Não muito tempo atrás, o Splunk adicionou outro modelo de licenciamento – licenciamento baseado em infraestrutura (). Eles contam o número de núcleos de CPU nos servidores Splunk. Muito semelhante ao licenciamento do Elastic Stack, eles contam o número de nós do Elasticsearch. Os sistemas SIEM são tradicionalmente caros e geralmente há uma escolha entre pagar muito e pagar muito. Mas, se você usar alguma engenhosidade, poderá montar uma estrutura semelhante.
Parece assustador, mas às vezes essa arquitetura funciona em produção. A complexidade mata a segurança e, em geral, mata tudo. Na verdade, para esses casos (estou falando de redução do custo de propriedade) existe toda uma classe de sistemas - Central Log Management (CLM). Sobre isso , considerando-os subvalorizados. Aqui estão suas recomendações:
- Use recursos e ferramentas CLM quando houver restrições orçamentárias e de pessoal, requisitos de monitoramento de segurança e requisitos específicos de casos de uso.
- Implemente o CLM para aprimorar os recursos de coleta e análise de logs quando uma solução SIEM se revelar muito cara ou complexa.
- Invista em ferramentas CLM com armazenamento eficiente, pesquisa rápida e visualização flexível para melhorar a investigação/análise de incidentes de segurança e apoiar a caça a ameaças.
- Certifique-se de que os fatores e considerações aplicáveis sejam levados em consideração antes de implementar uma solução CLM.
Neste artigo falaremos sobre as diferenças nas abordagens de licenciamento, entenderemos o CLM e falaremos sobre um sistema específico desta classe - . Detalhes sob o corte.
No início deste artigo, falei sobre a nova abordagem de licenciamento do Splunk. Os tipos de licenciamento podem ser comparados às taxas de aluguel de automóveis. Vamos imaginar que o modelo, em termos de número de CPUs, seja um carro econômico, com quilometragem e gasolina ilimitadas. Você pode ir a qualquer lugar sem restrições de distância, mas não pode ir muito rápido e, portanto, percorrer muitos quilômetros por dia. O licenciamento de dados é semelhante a um carro esportivo com modelo de quilometragem diária. Você pode dirigir de forma imprudente por longas distâncias, mas terá que pagar mais por exceder o limite diário de quilometragem.
Para se beneficiar do licenciamento baseado em carga, você precisa ter a menor proporção possível de núcleos de CPU por GB de dados carregados. Na prática isso significa algo como:
- O menor número possível de consultas aos dados carregados.
- O menor número de possíveis usuários da solução.
- Dados tão simples e normalizados quanto possível (para que não haja necessidade de desperdiçar ciclos de CPU no processamento e análise de dados subsequentes).
A coisa mais problemática aqui são os dados normalizados. Se você deseja que um SIEM seja um agregador de todos os logs de uma organização, será necessário um grande esforço de análise e pós-processamento. Não se esqueça que você também precisa pensar em uma arquitetura que não desmorone sob carga, ou seja, servidores adicionais e, portanto, serão necessários processadores adicionais.
O licenciamento por volume de dados é baseado na quantidade de dados que são enviados para o SIEM. Fontes adicionais de dados são puníveis com o rublo (ou outra moeda) e isso faz você pensar sobre o que você realmente não queria coletar. Para enganar esse modelo de licenciamento, você pode morder os dados antes que eles sejam injetados no sistema SIEM. Um exemplo dessa normalização antes da injeção é o Elastic Stack e alguns outros SIEMs comerciais.
Como resultado, temos que o licenciamento por infraestrutura é eficaz quando é necessário coletar apenas determinados dados com pré-processamento mínimo, e o licenciamento por volume não permitirá coletar tudo. A busca por uma solução intermediária leva aos seguintes critérios:
- Simplifique a agregação e normalização de dados.
- Filtragem de dados ruidosos e menos importantes.
- Fornecendo recursos de análise.
- Envie dados filtrados e normalizados para SIEM
Como resultado, os sistemas SIEM alvo não precisarão desperdiçar energia adicional da CPU no processamento e poderão se beneficiar da identificação apenas dos eventos mais importantes, sem reduzir a visibilidade do que está acontecendo.
Idealmente, essa solução de middleware também deveria fornecer capacidades de detecção e resposta em tempo real que possam ser usadas para reduzir o impacto de atividades potencialmente perigosas e agregar todo o fluxo de eventos em um quantum útil e simples de dados para o SIEM. Bem, então o SIEM pode ser usado para criar agregações, correlações e processos de alerta adicionais.
Essa mesma solução intermediária misteriosa não é outra senão o CLM, que mencionei no início do artigo. É assim que o Gartner vê:
Agora você pode tentar descobrir como o InTrust está em conformidade com as recomendações do Gartner:
- Armazenamento eficiente para os volumes e tipos de dados que precisam ser armazenados.
- Alta velocidade de pesquisa.
- Os recursos de visualização não são o que o CLM básico exige, mas a caça a ameaças é como um sistema de BI para segurança e análise de dados.
- Enriquecimento de dados para enriquecer dados brutos com dados contextuais úteis (como geolocalização e outros).
O Quest InTrust usa seu próprio sistema de armazenamento com compactação de dados de até 40:1 e desduplicação de alta velocidade, o que reduz a sobrecarga de armazenamento para sistemas CLM e SIEM.
Console de pesquisa de segurança de TI com pesquisa semelhante à do Google
Um módulo especializado de pesquisa de segurança de TI (ITSS) baseado na Web pode se conectar a dados de eventos no repositório InTrust e fornece uma interface simples para procurar ameaças. A interface é simplificada a ponto de funcionar como o Google para dados de registro de eventos. O ITSS usa cronogramas para resultados de consultas, pode mesclar e agrupar campos de eventos e auxilia efetivamente na caça de ameaças.
O InTrust enriquece os eventos do Windows com identificadores de segurança, nomes de arquivos e identificadores de login de segurança. O InTrust também normaliza eventos para um esquema W6 simples (quem, o quê, onde, quando, de quem e de onde) para que os dados de diferentes fontes (eventos nativos do Windows, logs do Linux ou syslog) possam ser vistos em um único formato e em um único console de pesquisa.
O InTrust oferece suporte a recursos de alerta, detecção e resposta em tempo real que podem ser usados como um sistema semelhante ao EDR para minimizar danos causados por atividades suspeitas. As regras de segurança integradas detectam, mas não estão limitadas às seguintes ameaças:
- Pulverização de senha.
- Kerberoasting.
- Atividade suspeita do PowerShell, como a execução de Mimikatz.
- Processos suspeitos, por exemplo, ransomware LokerGoga.
- Criptografia usando logs CA4FS.
- Logins com conta privilegiada em estações de trabalho.
- Ataques de adivinhação de senha.
- Uso suspeito de grupos de usuários locais.
Agora vou mostrar algumas capturas de tela do próprio InTrust para que você possa ter uma ideia de suas capacidades.
Filtros predefinidos para procurar vulnerabilidades potenciais
Um exemplo de conjunto de filtros para coleta de dados brutos
Um exemplo de uso de expressões regulares para criar uma resposta a um evento
Exemplo com uma regra de pesquisa de vulnerabilidade do PowerShell
Base de conhecimento integrada com descrições de vulnerabilidades
InTrust é uma ferramenta poderosa que pode ser usada como solução independente ou como parte de um sistema SIEM, conforme descrevi acima. Provavelmente a principal vantagem desta solução é que você pode começar a usá-la imediatamente após a instalação, pois O InTrust possui uma grande biblioteca de regras para detectar ameaças e responder a elas (por exemplo, bloquear um usuário).
No artigo não falei sobre integrações em caixa. Mas imediatamente após a instalação, você pode configurar o envio de eventos para Splunk, IBM QRadar, Microfocus Arcsight ou por meio de um webhook para qualquer outro sistema. Abaixo está um exemplo de interface do Kibana com eventos do InTrust. Já existe integração com o Elastic Stack e, caso você utilize a versão gratuita do Elastic, o InTrust pode ser utilizado como ferramenta para identificação de ameaças, realização de alertas proativos e envio de notificações.
Espero que o artigo tenha dado uma ideia mínima sobre este produto. Estamos prontos para fornecer o InTrust para você testar ou conduzir um projeto piloto. O aplicativo pode ser deixado em no nosso site.
Leia nossos outros artigos sobre segurança da informação:
(artigo popular)
Fonte: habr.com