Hoe u de eigendomskosten van een SIEM-systeem kunt verlagen en waarom u Central Log Management (CLM) nodig heeft

Nog niet zo lang geleden heeft Splunk een ander licentiemodel toegevoegd: op infrastructuur gebaseerde licenties (nu zijn het er drie). Ze tellen het aantal CPU-cores onder Splunk-servers. Zeer vergelijkbaar met Elastic Stack-licenties, tellen ze het aantal Elasticsearch-knooppunten. SIEM-systemen zijn traditioneel duur en meestal is er een keuze tussen veel betalen of veel betalen. Maar als je wat vindingrijkheid gebruikt, kun je een soortgelijke structuur samenstellen.

Het ziet er griezelig uit, maar soms werkt deze architectuur in productie. Complexiteit doodt de veiligheid, en in het algemeen alles. In feite is er voor dergelijke gevallen (ik heb het over het verlagen van de eigendomskosten) een hele klasse systemen: Central Log Management (CLM). Over het schrijft Gartner, omdat ze ondergewaardeerd zijn. Dit zijn hun aanbevelingen:

• Gebruik CLM-mogelijkheden en -tools als er sprake is van budget- en personeelsbeperkingen, vereisten voor beveiligingsmonitoring en specifieke gebruiksvereisten.
• Implementeer CLM om de mogelijkheden voor het verzamelen en analyseren van logboeken te verbeteren wanneer een SIEM-oplossing te duur of te complex blijkt.
• Investeer in CLM-tools met efficiënte opslag, snel zoeken en flexibele visualisatie om het onderzoek/analyse van beveiligingsincidenten te verbeteren en het opsporen van bedreigingen te ondersteunen.
• Zorg ervoor dat er rekening wordt gehouden met toepasselijke factoren en overwegingen voordat u een CLM-oplossing implementeert.

In dit artikel zullen we praten over de verschillen in benaderingen van licentieverlening, we zullen CLM begrijpen en praten over een specifiek systeem van deze klasse - Zoektocht In Vertrouwen. Details onder de snit.

Aan het begin van dit artikel sprak ik over de nieuwe aanpak van Splunk-licenties. Soorten licenties kunnen worden vergeleken met autoverhuurtarieven. Laten we ons voorstellen dat het model, in termen van het aantal CPU's, een zuinige auto is met onbeperkte kilometers en benzine. Je kunt overal heen gaan zonder afstandsbeperkingen, maar je kunt niet erg snel gaan en daarom vele kilometers per dag afleggen. Datalicenties zijn vergelijkbaar met een sportwagen met een dagelijks kilometerstandmodel. U kunt roekeloos over lange afstanden rijden, maar u moet meer betalen als u de dagelijkse kilometerlimiet overschrijdt.

Om te kunnen profiteren van op belasting gebaseerde licenties, moet u over de laagst mogelijke verhouding CPU-kernen per GB aan geladen gegevens beschikken. In de praktijk betekent dit zoiets als:

• Het kleinst mogelijke aantal queries op de geladen gegevens.
• Het kleinst mogelijke aantal gebruikers van de oplossing.
• Zo eenvoudig en genormaliseerd mogelijke gegevens (zodat er geen noodzaak is om CPU-cycli te verspillen aan daaropvolgende gegevensverwerking en -analyse).

Het meest problematische hier zijn de genormaliseerde gegevens. Als je wilt dat een SIEM een aggregator is van alle logboeken in een organisatie, vergt dit een enorme hoeveelheid inspanning bij het parseren en nabewerken. Vergeet niet dat je ook moet nadenken over een architectuur die niet uit elkaar valt onder belasting, d.w.z. Er zijn extra servers en dus extra processors nodig.

Licentie voor datavolumes is gebaseerd op de hoeveelheid data die naar de dataruimte van de SIEM wordt gestuurd. Extra gegevensbronnen worden bestraft met de roebel (of een andere valuta) en dit zet je aan het denken over wat je eigenlijk niet wilde verzamelen. Om dit licentiemodel te slim af te zijn, kunt u de gegevens bijten voordat deze in het SIEM-systeem worden geïnjecteerd. Een voorbeeld van een dergelijke normalisatie vóór injectie is Elastic Stack en enkele andere commerciële SIEM's.

Het resultaat is dat licentieverlening per infrastructuur effectief is als u alleen bepaalde gegevens hoeft te verzamelen met minimale voorbewerking, en dat licentieverlening per volume u niet in staat stelt om helemaal alles te verzamelen. De zoektocht naar een tussenoplossing leidt tot de volgende criteria:

• Vereenvoudig de aggregatie en normalisatie van gegevens.
• Filtering van luidruchtige en minst belangrijke gegevens.
• Het bieden van analysemogelijkheden.
• Verzend gefilterde en genormaliseerde gegevens naar SIEM

Als gevolg hiervan hoeven doel-SIEM-systemen geen extra CPU-kracht te verspillen aan verwerking en kunnen ze profiteren van het identificeren van alleen de belangrijkste gebeurtenissen zonder de zichtbaarheid van wat er gebeurt te verminderen.

Idealiter zou een dergelijke middleware-oplossing ook realtime detectie- en responsmogelijkheden moeten bieden die kunnen worden gebruikt om de impact van potentieel gevaarlijke activiteiten te verminderen en de hele stroom van gebeurtenissen samen te voegen tot een bruikbare en eenvoudige hoeveelheid gegevens voor de SIEM. Welnu, dan kan SIEM worden gebruikt om aanvullende aggregaties, correlaties en waarschuwingsprocessen te creëren.

Diezelfde mysterieuze tussenoplossing is niemand minder dan CLM, die ik aan het begin van het artikel noemde. Dit is hoe Gartner het ziet:

Nu kunt u proberen uit te vinden hoe InTrust voldoet aan de aanbevelingen van Gartner:

• Efficiënte opslag voor de volumes en soorten gegevens die moeten worden opgeslagen.
• Hoge zoeksnelheid.
• Visualisatiemogelijkheden zijn niet wat de basis van CLM vereist, maar het opsporen van bedreigingen is als een BI-systeem voor beveiliging en data-analyse.
• Gegevensverrijking om ruwe gegevens te verrijken met nuttige contextuele gegevens (zoals geolocatie en andere).

Quest InTrust maakt gebruik van een eigen opslagsysteem met datacompressie tot 40:1 en snelle deduplicatie, waardoor de opslagoverhead voor CLM- en SIEM-systemen wordt verminderd.

IT Security Zoekconsole met Google-achtige zoekfunctie

Een gespecialiseerde webgebaseerde IT Security Search (ITSS)-module kan verbinding maken met gebeurtenisgegevens in de InTrust-repository en biedt een eenvoudige interface voor het zoeken naar bedreigingen. De interface is zo vereenvoudigd dat deze als Google fungeert voor gebeurtenislogboekgegevens. ITSS gebruikt tijdlijnen voor de resultaten van zoekopdrachten, kan gebeurtenisvelden samenvoegen en groeperen, en helpt effectief bij het opsporen van bedreigingen.

InTrust verrijkt evenementen Windows beveiligings-ID's, bestandsnamen en beveiligingsaanmeldings-ID's. InTrust normaliseert gebeurtenissen ook naar een eenvoudig W6-schema (Wie, Wat, Waar, Wanneer, Van wie en Waar vandaan), zodat gegevens uit verschillende bronnen (eigen gebeurtenissen) Windows, logboeken Linux of syslog) konden in één enkel formaat en op één zoekconsole worden weergegeven.

InTrust ondersteunt realtime waarschuwings-, detectie- en responsmogelijkheden die kunnen worden gebruikt als een EDR-achtig systeem om schade veroorzaakt door verdachte activiteiten te minimaliseren. Ingebouwde beveiligingsregels detecteren, maar zijn niet beperkt tot, de volgende bedreigingen:

• Wachtwoord-spuiten.
• Kerberoasten.
• Verdachte PowerShell-activiteit, zoals de uitvoering van Mimikatz.
• Verdachte processen, bijvoorbeeld de LokerGoga-ransomware.
• Versleuteling met behulp van CA4FS-logboeken.
• Inloggen met een bevoorrecht account op werkstations.
• Wachtwoord raden aanvallen.
• Verdacht gebruik van lokale gebruikersgroepen.

Nu laat ik je een paar screenshots zien van InTrust zelf, zodat je een indruk krijgt van de mogelijkheden ervan.

Voorgedefinieerde filters om te zoeken naar potentiële kwetsbaarheden

Een voorbeeld van een set filters voor het verzamelen van onbewerkte gegevens

Een voorbeeld van het gebruik van reguliere expressies om een ​​reactie op een gebeurtenis te creëren

Voorbeeld met een PowerShell-zoekregel voor kwetsbaarheden

Ingebouwde kennisbank met beschrijvingen van kwetsbaarheden

InTrust is een krachtige tool die gebruikt kan worden als standalone oplossing of als onderdeel van een SIEM-systeem, zoals ik hierboven heb beschreven. Het belangrijkste voordeel van deze oplossing is waarschijnlijk dat u er na installatie direct mee aan de slag kunt InTrust beschikt over een grote bibliotheek met regels voor het detecteren van bedreigingen en het reageren daarop (bijvoorbeeld het blokkeren van een gebruiker).

In het artikel had ik het niet over boxed-integraties. Maar direct na de installatie kunt u het verzenden van gebeurtenissen naar Splunk, IBM QRadar, Microfocus Arcsight of via een webhook naar een ander systeem configureren. Hieronder ziet u een voorbeeld van een Kibana-interface met gebeurtenissen van InTrust. Er is al integratie met de Elastic Stack en als u de gratis versie van Elastic gebruikt, kan InTrust worden gebruikt als hulpmiddel voor het identificeren van bedreigingen, het uitvoeren van proactieve waarschuwingen en het verzenden van meldingen.

Ik hoop dat het artikel een minimaal idee gaf over dit product. Wij staan ​​klaar om InTrust aan u ter beschikking te stellen om te testen of een proefproject uit te voeren. De applicatie kan achtergelaten worden op feedback formulier op onze website.

Lees onze andere artikelen over informatiebeveiliging:

Wij detecteren een ransomware-aanval, krijgen toegang tot de domeincontroller en proberen deze aanvallen te weerstaan

Welke nuttige informatie kan worden verkregen uit de logbestanden van een werkstation met een besturingssysteem? Windows (populair artikel)

Het volgen van de levenscyclus van gebruikers zonder tang of ducttape

Wie heeft het gedaan? Wij automatiseren informatiebeveiligingsaudits

Bron: www.habr.com