¬á¡ááœáẠááŒá áºááá¯ááºáá»á±á¡áááºážáá¯á¶áž á á¯á¶á ááºážáá±ážááŒááºážááŸá¯á¡áá±á¡ááœááºá
- ááŒá áºááá¯ááºáá»á±ááŸááá±á¬ á¡áá¯á¶ážááŒá¯áá°áá»á¬ážá á¡áááºážá á¯ááŸá¬ ááŒá±ááŸááºážáá»ááºááŒá áºáááºá
- áááºááá¯ááºááá»áŸ ááá¯ážááŸááºážááŒá®áž áá¯á¶ááŸááºáá±áá¬á¡ááŒá Ạ(áá±á¬ááºáááºááœá² áá±áá¬áá¯ááºáá±á¬ááºááŒááºážááŸáá·áº ááœá²ááŒááºážá áááºááŒá¬ááŒááºážááœáẠCPU áá¶ááá¬ááᯠááŒá¯ááºážáá®ážáááºáááá¯á¡ááºáá«)á
á€áá±áá¬ááœáẠááŒá¿áá¬á¡ááŸááá¯á¶ážá¡áá¬ááŸá¬ áá¯á¶ááŸááºááŒá¯áá¯ááºáá¬ážáá±á¬ áá±áá¬ááŒá áºáááºá SIEM ááẠá¡ááœá²á·á¡á ááºážáá áºáá¯ááŸá ááŸááºáááºážáá»á¬ážá¡á¬ážáá¯á¶ážááᯠá á¯á ááºážááŸá¯ááŒá áºá á±ááá¯áá«áá ááœá²ááŒááºážá áááºááŒá¬ááŒááºážááŸáá·áº áá¯ááºáá±á¬ááºááŒá®ážáá±á¬áẠáá¯ááºáá±á¬ááºááŒááºážá¡ááœáẠááŒá®ážáá¬ážáá±á¬ááŒáá¯ážá á¬ážá¡á¬ážáá¯ááºááŸá¯ ááá¯á¡ááºáá«áááºá áááºáá¯ááºáááºááá¯ážáááŒáá¯ááœá²á á±ááá·áº áááá¯áá¬ááá¬ááá¯áááºáž á ááºážá á¬ážááá¯á· ááá¯áááºááá¯áᬠááá±á·áá«áá²á·á á¡ááá¯áá¬áá¬áá»á¬ážááŸáá·áº ááá¯á·ááŒá±á¬áá·áº á¡ááá¯áááá¯áááºáá¬áá»á¬áž ááá¯á¡ááºáááºááŒá áºáááºá
Data Volume ááá¯ááºá ááºááẠSIEM á ááœááºážáá²ááá¯á· áá±ážááá¯á·ááá·áº áá±áá¬ááá¬áá¡áá±á«áº á¡ááŒá±áá¶áááºá á¡ááá¯áá±áá¬áááºážááŒá áºáá»á¬ážááẠáá°ááẠ(ááá¯á·ááá¯áẠá¡ááŒá¬ážááœá±ááŒá±áž) ááŒáá·áº á¡ááŒá áºáá±ážáá¶áááŒá®áž áááºážááẠááẠá¡ááŸááºáááẠáá á¯áá±á¬ááºážáá»ááºáá±á¬á¡áá¬ááᯠá ááºážá á¬ážá á±áááºá á€ááá¯ááºá ááºáá¯á¶á á¶ááᯠáá»á±á¬áºááœááºáááºá áááºážááᯠSIEM á áá áºááá¯á· áááá¯ážááœááºážáá® áá±áá¬ááᯠááá¯ááºááá¯ááºáááºá áá±ážáááá¯ážáá® áááºážáá²á·ááá¯á· áá¯á¶ááŸááºááŒá¯áá¯ááºááŒááºážá á¥ááá¬áá áºáá¯ááŸá¬ Elastic Stack ááŸáá·áº á¡ááŒá¬ážáá±á¬ á á®ážááœá¬ážáá±ážááá¯ááºáᬠSIEM áá»á¬ážááŒá áºáááºá
ááááºá¡áá±ááŒáá·áºá á¡áá»áá¯á·áá±á¬áá±áá¬áá»á¬ážááᯠá¡áááºážáááºáá»áŸáá¬ááŒáá¯áááºáá¯ááºáá±á¬ááºááŒááºážááŒáá·áºáᬠá á¯áá±á¬ááºážáááºááá¯á¡ááºááá·áºá¡áá«ááœáẠá¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶ááŒáá·áº ááá¯ááºá ááºáá¯ááºáá±ážááŒááºážááẠáááá±á¬ááºááŸá¯ááŸááááºá ááŸáá·áº volume á¡ááá¯áẠááá¯ááºá ááºááẠááá·áºá¡á¬áž á¡áá¯á¶ážá á¯á¶á á¯áá±á¬ááºážááẠáá¯á¶ážáááœáá·áºááŒá¯áááºááá¯ááºáá«á á¡áááºá¡áááºááŒá±ááŸááºážáá»ááºááᯠááŸá¬ááœá±ááŒááºážááẠá¡á±á¬ááºáá«á á¶ááŸá¯ááºážáá»á¬ážáá®ááá¯á· áŠážáááºáááº-
- áá±áá¬á á¯áá±á«ááºážááŸá¯ááᯠááá¯ážááŸááºážá á±ááŒá®áž áá¯á¶ááŸááºááŒá áºá á±áááºá
- áá°áá¶ááŒá®áž á¡áá±ážááŒá®ážáá¯á¶ážáá±áá¬ááᯠá á áºáá¯ááºááŒááºážá
- ááœá²ááŒááºážá áááºááŒá¬ááá¯ááºá áœááºážáá»á¬áž áá±ážáá±á¬ááºááŒááºážá
- á á áºáá¯ááºááŒá®áž áá¯á¶ááŸááºáá±áá¬ááᯠSIEM ááá¯á· ááá¯á·áá«á
ááááºá¡áá±ááŒáá·áº áá áºááŸáẠSIEM á áá áºáá»á¬ážááẠáá¯ááºáá±á¬ááºááŒááºážááœáẠáá±á¬ááºááẠCPU áá«áá«ááᯠááŒá¯ááºážáá®ážáá±ááẠáááá¯á¡ááºáá² ááŒá áºáá»ááºáá±ááá·áºá¡áá¬áá»á¬ážááᯠááŒááºááá¯ááºá áœááºážááᯠáá»áŸá±á¬á·áá»ááŒááºážáááŸááá² á¡áá±ážááŒá®ážáá¯á¶ážááŒá áºáááºáá»á¬ážááá¯áᬠááœá²ááŒá¬ážáááºááŸááºááŒááºážá០á¡áá»áá¯ážáá»á±ážáá°ážáááŸáááá¯ááºáááºááŒá áºáááºá
á¡áá±á¬ááºážáá¯á¶ážááá±á¬á·á ááá¯áá²á·ááá¯á·áá±á¬ á¡áááºáááºážáá±á¬á·ááºáá²ááŒá±ááŸááºážáá»ááºááẠá¡áá¹ááá¬ááºááŸáááá¯ááºáá±á¬ áá¯ááºáá±á¬ááºááŸá¯áá»á¬ážááááºáá±á¬ááºááŸá¯ááᯠáá»áŸá±á¬á·áá»áááºááŸáá·áº SIEM ááá¯á· á¡áá¯á¶ážáááºááŒá®áž ááá¯ážááŸááºážáá±á¬áá±áá¬ááá¬ááá áºáá¯á¡ááŒá Ạá¡ááŒá áºá¡áá»ááºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠá á¯á ááºážááẠá¡áá»áááºááŸáá·áºáááŒá±ážáá® áá±á¬ááºááŸááºážááŸá¯ááŸáá·áº áá¯á¶á·ááŒááºááŸá¯á áœááºážáááºáá»á¬ážááá¯áááºáž áá±ážá áœááºážááá·áºáá«áááºá áá±á¬ááºážááŒá®á ááá¯á·áá±á¬áẠSIEM ááᯠáá±á«ááºážá ááºážááŸá¯á áááºá ááºááŸá¯ááŸáá·áº ááááá±ážáá»áẠáá¯ááºáááºážá ááºáá»á¬ážááᯠáááºáá®ážááẠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá
áá°áá®áá±á¬ áá»áŸáá¯á·ááŸááºáááºážááŒááºáá±á¬ á¡áááºá¡áááºááŒá±ááŸááºážáá»ááºááẠáá±á¬ááºážáá«ážá¡á ááœáẠáá±á¬áºááŒáá²á·ááá·áº CLM ááŸááœá²á á¡ááŒá¬ážááá¯ááºáá±á Gartner á áá«ááá¯ááŒááºáá¯á¶áá«áá²á
ááá¯ááœáẠInTrust ááẠGartner á¡ááŒá¶ááŒá¯áá»ááºáá»á¬ážááᯠáááºáá²á·ááá¯á· ááá¯ááºáá¬áááºááᯠáááºááŸá¬ááœá±ááá¯ááºáááº-
- ááááºážáááºážááẠááá¯á¡ááºáá±á¬ ááá¬áááŸáá·áº áá±áá¬á¡áá»áá¯ážá¡á á¬ážáá»á¬ážá¡ááœáẠáááá±á¬ááºáá±á¬ ááá¯ááŸá±á¬ááºááŸá¯á
- ááŒáá·áºáá¬ážáá±á¬ááŸá¬ááœá±ááŸá¯ááŒááºááŸá¯ááºážá
- Visualization á áœááºážáááºáá»á¬ážááẠá¡ááŒá±áᶠCLM ááá¯á¡ááºáááºááá¯ááºáá±á¬áºáááºáž ááŒáááºážááŒá±á¬ááºááŸá¯ááŸá¬ááœá±ááŒááºážááẠáá¯á¶ááŒá¯á¶áá±ážááŸáá·áº áá±áá¬ááœá²ááŒááºážá áááºááŒá¬ááŸá¯á¡ááœáẠBI á áá áºáá²á·ááá¯á·ááŒá áºáááºá
- á¡áá¯á¶ážáááºáá±á¬ áááºá ááºá¡áá»ááºá¡áááºáá»á¬áž (áááá®áááºáá±áá¬ááŸáá·áº á¡ááŒá¬ážá¡áá¬áá»á¬ážáá²á·ááá¯á·) áá±áá¬áá¯ááºááŒááºážáá»á¬ážááᯠááŒáœááºáá á±ááẠáá±áá¬ááŒáá·áºááœááºážááŒááºážá
Quest InTrust ááẠCLM ááŸáá·áº SIEM á áá áºáá»á¬ážá¡ááœáẠááá¯ááŸá±á¬ááºááŸá¯á¡áá±á«áºááá¯ááºážááᯠáá»áŸá±á¬á·áá»áá±ážááá·áº 40:1 áá±áá¬áá»á¯á¶á·ááŸá¯ ááŸáá·áº ááŒááºááŸá¯ááºážááŒáá·áº áááºáá°ááŸá¯ááá¯á·á¡áá áááºážáááá¯ááºááá¯ááºááá¯ááŸá±á¬ááºááŸá¯á áá áºááᯠá¡áá¯á¶ážááŒá¯áááºá
google-like search ááŒáá·áº IT Security Search console
á¡áá°ážááŒá¯ web-based IT Security Search (ITSS) module áá áºáá¯ááẠInTrust repository ááŸá ááŒá áºáááºáá±áá¬ááŸáá·áº áá»áááºáááºááá¯ááºááŒá®áž ááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬ážááᯠááŸá¬ááœá±áááºá¡ááœáẠááá¯ážááŸááºážáá±á¬ á¡ááºáá¬áá±á·á áºááᯠáá¶á·ááá¯ážáá±ážáá«áááºá á¡ááºáá¬áá±á·á áºááẠááŒá áºáááºááŸááºáááºážáá±áá¬á¡ááœáẠGoogle áá²á·ááá¯á· áá¯ááºáá±á¬ááºááá·áºá¡áá»ááºá¡áá ááá¯ážááŸááºážáá«áááºá ITSS ááẠáá±ážááŒááºážááŸá¯ááááºáá»á¬ážá¡ááœáẠá¡áá»áááºááá¬ážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áᬠááŒá áºáááºáááºáááºáá»á¬ážááᯠáá±á«ááºážá ááºážááá¯ááºááŒá®áž á¡á¯ááºá á¯ááœá²á·áᬠááŒáááºážááŒá±á¬ááºááŸá¯ááŸá¬ááœá±ááŒááºážááœáẠáááááá±á¬ááºáá±á¬áẠáá°áá®áá±ážáá«áááºá
InTrust ááẠWindows ááŒá áºáááºáá»á¬ážááᯠáá¯á¶ááŒá¯á¶áá±áž ááœá²ááŒá¬ážáááºááŸááºááŸá¯áá»á¬ážá ááá¯ááºá¡áááºáá»á¬ážááŸáá·áº áá¯á¶ááŒá¯á¶áá±áž á¡áá±á¬áá·áºáááºááŸá¯ áááºááŸááºáá»ááºáá»á¬ážááŒáá·áº ááŒáœááºáá á±áááºá InTrust ááẠááá¯ážááŸááºážáá±á¬ W6 schema (Who, What, Where, Whom and Where From) á០á¡ááŒá áºá¡áá»ááºáá»á¬ážááᯠáá¯á¶ááŸááºááŒá áºá¡á±á¬áẠááŒá¯áá¯ááºáá±ážáááºá ááá¯á·ááŸáᬠááá°áá®áá±á¬ á¡áááºážá¡ááŒá áºáá»á¬áž (Windows áá¬ááááŒá áºáááºáá»á¬ážá Linux ááŸááºáááºážáá»á¬áž ááá¯á·ááá¯áẠsyslog) ááá¯áá±á¬áºáááºáá áºáá¯áááºážááŸáá·áº áá áºáá¯áááºážááœáẠááŒááºááœá±á·ááá¯ááºáááºááŒá áºáááºá search console
InTrust ááẠá¡áá»áááºááŸáá·áºáááŒá±ážáá® ááááá±ážáá»ááºá áá±á¬ááºááŸááºážááŸá¯ááŸáá·áº áá¯á¶á·ááŒááºááŸá¯á áœááºážáááºáá»á¬ážááᯠáá¶á·ááá¯ážáá±ážáá¬ážááŒá®áž áá¶ááááŒá áºááœááºáá¯ááºáá±á¬ááºáá»ááºááŒá±á¬áá·áº áá»ááºá á®ážáá¯á¶ážááŸá¯á¶ážááŸá¯ á¡áááºážáá¯á¶ážááŒá áºá¡á±á¬áẠEDR áá²á·ááá¯á· á áá áºáá áºáá¯á¡ááŒá Ạá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá áááºáááºáá¬ážáá±á¬ áá¯á¶ááŒá¯á¶áá±ážá ááºážáá»ááºážáá»á¬ážááᯠááááŸáááá¯ááºáá±á¬áºáááºáž á¡á±á¬ááºáá«ááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬ážááœáẠá¡ááá·áºá¡áááºáááŸááá«-
- á áá¬ážááŸááºááŒááºážááŒááºážá
- Kerberoastingá
- Mimikatz ááᯠáá¯ááºáá±á¬ááºááŒááºážáá²á·ááá¯á·áá±á¬ áá¶ááááŒá áºááœáẠPowerShell áá¯ááºáá±á¬ááºáá»ááºá
- áá¶ááááŒá áºá ááºáá»á¬áž á¥ááᬠLokerGoga ransomwareá
- CA4FS ááŸááºáááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á áá¯ááºááŸááºááŒááºáž
- á¡áá¯ááºáá¯á¶áá»á¬ážááœáẠá¡ááœáá·áºáá°ážáá¶á¡áá±á¬áá·áºáá áºáá¯ááŒáá·áº áááºáá±á¬ááºáá«á
- á áá¬ážááŸááºááᯠááá·áºááŸááºážááá¯ááºááá¯ááºááŸá¯áá»á¬ážá
- áá±ááá¶á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá á¯áá»á¬ážááᯠáá¶ááááŒá áºááœááºá¡áá¯á¶ážááŒá¯ááŸá¯á
ááᯠáá»áœááºá¯ááºááẠááá·áºá¡á¬áž InTrust ááá¯ááºááá¯ááºá áááºáá¬ážááŒááºáá¯á¶á¡áá»áá¯á·ááᯠááŒááá±ážáááºááŒá áºáá±á¬ááŒá±á¬áá·áº áááºážáá áœááºážáááºáá»á¬ážááᯠáááºáá¶á á¬ážááŒáá·áºááá¯ááºáááºááŒá áºáááºá
ááŒá
áºááá¯ááºáá»á±ááŸááá±á¬ á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠááŸá¬ááœá±ááẠááŒáá¯áááºáááºááŸááºáá¬ážáá±á¬ á
á
áºáá¯ááºááŸá¯áá»á¬áž
áá±áá¬á¡ááŒááºážá
á¯áá±á¬ááºážááŒááºážá¡ááœáẠá
á
áºáá¯ááºááŸá¯á¡á
á¯áá
áºáá¯á á¥ááá¬
ááŒá
áºáááºáá
áºáá¯á¡áá±á«áº áá¯á¶á·ááŒááºááŸá¯áááºáá®ážááẠáá¯á¶ááŸááºá¡áá¯á¶ážá¡ááŸá¯ááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºáž á¥ááá¬
PowerShell á¡á¬ážáááºážáá»ááºááŸá¬ááœá±ááŸá¯á
ááºážáá»ááºážááŸáá·áºá¡áá° ááá°áá¬
á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠáá±á¬áºááŒáá»ááºáá«ááŸááá±á¬ á¡ááááá¬á¡ááŒá±áá¶
InTrust ááẠá¡áááºááœááºáá±á¬áºááŒáá¬ážááá·áºá¡ááá¯ááºáž áá®ážááŒá¬ážááŒá±ááŸááºážáá»ááºáá áºáá¯á¡ááŒá Ạááá¯á·ááá¯áẠSIEM á áá áºááá áºá áááºáá áºááá¯ááºážá¡ááŒá Ạá¡áá¯á¶ážááŒá¯ááá¯ááºááá·áº á¡á áœááºážáááºáá±á¬áááááá¬áá áºáá¯ááŒá áºáááºá á€ááŒá±ááŸááºážáá»ááºá á¡áááá¡á¬ážáá¬áá»ááºááŸá¬ áááºáááºááŒá®ážáá±á¬áẠáá»ááºáá»ááºážá áááºá¡áá¯á¶ážááŒá¯ááá¯ááºáá±á¬ááŒá±á¬áá·áº ááŒá áºáá±á¬ááºážááŒá áºááá¯ááºáááºá InTrust ááœáẠááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬ážááᯠáá±á¬ááºááŸááºážáááºááŸáá·áº áááºážááá¯á·á¡á¬áž áá¯á¶á·ááŒááºááẠá ááºážáá»ááºážáá»á¬áž (á¥ááá¬á á¡áá¯á¶ážááŒá¯áá°áá áºáŠážááᯠááááºááá¯á·ááŒááºáž) ááœáẠááŒá®ážáá¬ážáá±á¬ á á¬ááŒáá·áºááá¯ááºáá áºáᯠááŸááááºá
áá±á¬ááºážáá«ážááœáẠáá»áœááºá¯ááºááẠáá¯ááºááá¯ážáá¬ážáá±á¬ áá±á«ááºážá ááºááŸá¯áá»á¬ážá¡ááŒá±á¬ááºáž áááŒá±á¬áá²á·áá«á ááá¯á·áá±á¬áº áááºáááºááŒá®ážááŒá®ážáá»ááºážá áááºááẠSplunká IBM QRadará Microfocus Arcsight ááá¯á· á¡ááŒá áºá¡áá»ááºáá»á¬ážááᯠwebhook ááŸáááá·áº áá±ážááá¯á·ááŒááºážááᯠáááºá á®á ááºááá¯ááºáá«áááºá á¡á±á¬ááºááœáẠInTrust á០ááŒá áºáááºáá»á¬ážáá«ááŸááá±á¬ Kibana interface á á¥ááá¬áá áºáá¯ááŒá áºáááºá Elastic Stack ááŸáá·áº áá±á«ááºážá ááºááŒá®ážáá¬ážááŒá áºááŒá®ážá Elastic á á¡ááá²á·áá¬ážááŸááºážááᯠáááºá¡áá¯á¶ážááŒá¯áá«áá InTrust ááẠááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬ážááᯠáá±á¬áºáá¯ááºáááºá ááŒáá¯áááºááááá±ážáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááŒááºážááŸáá·áº ááááá±ážáá»ááºáá»á¬ážáá±ážááá¯á·ááŒááºážá¡ááœáẠáááááá¬áá áºáá¯á¡ááŒá Ạá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá
áá±á¬ááºážáá«ážááẠá€áá¯ááºáá¯ááºááŸáá·áº áááºáááºá á¡áááºážáááºáá»áŸáá±á¬ á¡ááŒá¶á¥á¬ááºáá±ážáááºáᯠáá»áŸá±á¬áºááá·áºáá«áááºá á
ááºážáááºááŒááºáž ááá¯á·ááá¯áẠááŸá±á·ááŒá±ážááá±á¬áá»ááºáá
áºáá¯áá¯ááºáá±á¬ááºáááºá¡ááœáẠááá·áºá¡á¬áž InTrust ááᯠáá±ážá¡ááºááẠáá»áœááºá¯ááºááá¯á· á¡ááá·áºááŸááá«áááºá áá»áŸá±á¬ááºááœáŸá¬ááŸá¬áá»ááºáá¬ážááá¯ááºáá«áááºá
ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážááá¯ááºáᬠáá»áœááºá¯ááºááá¯á·á á¡ááŒá¬ážáá±á¬ááºážáá«ážáá»á¬ážááᯠáááºááŸá¯áá«-
source: www.habr.com