🥇कसरी SIEM प्रणालीको स्वामित्वको लागत घटाउने र तपाईंलाई किन केन्द्रीय लग व्यवस्थापन (CLM) चाहिन्छ

केही समय अघि, Splunk ले अर्को इजाजतपत्र मोडेल थप्यो - पूर्वाधार-आधारित इजाजतपत्र (अब ती मध्ये तीन छन्)। तिनीहरू Splunk सर्भरहरू अन्तर्गत CPU कोरहरूको संख्या गणना गर्छन्। इलास्टिक स्ट्याक इजाजतपत्रसँग धेरै मिल्दोजुल्दो, तिनीहरूले Elasticsearch नोडहरूको संख्या गणना गर्छन्। SIEM प्रणालीहरू परम्परागत रूपमा महँगो हुन्छन् र सामान्यतया त्यहाँ धेरै तिर्ने र धेरै तिर्ने बीचको विकल्प हुन्छ। तर, यदि तपाइँ केहि सरलता प्रयोग गर्नुहुन्छ भने, तपाइँ समान संरचना भेला गर्न सक्नुहुन्छ।

यो डरलाग्दो देखिन्छ, तर कहिलेकाहीँ यो वास्तुकला उत्पादनमा काम गर्दछ। जटिलताले सुरक्षालाई मार्छ, र, सामान्यतया, सबैलाई मार्छ। वास्तवमा, त्यस्ता अवस्थाहरूको लागि (म स्वामित्वको लागत घटाउने बारे कुरा गर्दैछु) त्यहाँ प्रणालीहरूको सम्पूर्ण वर्ग छ - केन्द्रीय लग व्यवस्थापन (CLM)। यसको बारेमा गार्टनर लेख्छन्, तिनीहरूलाई कम मूल्याङ्कन मा विचार। यहाँ तिनीहरूका सिफारिसहरू छन्:

CLM क्षमताहरू र उपकरणहरू प्रयोग गर्नुहोस् जब त्यहाँ बजेट र कर्मचारी अवरोधहरू, सुरक्षा निगरानी आवश्यकताहरू, र विशेष प्रयोग केस आवश्यकताहरू छन्।
SIEM समाधान धेरै महँगो वा जटिल साबित हुँदा लग सङ्कलन र विश्लेषण क्षमताहरू बढाउन CLM लागू गर्नुहोस्।
सुरक्षा घटना अनुसन्धान/विश्लेषण सुधार गर्न र खतरा शिकारलाई समर्थन गर्न कुशल भण्डारण, द्रुत खोज र लचिलो भिजुअलाइजेसनको साथ CLM उपकरणहरूमा लगानी गर्नुहोस्।
CLM समाधान लागू गर्नु अघि लागू हुने कारक र विचारहरूलाई ध्यानमा राखिएको सुनिश्चित गर्नुहोस्।

यस लेखमा हामी इजाजतपत्रको दृष्टिकोणमा भिन्नताहरूको बारेमा कुरा गर्नेछौं, हामी CLM बुझ्नेछौं र यस वर्गको विशिष्ट प्रणालीको बारेमा कुरा गर्नेछौं - क्वेस्ट InTrust। कट अन्तर्गत विवरणहरू।

यस लेखको सुरुमा, मैले स्प्लङ्क इजाजतपत्रको नयाँ दृष्टिकोणको बारेमा कुरा गरें। इजाजतपत्रका प्रकारहरू कार भाडा दरहरूसँग तुलना गर्न सकिन्छ। कल्पना गरौं कि मोडेल, CPU को संख्या को मामला मा, असीमित माइलेज र पेट्रोल संग एक आर्थिक कार हो। तपाईं कुनै पनि दूरी प्रतिबन्ध बिना जान सक्नुहुन्छ, तर तपाईं धेरै छिटो जान सक्नुहुन्न र, तदनुसार, दिनमा धेरै किलोमिटर कभर गर्नुहोस्। डाटा इजाजतपत्र दैनिक माइलेज मोडेलको साथ खेलकुद कार जस्तै छ। तपाईं लामो दूरीमा लापरवाही रूपमा ड्राइभ गर्न सक्नुहुन्छ, तर तपाईंले दैनिक माइलेज सीमा नाघेको लागि थप तिर्नुपर्नेछ।

लोड-आधारित इजाजतपत्रबाट लाभ उठाउन, तपाईंसँग CPU कोरको GB डाटा लोड गरिएको न्यूनतम अनुपात हुन आवश्यक छ। व्यवहारमा यसको अर्थ केहि जस्तै:

लोड गरिएको डाटामा क्वेरीहरूको सबैभन्दा सानो सम्भावित संख्या।
समाधानको सम्भावित प्रयोगकर्ताहरूको सबैभन्दा सानो संख्या।
सकेसम्म सरल र सामान्यीकृत डाटा (ताकि पछिको डाटा प्रशोधन र विश्लेषणमा CPU चक्रहरू बर्बाद गर्न आवश्यक छैन)।

यहाँ सबैभन्दा समस्याग्रस्त कुरा सामान्यीकृत डाटा हो। यदि तपाइँ SIEM लाई संगठनमा सबै लगहरूको एग्रीगेटर बनाउन चाहनुहुन्छ भने, यसलाई पार्सिङ र पोस्ट-प्रोसेसिङमा ठूलो परिश्रमको आवश्यकता पर्दछ। नबिर्सनुहोस् कि तपाईंले वास्तुकलाको बारेमा पनि सोच्न आवश्यक छ जुन लोड अन्तर्गत अलग हुनेछैन, अर्थात्। थप सर्भरहरू र त्यसैले थप प्रोसेसरहरू आवश्यक पर्नेछ।

डाटा भोल्युम लाइसेन्सिङ डाटाको मात्रामा आधारित हुन्छ जुन SIEM को maw मा पठाइन्छ। डेटाको अतिरिक्त स्रोतहरू रूबल (वा अन्य मुद्रा) द्वारा दण्डनीय छन् र यसले तपाईंलाई वास्तवमै सङ्कलन गर्न नचाहेको कुरा सोच्न बाध्य बनाउँछ। यस इजाजतपत्र मोडेललाई आउटविट गर्न, तपाईले डेटालाई SIEM प्रणालीमा इन्जेक्ट गर्नु अघि काट्न सक्नुहुन्छ। इंजेक्शन अघि यस्तो सामान्यीकरण को एक उदाहरण लोचदार स्ट्याक र केहि अन्य व्यावसायिक SIEMs हो।

नतिजाको रूपमा, हामीसँग छ कि पूर्वाधारद्वारा इजाजतपत्र प्रभावकारी हुन्छ जब तपाईंले न्यूनतम पूर्व-प्रक्रियाको साथ केही डेटा मात्र सङ्कलन गर्न आवश्यक हुन्छ, र भोल्युमद्वारा इजाजतपत्रले तपाईंलाई सबै कुरा सङ्कलन गर्न अनुमति दिँदैन। मध्यवर्ती समाधानको खोजीले निम्न मापदण्डहरूमा जान्छ:

डाटा एकत्रीकरण र सामान्यीकरण सरल बनाउनुहोस्।
शोर र कम महत्त्वपूर्ण डेटा को फिल्टरिंग।
विश्लेषण क्षमताहरू प्रदान गर्दै।
SIEM मा फिल्टर गरिएको र सामान्यीकृत डाटा पठाउनुहोस्

नतिजाको रूपमा, लक्षित SIEM प्रणालीहरूले प्रशोधनमा अतिरिक्त CPU पावर बर्बाद गर्न आवश्यक पर्दैन र के भइरहेको छ भन्नेमा दृश्यता कम नगरी मात्र सबैभन्दा महत्त्वपूर्ण घटनाहरू पहिचान गर्नबाट फाइदा लिन सक्छ।

आदर्श रूपमा, यस्तो मिडलवेयर समाधानले वास्तविक-समय पत्ता लगाउने र प्रतिक्रिया क्षमताहरू पनि प्रदान गर्नुपर्दछ जुन सम्भावित खतरनाक गतिविधिहरूको प्रभावलाई कम गर्न र घटनाहरूको सम्पूर्ण स्ट्रिमलाई SIEM तर्फ डाटाको उपयोगी र सरल मात्रामा जम्मा गर्न प्रयोग गर्न सकिन्छ। ठीक छ, त्यसपछि SIEM थप एकत्रीकरण, सहसंबंध र सतर्क प्रक्रियाहरू सिर्जना गर्न प्रयोग गर्न सकिन्छ।

त्यही रहस्यमय मध्यवर्ती समाधान CLM बाहेक अरू कुनै होइन, जुन मैले लेखको सुरूमा उल्लेख गरेको छु। गार्टनरले यसलाई कसरी हेर्छन्:

अब तपाईं कसरी InTrust गार्टनर सिफारिसहरूको पालना गर्दछ भनेर पत्ता लगाउन प्रयास गर्न सक्नुहुन्छ:

भण्डारण गर्न आवश्यक डेटाको मात्रा र प्रकारहरूको लागि कुशल भण्डारण।
उच्च खोज गति।
भिजुअलाइजेशन क्षमताहरू आधारभूत CLM लाई चाहिने कुरा होइन, तर खतरा शिकार भनेको सुरक्षा र डाटा एनालिटिक्सको लागि BI प्रणाली जस्तै हो।
उपयोगी सान्दर्भिक डेटा (जस्तै भौगोलिक स्थान र अन्य) संग कच्चा डाटा समृद्ध गर्न डाटा संवर्धन।

Quest InTrust ले 40:1 डाटा कम्प्रेसन र उच्च-गति डुप्लिकेशनको साथ आफ्नै भण्डारण प्रणाली प्रयोग गर्दछ, जसले CLM र SIEM प्रणालीहरूको लागि भण्डारण ओभरहेड घटाउँछ।

IT सुरक्षा खोज कन्सोल गुगल जस्तै खोज संग

एक विशेष वेब-आधारित IT सुरक्षा खोज (ITSS) मोड्युलले InTrust भण्डारमा घटना डेटामा जडान गर्न सक्छ र खतराहरू खोज्नको लागि सरल इन्टरफेस प्रदान गर्दछ। इन्टरफेसलाई बिन्दुमा सरलीकृत गरिएको छ कि यसले घटना लग डेटाको लागि Google जस्तै कार्य गर्दछ। ITSS ले क्वेरी परिणामहरूको लागि टाइमलाइनहरू प्रयोग गर्दछ, घटना क्षेत्रहरू मर्ज गर्न र समूहबद्ध गर्न सक्छ, र प्रभावकारी रूपमा खतरा शिकारमा मद्दत गर्दछ।

InTrust ले सुरक्षा पहिचानकर्ताहरू, फाइल नामहरू, र सुरक्षा लगइन पहिचानकर्ताहरूसँग Windows घटनाहरूलाई समृद्ध बनाउँछ। InTrust ले घटनाहरूलाई सामान्य W6 स्कीमा (को, के, कहाँ, कहिले, कस र कहाँबाट) लाई सामान्य बनाउँछ ताकि विभिन्न स्रोतहरू (विन्डोज नेटिभ घटनाहरू, लिनक्स लगहरू वा syslog) बाट डाटा एकल ढाँचामा र एकलमा देख्न सकियोस्। खोज कन्सोल।

InTrust ले वास्तविक-समय सतर्कता, पत्ता लगाउने र प्रतिक्रिया क्षमताहरूलाई समर्थन गर्दछ जुन संदिग्ध गतिविधिबाट हुने क्षतिलाई कम गर्न EDR-जस्तो प्रणालीको रूपमा प्रयोग गर्न सकिन्छ। बिल्ट-इन सुरक्षा नियमहरूले निम्न खतराहरू पत्ता लगाउँछन्, तर सीमित छैनन्:

पासवर्ड स्प्रे गर्दै।
Kerberoasting।
संदिग्ध PowerShell गतिविधि, जस्तै Mimikatz को कार्यान्वयन।
संदिग्ध प्रक्रियाहरू, उदाहरणका लागि, LokerGoga ransomware।
CA4FS लगहरू प्रयोग गरेर गुप्तिकरण।
कार्यस्थानहरूमा विशेषाधिकार प्राप्त खाताको साथ लगइनहरू।
पासवर्ड अनुमान आक्रमणहरू।
स्थानीय प्रयोगकर्ता समूहहरूको संदिग्ध प्रयोग।

अब म तपाईंलाई InTrust को केहि स्क्रिनसटहरू देखाउनेछु ताकि तपाईं यसको क्षमताहरूको प्रभाव प्राप्त गर्न सक्नुहुनेछ।

सम्भावित कमजोरीहरूको खोजी गर्न पूर्वनिर्धारित फिल्टरहरू

कच्चा डाटा सङ्कलनका लागि फिल्टरहरूको सेटको उदाहरण

घटनाको प्रतिक्रिया सिर्जना गर्न नियमित अभिव्यक्तिहरू प्रयोग गर्ने एउटा उदाहरण

PowerShell भेद्यता खोज नियमको साथ उदाहरण

कमजोरीहरूको विवरणको साथ निर्मित ज्ञान आधार

InTrust एक शक्तिशाली उपकरण हो जुन स्ट्यान्डअलोन समाधानको रूपमा वा SIEM प्रणालीको भागको रूपमा प्रयोग गर्न सकिन्छ, जस्तै मैले माथि वर्णन गरें। सायद यस समाधानको मुख्य फाइदा यो हो कि तपाइँ यसलाई स्थापना पछि तुरुन्तै प्रयोग गर्न सुरु गर्न सक्नुहुन्छ, किनभने InTrust सँग धम्कीहरू पत्ता लगाउन र तिनीहरूलाई प्रतिक्रिया दिनका लागि नियमहरूको ठूलो पुस्तकालय छ (उदाहरणका लागि, प्रयोगकर्तालाई रोक लगाउने)।

लेखमा मैले बक्सबद्ध एकीकरणको बारेमा कुरा गरेन। तर स्थापना पछि तुरुन्तै, तपाइँ घटनाहरू Splunk, IBM QRadar, Microfocus Arcsight, वा कुनै अन्य प्रणालीमा वेबहुक मार्फत पठाउने कन्फिगर गर्न सक्नुहुन्छ। तल InTrust बाट घटनाहरु संग Kibana इन्टरफेस को एक उदाहरण छ। इलास्टिक स्ट्याकसँग पहिले नै एकीकरण छ र, यदि तपाइँ इलास्टिकको नि: शुल्क संस्करण प्रयोग गर्नुहुन्छ भने, InTrust लाई खतराहरू पहिचान गर्न, सक्रिय सतर्कताहरू प्रदर्शन गर्न र सूचनाहरू पठाउनको लागि एक उपकरणको रूपमा प्रयोग गर्न सकिन्छ।

मलाई आशा छ कि लेखले यस उत्पादनको बारेमा न्यूनतम विचार दियो। हामी तपाईंलाई परीक्षण वा पाइलट परियोजना सञ्चालन गर्न InTrust दिन तयार छौं। आवेदन मा छोड्न सकिन्छ प्रतिक्रिया फारम हाम्रो वेबसाइट मा।

सूचना सुरक्षामा हाम्रा अन्य लेखहरू पढ्नुहोस्:

हामीले ransomware आक्रमण पत्ता लगाउँछौं, डोमेन नियन्त्रकमा पहुँच प्राप्त गर्छौं र यी आक्रमणहरूको प्रतिरोध गर्ने प्रयास गर्छौं

Windows-आधारित वर्कस्टेशनको लगहरूबाट कुन उपयोगी चीजहरू निकाल्न सकिन्छ? (लोकप्रिय लेख)

चिमटा वा डक्ट टेप बिना प्रयोगकर्ताहरूको जीवनचक्र ट्र्याक गर्दै

कसले गर्यो? हामी सूचना सुरक्षा अडिटहरू स्वचालित गर्छौं

स्रोत: www.habr.com

SIEM प्रणालीको स्वामित्वको लागत कसरी घटाउने र किन तपाईंलाई केन्द्रीय लग व्यवस्थापन (CLM) चाहिन्छ।

एक टिप्पणी थप्न Отменить ответ