ډیر وخت دمخه، سپلک د جواز ورکولو یو بل ماډل اضافه کړ - د زیربنا پراساس جواز ورکول (
دا ډارونکی ښکاري، مګر ځینې وختونه دا جوړښت په تولید کې کار کوي. پیچلتیا امنیت وژني، او په عموم کې، هرڅه وژني. په حقیقت کې، د داسې قضیو لپاره (زه د مالکیت لګښت کمولو په اړه خبرې کوم) د سیسټمونو ټوله ټولګي شتون لري - د مرکزي لاګ مدیریت (CLM). په دی اړه
- د CLM وړتیاوې او وسیلې وکاروئ کله چې د بودیجې او کارمندانو محدودیتونه شتون ولري ، د امنیت څارنې اړتیاوې ، او د ځانګړي کارولو قضیې اړتیاوې.
- کله چې د SIEM حل خورا ګران یا پیچلی ثابت شي د لاګ راټولولو او تحلیلي وړتیاو لوړولو لپاره CLM پلي کړئ.
- د موثر ذخیره کولو ، ګړندي لټون او انعطاف وړ لید سره د CLM وسیلو کې پانګه اچونه وکړئ ترڅو د امنیت پیښې تحقیق / تحلیل او د ګواښ ښکار ملاتړ ته وده ورکړي.
- ډاډ ترلاسه کړئ چې د CLM حل پلي کولو دمخه د تطبیق وړ عوامل او نظرونه په پام کې نیول شوي.
پدې مقاله کې به موږ د جواز ورکولو په طریقو کې د توپیرونو په اړه وغږیږو، موږ به د CLM په اړه پوه شو او د دې ټولګي ځانګړي سیسټم په اړه به خبرې وکړو -
د دې مقالې په پیل کې، ما د Splunk جواز ورکولو نوې طریقې په اړه خبرې وکړې. د جواز ورکولو ډولونه د موټر د کرایې نرخونو سره پرتله کیدی شي. راځئ چې تصور وکړو چې ماډل، د CPUs شمیر سره سم، یو اقتصادي موټر دی چې د لامحدود مایلج او ګازولین سره. تاسو کولی شئ د واټن محدودیتونو پرته هرچیرې لاړ شئ ، مګر تاسو نشئ کولی ډیر ګړندی لاړ شئ او په وینا یې ، په ورځ کې ډیری کیلومتره پوښ کړئ. د ډیټا جواز ورکول د سپورت موټر ته ورته دی چې د ورځني مایلج ماډل سره. تاسو کولی شئ په اوږد واټن کې په بې احتیاطۍ سره موټر چل کړئ، مګر تاسو باید د ورځني مایل له حد څخه د تیریدو لپاره ډیرې پیسې ورکړئ.
د بار پراساس جواز اخیستنې څخه ګټه پورته کولو لپاره ، تاسو اړتیا لرئ د CPU کور ترټولو ټیټ احتمالي تناسب د GB پورې د ډیټا بار شوي. په عمل کې دا یو څه معنی لري لکه:
- بار شوي ډیټا ته د پوښتنو ترټولو کوچنۍ ممکنه شمیره.
- د حل د احتمالي کاروونکو ترټولو کوچنی شمیر.
- د امکان تر حده ساده او نورمال شوي ډیټا (د دې لپاره چې د راتلونکي ډیټا پروسس کولو او تحلیلونو کې د CPU دورې ضایع کولو ته اړتیا نشته).
دلته ترټولو ستونزمن شی د نورمال شوي ډاټا دی. که تاسو غواړئ چې SIEM په یوه اداره کې د ټولو لاګونو راټولونکی وي، دا د پارس کولو او وروسته پروسس کولو کې خورا لوی هڅو ته اړتیا لري. دا مه هېروئ چې تاسو اړتیا لرئ د یوې معمارۍ په اړه فکر وکړئ چې د بار لاندې نه جلا کیږي، د بیلګې په توګه. اضافي سرورونه او له همدې امله اضافي پروسیسرونه به اړین وي.
د ډیټا حجم جواز ورکول د ډیټا مقدار پراساس دي چې د SIEM ماؤ ته لیږل کیږي. د معلوماتو اضافي سرچینې د روبل (یا نورو اسعارو) لخوا مجازات کیږي او دا تاسو ته د هغه څه په اړه فکر کوي چې تاسو واقعیا نه غوښتل راټول کړئ. د دې جواز ورکولو ماډل څخه د وتلو لپاره، تاسو کولی شئ ډاټا د SIEM سیسټم ته د انجیک کولو دمخه وخورئ. د انجیکشن دمخه د ورته نورمال کولو یوه بیلګه د لچک سټیک او ځینې نور سوداګریز SIEMs دي.
د پایلې په توګه، موږ لرو چې د زیربنا لخوا جواز ورکول اغیزمن دي کله چې تاسو اړتیا لرئ لږ تر لږه د پروسس کولو سره یوازې ځینې معلومات راټول کړئ، او د حجم له مخې جواز ورکول به تاسو ته اجازه ورنکړي چې هرڅه راټول کړئ. د منځمهاله حل لټون د لاندې معیارونو لامل کیږي:
- د معلوماتو راټولول او نورمال کول ساده کړئ.
- د شور او لږ مهم معلوماتو فلټر کول.
- د تحلیلي وړتیاوو برابرول.
- فلټر شوي او نورمال شوي ډاټا SIEM ته واستوئ
د پایلې په توګه، د هدف SIEM سیسټمونه به اړتیا ونلري چې د پروسس کولو لپاره اضافي CPU بریښنا ضایع کړي او کولی شي یوازې د خورا مهم پیښو پیژندلو څخه ګټه پورته کړي پرته لدې چې پیښیږي لید کم کړي.
په عین حال کې، دا ډول منځنی حل باید د ریښتیني وخت کشف او غبرګون وړتیاوې هم چمتو کړي چې د احتمالي خطرناکو فعالیتونو اغیزې کمولو لپاره کارول کیدی شي او د پیښو ټول جریان د SIEM په لور د معلوماتو ګټور او ساده مقدار کې راټول کړي. ښه، بیا SIEM د اضافي مجموعو، اړیکو او خبرتیا پروسو رامینځته کولو لپاره کارول کیدی شي.
ورته پراسرار منځګړی حل د CLM پرته بل هیڅ نه دی، کوم چې ما د مقالې په پیل کې یادونه وکړه. دا څنګه ګارټینر دا ګوري:
اوس تاسو کولی شئ دا معلومه کړئ چې څنګه InTrust د ګارټینر سپارښتنو سره مطابقت لري:
- د ډیټا حجمونو او ډولونو لپاره موثر ذخیره کول چې زیرمه کولو ته اړتیا لري.
- د لوړ لټون سرعت.
- د لید وړتیاوې هغه څه ندي چې لومړني CLM ته اړتیا لري ، مګر د ګواښ ښکار د امنیت او ډیټا تحلیلونو لپاره د BI سیسټم په څیر دی.
- د معلوماتو بډایه کول د ګټورو متناسب معلوماتو سره د خام ډیټا بډایه کولو لپاره (لکه جغرافیه او نور).
Quest InTrust د 40: 1 ډیټا کمپریشن او لوړ سرعت ډیپلیکیشن سره خپل د ذخیره کولو سیسټم کاروي، کوم چې د CLM او SIEM سیسټمونو لپاره د ذخیره کولو سر کموي.
د ګوګل په څیر لټون سره د آی ټي امنیت لټون کنسول
د ځانګړي ویب میشته IT امنیت لټون (ITSS) ماډل کولی شي د InTrust ذخیره کې د پیښې ډیټا سره وصل شي او د ګواښونو لټون لپاره ساده انٹرفیس چمتو کړي. انٹرفیس دې ټکي ته ساده شوی چې دا د پیښې لاګ ډیټا لپاره د ګوګل په څیر عمل کوي. ITSS د پوښتنو پایلو لپاره مهال ویش کاروي، کولی شي د پیښې ساحې یوځای او ډله ایز کړي، او په اغیزمنه توګه د ګواښ په ښکار کې مرسته کوي.
InTrust د وینډوز پیښې د امنیت پیژندونکو ، د فایل نومونو ، او امنیت لاګ ان پیژندونکو سره بډایه کوي. InTrust د ساده W6 سکیما (څوک، څه، چیرته، کله، له چا او چیرته څخه) پیښې نورمال کوي ترڅو د بیلابیلو سرچینو څخه ډاټا (د وینډوز اصلي پیښې، لینکس لاګ یا سیسلاګ) په یوه بڼه او یو واحد کې لیدل کیدی شي. د لټون کنسول.
InTrust د ریښتیني وخت خبرتیا ، کشف او ځواب وړتیا ملاتړ کوي چې د EDR په څیر سیسټم په توګه کارول کیدی شي ترڅو د شکمن فعالیت له امله رامینځته شوي زیان کم کړي. جوړ شوي امنیتي مقررات لاندې ګواښونه کشف کوي، مګر محدود ندي:
- د پاسورډ سپری کول.
- کربروستینګ.
- د شکمن پاور شیل فعالیت، لکه د Mimikatz اعدام.
- شکمن پروسې، د بیلګې په توګه، لوکرګوګا ransomware.
- د CA4FS لاګونو په کارولو سره کوډ کول.
- په کاري سټیشنونو کې د امتیاز لرونکي حساب سره ننوتل.
- د پټنوم اټکل بریدونه.
- د محلي کاروونکو ډلو شکمن کارول.
اوس زه به تاسو ته پخپله د InTrust یو څو سکرین شاټونه وښیم نو تاسو کولی شئ د دې وړتیاو تاثر ترلاسه کړئ.
د احتمالي زیانونو د لټون لپاره دمخه ټاکل شوي فلټرونه
د خامو معلوماتو راټولولو لپاره د فلټرونو سیټ یوه بیلګه
د یوې پیښې لپاره د ځواب رامینځته کولو لپاره د منظم بیانونو کارولو مثال
د PowerShell زیان مننې لټون قاعدې سره مثال
د زیان منونکو توضیحاتو سره د پوهې اساس جوړ شوی
InTrust یو پیاوړی وسیله ده چې د یو واحد حل په توګه یا د SIEM سیسټم برخې په توګه کارول کیدی شي، لکه څنګه چې ما پورته تشریح کړی. شاید د دې حل اصلي ګټه دا ده چې تاسو کولی شئ د نصبولو وروسته سمدلاسه د دې کارول پیل کړئ ، ځکه چې InTrust د ګواښونو موندلو او دوی ته ځواب ویلو لپاره د مقرراتو لوی کتابتون لري (د مثال په توګه، د کاروونکي بندول).
په مقاله کې ما د بکس شوي ادغام په اړه خبرې نه دي کړې. مګر سمدلاسه د نصبولو وروسته، تاسو کولی شئ د سپلنک، IBM QRadar، Microfocus Arcsight، یا کوم بل سیسټم ته د ویب هک له لارې د پیښو لیږلو ترتیب کړئ. لاندې د InTrust پیښو سره د کبانا انٹرفیس یوه بیلګه ده. د ایلاسټیک سټیک سره لا دمخه ادغام شتون لري او که تاسو د ایلاسټیک وړیا نسخه وکاروئ ، نو InTrust د ګواښونو پیژندلو ، فعال خبرتیاو ترسره کولو او خبرتیاو لیږلو لپاره د یوې وسیلې په توګه کارول کیدی شي.
زه امید لرم چې مقاله د دې محصول په اړه لږترلږه نظر ورکړی. موږ چمتو یو چې تاسو ته د آزموینې یا ازمایښتي پروژې ترسره کولو لپاره InTrust درکړو. غوښتنلیک په کې پریښودل کیدی شي
د معلوماتو امنیت په اړه زموږ نورې مقالې ولولئ:
سرچینه: www.habr.com