څنګه د SIEM سیسټم ملکیت لګښت کم کړئ او ولې تاسو د مرکزي لاګ مدیریت (CLM) ته اړتیا لرئ

ډیر وخت دمخه، سپلک د جواز ورکولو یو بل ماډل اضافه کړ - د زیربنا پراساس جواز ورکول (اوس له دوی څخه درې شتون لري). دوی د Splunk سرورونو لاندې د CPU کور شمیره شمیري. د Elastic Stack جواز ورکولو سره ورته، دوی د Elasticsearch نوډونو شمیر شمیري. د SIEM سیسټمونه په دودیز ډول ګران دي او معمولا د ډیری تادیه کولو او ډیری تادیه کولو ترمینځ انتخاب شتون لري. مګر، که تاسو یو څه هوښیارتیا وکاروئ، تاسو کولی شئ ورته جوړښت راټول کړئ.

دا ډارونکی ښکاري، مګر ځینې وختونه دا جوړښت په تولید کې کار کوي. پیچلتیا امنیت وژني، او په عموم کې، هرڅه وژني. په حقیقت کې، د داسې قضیو لپاره (زه د مالکیت لګښت کمولو په اړه خبرې کوم) د سیسټمونو ټوله ټولګي شتون لري - د مرکزي لاګ مدیریت (CLM). په دی اړه ګارټنر لیکيد دوی د کم ارزښت په پام کې نیولو سره. دلته د دوی سپارښتنې دي:

• د CLM وړتیاوې او وسیلې وکاروئ کله چې د بودیجې او کارمندانو محدودیتونه شتون ولري ، د امنیت څارنې اړتیاوې ، او د ځانګړي کارولو قضیې اړتیاوې.
• کله چې د SIEM حل خورا ګران یا پیچلی ثابت شي د لاګ راټولولو او تحلیلي وړتیاو لوړولو لپاره CLM پلي کړئ.
• د موثر ذخیره کولو ، ګړندي لټون او انعطاف وړ لید سره د CLM وسیلو کې پانګه اچونه وکړئ ترڅو د امنیت پیښې تحقیق / تحلیل او د ګواښ ښکار ملاتړ ته وده ورکړي.
• ډاډ ترلاسه کړئ چې د CLM حل پلي کولو دمخه د تطبیق وړ عوامل او نظرونه په پام کې نیول شوي.

پدې مقاله کې به موږ د جواز ورکولو په طریقو کې د توپیرونو په اړه وغږیږو، موږ به د CLM په اړه پوه شو او د دې ټولګي ځانګړي سیسټم په اړه به خبرې وکړو - Quest InTrust. د کټ لاندې توضیحات.

د دې مقالې په پیل کې، ما د Splunk جواز ورکولو نوې طریقې په اړه خبرې وکړې. د جواز ورکولو ډولونه د موټر د کرایې نرخونو سره پرتله کیدی شي. راځئ چې تصور وکړو چې ماډل، د CPUs شمیر سره سم، یو اقتصادي موټر دی چې د لامحدود مایلج او ګازولین سره. تاسو کولی شئ د واټن محدودیتونو پرته هرچیرې لاړ شئ ، مګر تاسو نشئ کولی ډیر ګړندی لاړ شئ او په وینا یې ، په ورځ کې ډیری کیلومتره پوښ ​​​​کړئ. د ډیټا جواز ورکول د سپورت موټر ته ورته دی چې د ورځني مایلج ماډل سره. تاسو کولی شئ په اوږد واټن کې په بې احتیاطۍ سره موټر چل کړئ، مګر تاسو باید د ورځني مایل له حد څخه د تیریدو لپاره ډیرې پیسې ورکړئ.

د بار پراساس جواز اخیستنې څخه ګټه پورته کولو لپاره ، تاسو اړتیا لرئ د CPU کور ترټولو ټیټ احتمالي تناسب د GB پورې د ډیټا بار شوي. په عمل کې دا یو څه معنی لري لکه:

• بار شوي ډیټا ته د پوښتنو ترټولو کوچنۍ ممکنه شمیره.
• د حل د احتمالي کاروونکو ترټولو کوچنی شمیر.
• د امکان تر حده ساده او نورمال شوي ډیټا (د دې لپاره چې د راتلونکي ډیټا پروسس کولو او تحلیلونو کې د CPU دورې ضایع کولو ته اړتیا نشته).

دلته ترټولو ستونزمن شی د نورمال شوي ډاټا دی. که تاسو غواړئ چې SIEM په یوه اداره کې د ټولو لاګونو راټولونکی وي، دا د پارس کولو او وروسته پروسس کولو کې خورا لوی هڅو ته اړتیا لري. دا مه هېروئ چې تاسو اړتیا لرئ د یوې معمارۍ په اړه فکر وکړئ چې د بار لاندې نه جلا کیږي، د بیلګې په توګه. اضافي سرورونه او له همدې امله اضافي پروسیسرونه به اړین وي.

د ډیټا حجم جواز ورکول د ډیټا مقدار پراساس دي چې د SIEM ماؤ ته لیږل کیږي. د معلوماتو اضافي سرچینې د روبل (یا نورو اسعارو) لخوا مجازات کیږي او دا تاسو ته د هغه څه په اړه فکر کوي چې تاسو واقعیا نه غوښتل راټول کړئ. د دې جواز ورکولو ماډل څخه د وتلو لپاره، تاسو کولی شئ ډاټا د SIEM سیسټم ته د انجیک کولو دمخه وخورئ. د انجیکشن دمخه د ورته نورمال کولو یوه بیلګه د لچک سټیک او ځینې نور سوداګریز SIEMs دي.

د پایلې په توګه، موږ لرو چې د زیربنا لخوا جواز ورکول اغیزمن دي کله چې تاسو اړتیا لرئ لږ تر لږه د پروسس کولو سره یوازې ځینې معلومات راټول کړئ، او د حجم له مخې جواز ورکول به تاسو ته اجازه ورنکړي چې هرڅه راټول کړئ. د منځمهاله حل لټون د لاندې معیارونو لامل کیږي:

• د معلوماتو راټولول او نورمال کول ساده کړئ.
• د شور او لږ مهم معلوماتو فلټر کول.
• د تحلیلي وړتیاوو برابرول.
• فلټر شوي او نورمال شوي ډاټا SIEM ته واستوئ

د پایلې په توګه، د هدف SIEM سیسټمونه به اړتیا ونلري چې د پروسس کولو لپاره اضافي CPU بریښنا ضایع کړي او کولی شي یوازې د خورا مهم پیښو پیژندلو څخه ګټه پورته کړي پرته لدې چې پیښیږي لید کم کړي.

په عین حال کې، دا ډول منځنی حل باید د ریښتیني وخت کشف او غبرګون وړتیاوې هم چمتو کړي چې د احتمالي خطرناکو فعالیتونو اغیزې کمولو لپاره کارول کیدی شي او د پیښو ټول جریان د SIEM په لور د معلوماتو ګټور او ساده مقدار کې راټول کړي. ښه، بیا SIEM د اضافي مجموعو، اړیکو او خبرتیا پروسو رامینځته کولو لپاره کارول کیدی شي.

ورته پراسرار منځګړی حل د CLM پرته بل هیڅ نه دی، کوم چې ما د مقالې په پیل کې یادونه وکړه. دا څنګه ګارټینر دا ګوري:

اوس تاسو کولی شئ دا معلومه کړئ چې څنګه InTrust د ګارټینر سپارښتنو سره مطابقت لري:

• د ډیټا حجمونو او ډولونو لپاره موثر ذخیره کول چې زیرمه کولو ته اړتیا لري.
• د لوړ لټون سرعت.
• د لید وړتیاوې هغه څه ندي چې لومړني CLM ته اړتیا لري ، مګر د ګواښ ښکار د امنیت او ډیټا تحلیلونو لپاره د BI سیسټم په څیر دی.
• د معلوماتو بډایه کول د ګټورو متناسب معلوماتو سره د خام ډیټا بډایه کولو لپاره (لکه جغرافیه او نور).

Quest InTrust د 40: 1 ډیټا کمپریشن او لوړ سرعت ډیپلیکیشن سره خپل د ذخیره کولو سیسټم کاروي، کوم چې د CLM او SIEM سیسټمونو لپاره د ذخیره کولو سر کموي.

د ګوګل په څیر لټون سره د آی ټي امنیت لټون کنسول

د ځانګړي ویب میشته IT امنیت لټون (ITSS) ماډل کولی شي د InTrust ذخیره کې د پیښې ډیټا سره وصل شي او د ګواښونو لټون لپاره ساده انٹرفیس چمتو کړي. انٹرفیس دې ټکي ته ساده شوی چې دا د پیښې لاګ ډیټا لپاره د ګوګل په څیر عمل کوي. ITSS د پوښتنو پایلو لپاره مهال ویش کاروي، کولی شي د پیښې ساحې یوځای او ډله ایز کړي، او په اغیزمنه توګه د ګواښ په ښکار کې مرسته کوي.

InTrust د وینډوز پیښې د امنیت پیژندونکو ، د فایل نومونو ، او امنیت لاګ ان پیژندونکو سره بډایه کوي. InTrust د ساده W6 سکیما (څوک، څه، چیرته، کله، له چا او چیرته څخه) پیښې نورمال کوي ترڅو د بیلابیلو سرچینو څخه ډاټا (د وینډوز اصلي پیښې، لینکس لاګ یا سیسلاګ) په یوه بڼه او یو واحد کې لیدل کیدی شي. د لټون کنسول.

InTrust د ریښتیني وخت خبرتیا ، کشف او ځواب وړتیا ملاتړ کوي چې د EDR په څیر سیسټم په توګه کارول کیدی شي ترڅو د شکمن فعالیت له امله رامینځته شوي زیان کم کړي. جوړ شوي امنیتي مقررات لاندې ګواښونه کشف کوي، مګر محدود ندي:

• د پاسورډ سپری کول.
• کربروستینګ.
• د شکمن پاور شیل فعالیت، لکه د Mimikatz اعدام.
• شکمن پروسې، د بیلګې په توګه، لوکرګوګا ransomware.
• د CA4FS لاګونو په کارولو سره کوډ کول.
• په کاري سټیشنونو کې د امتیاز لرونکي حساب سره ننوتل.
• د پټنوم اټکل بریدونه.
• د محلي کاروونکو ډلو شکمن کارول.

اوس زه به تاسو ته پخپله د InTrust یو څو سکرین شاټونه وښیم نو تاسو کولی شئ د دې وړتیاو تاثر ترلاسه کړئ.

د احتمالي زیانونو د لټون لپاره دمخه ټاکل شوي فلټرونه

د خامو معلوماتو راټولولو لپاره د فلټرونو سیټ یوه بیلګه

د یوې پیښې لپاره د ځواب رامینځته کولو لپاره د منظم بیانونو کارولو مثال

د PowerShell زیان مننې لټون قاعدې سره مثال

د زیان منونکو توضیحاتو سره د پوهې اساس جوړ شوی

InTrust یو پیاوړی وسیله ده چې د یو واحد حل په توګه یا د SIEM سیسټم برخې په توګه کارول کیدی شي، لکه څنګه چې ما پورته تشریح کړی. شاید د دې حل اصلي ګټه دا ده چې تاسو کولی شئ د نصبولو وروسته سمدلاسه د دې کارول پیل کړئ ، ځکه چې InTrust د ګواښونو موندلو او دوی ته ځواب ویلو لپاره د مقرراتو لوی کتابتون لري (د مثال په توګه، د کاروونکي بندول).

په مقاله کې ما د بکس شوي ادغام په اړه خبرې نه دي کړې. مګر سمدلاسه د نصبولو وروسته، تاسو کولی شئ د سپلنک، IBM QRadar، Microfocus Arcsight، یا کوم بل سیسټم ته د ویب هک له لارې د پیښو لیږلو ترتیب کړئ. لاندې د InTrust پیښو سره د کبانا انٹرفیس یوه بیلګه ده. د ایلاسټیک سټیک سره لا دمخه ادغام شتون لري او که تاسو د ایلاسټیک وړیا نسخه وکاروئ ، نو InTrust د ګواښونو پیژندلو ، فعال خبرتیاو ترسره کولو او خبرتیاو لیږلو لپاره د یوې وسیلې په توګه کارول کیدی شي.

زه امید لرم چې مقاله د دې محصول په اړه لږترلږه نظر ورکړی. موږ چمتو یو چې تاسو ته د آزموینې یا ازمایښتي پروژې ترسره کولو لپاره InTrust درکړو. غوښتنلیک په کې پریښودل کیدی شي د غبرګون فورمه زموږ په ویب پا onه کې.

د معلوماتو امنیت په اړه زموږ نورې مقالې ولولئ:

موږ د ransomware برید کشف کوو ، د ډومین کنټرولر ته لاسرسی ومومئ او د دې بریدونو پروړاندې مقاومت کولو هڅه وکړئ

د وینډوز OS پراساس د ورک سټیشن لاګونو څخه څه ګټور کیدی شي (مشهور مقاله)

د کارونکي د ژوند دورې تعقیب پرته له چمچونو او ډیکټ ټیپ څخه

او چا دا وکړل؟ موږ د معلوماتو امنیت تفتیش اتومات کوو

سرچینه: www.habr.com