🥇Cum să reduci costul de proprietate al unui sistem SIEM și de ce ai nevoie de Central Log Management (CLM)

Nu cu mult timp în urmă, Splunk a adăugat un alt model de licențiere - licențierea bazată pe infrastructură (acum sunt trei). Ei numără numărul de nuclee CPU de pe serverele Splunk. Foarte asemănătoare cu licențele Elastic Stack, ele numără numărul de noduri Elasticsearch. Sistemele SIEM sunt în mod tradițional scumpe și, de obicei, există posibilitatea de a alege între a plăti mult și a plăti mult. Dar, dacă folosiți ceva ingeniozitate, puteți asambla o structură similară.

Pare înfiorător, dar uneori această arhitectură funcționează în producție. Complexitatea ucide securitatea și, în general, omoară totul. De fapt, pentru astfel de cazuri (vorbesc despre reducerea costului de proprietate) există o întreagă clasă de sisteme - Central Log Management (CLM). Despre scrie Gartner, considerându-le subevaluate. Iată recomandările lor:

Utilizați capabilitățile și instrumentele CLM atunci când există constrângeri de buget și personal, cerințe de monitorizare a securității și cerințe specifice pentru cazuri de utilizare.
Implementați CLM pentru a îmbunătăți capacitățile de colectare și analiză a jurnalelor atunci când o soluție SIEM se dovedește prea scumpă sau complexă.
Investește în instrumente CLM cu stocare eficientă, căutare rapidă și vizualizare flexibilă pentru a îmbunătăți investigarea/analiza incidentelor de securitate și pentru a sprijini vânătoarea de amenințări.
Asigurați-vă că sunt luați în considerare factorii și considerațiile aplicabile înainte de a implementa o soluție CLM.

În acest articol vom vorbi despre diferențele de abordări ale licențierii, vom înțelege CLM și vom vorbi despre un sistem specific din această clasă - Quest InTrust. Detalii sub croiala.

La începutul acestui articol, am vorbit despre noua abordare a licențierii Splunk. Tipurile de licență pot fi comparate cu tarifele de închiriere de mașini. Să ne imaginăm că modelul, din punct de vedere al numărului de procesoare, este o mașină economică, cu kilometraj nelimitat și benzină. Puteți merge oriunde fără restricții de distanță, dar nu puteți merge foarte repede și, în consecință, parcurgeți mulți kilometri pe zi. Licențiarea datelor este similară cu o mașină sport cu un model de kilometraj zilnic. Puteți conduce cu nesăbuință pe distanțe lungi, dar va trebui să plătiți mai mult pentru depășirea limitei zilnice de kilometraj.

Pentru a beneficia de licențele bazate pe încărcare, trebuie să aveți cel mai mic raport posibil dintre nucleele CPU și GB de date încărcate. În practică, aceasta înseamnă ceva de genul:

Cel mai mic număr posibil de interogări la datele încărcate.
Cel mai mic număr de utilizatori posibili ai soluției.
Date cât mai simple și normalizate posibil (astfel încât să nu fie nevoie să irosești ciclurile CPU pentru procesarea și analiza ulterioară a datelor).

Cel mai problematic lucru aici sunt datele normalizate. Dacă doriți ca un SIEM să fie un agregator al tuturor jurnalelor dintr-o organizație, necesită un efort uriaș în analizare și post-procesare. Nu uitați că trebuie să vă gândiți și la o arhitectură care să nu se destrame sub sarcină, de exemplu. vor fi necesare servere suplimentare și, prin urmare, procesoare suplimentare.

Licențiarea volumului de date se bazează pe cantitatea de date care este trimisă în faza SIEM. Sursele suplimentare de date sunt pedepsite cu rubla (sau altă monedă) și acest lucru te face să te gândești la ceea ce nu ai vrut cu adevărat să colectezi. Pentru a depăși acest model de licențiere, puteți mușca datele înainte de a fi injectate în sistemul SIEM. Un exemplu de astfel de normalizare înainte de injectare este Elastic Stack și alte câteva SIEM comerciale.

Drept urmare, avem că licențierea pe infrastructură este eficientă atunci când trebuie să colectați doar anumite date cu o preprocesare minimă, iar licențele pe volum nu vă va permite să colectați deloc totul. Căutarea unei soluții intermediare conduce la următoarele criterii:

Simplificați agregarea și normalizarea datelor.
Filtrarea datelor zgomotoase și cele mai puțin importante.
Furnizarea de capabilități de analiză.
Trimiteți date filtrate și normalizate către SIEM

Ca rezultat, sistemele SIEM țintă nu vor trebui să irosească putere suplimentară a procesorului la procesare și pot beneficia de identificarea doar a celor mai importante evenimente fără a reduce vizibilitatea asupra a ceea ce se întâmplă.

În mod ideal, o astfel de soluție middleware ar trebui să ofere, de asemenea, capacități de detectare și răspuns în timp real, care pot fi utilizate pentru a reduce impactul activităților potențial periculoase și pentru a agrega întregul flux de evenimente într-un cuantum util și simplu de date către SIEM. Ei bine, atunci SIEM poate fi folosit pentru a crea agregări suplimentare, corelații și procese de alertă.

Aceeași soluție intermediară misterioasă nu este alta decât CLM, despre care am menționat-o la începutul articolului. Iată cum vede Gartner:

Acum puteți încerca să vă dați seama cum InTrust respectă recomandările Gartner:

Stocare eficientă pentru volumele și tipurile de date care trebuie stocate.
Viteză mare de căutare.
Capacitățile de vizualizare nu sunt ceea ce necesită CLM de bază, dar vânătoarea de amenințări este ca un sistem BI pentru securitate și analiza datelor.
Îmbogățirea datelor pentru a îmbogăți datele brute cu date contextuale utile (cum ar fi localizarea geografică și altele).

Quest InTrust folosește propriul sistem de stocare cu compresie de date de până la 40:1 și deduplicare de mare viteză, ceea ce reduce supraîncărcarea de stocare pentru sistemele CLM și SIEM.

Consolă IT Security Search cu căutare asemănătoare Google

Un modul specializat de căutare de securitate IT (ITSS) bazat pe web se poate conecta la datele despre evenimente din depozitul InTrust și oferă o interfață simplă pentru căutarea amenințărilor. Interfața este simplificată până la punctul în care acționează ca Google pentru datele din jurnalul de evenimente. ITSS folosește cronologie pentru rezultatele interogărilor, poate îmbina și grupa câmpuri de evenimente și ajută eficient la urmărirea amenințărilor.

InTrust îmbogățește evenimentele Windows identificatori de securitate, nume de fișiere și identificatori de conectare de securitate. InTrust normalizează, de asemenea, evenimentele la o schemă W6 simplă (Cine, Ce, Unde, Când, Cine și De unde), astfel încât datele din surse diferite (evenimente native) Windows, jurnalele Linux sau syslog) putea fi văzut într-un singur format și într-o singură consolă de căutare.

InTrust acceptă capabilități de alertă, detectare și răspuns în timp real care pot fi utilizate ca un sistem asemănător EDR pentru a minimiza daunele cauzate de activități suspecte. Regulile de securitate încorporate detectează, dar nu se limitează la, următoarele amenințări:

Pulverizarea parolei.
Kerberoasting.
Activitate PowerShell suspectă, cum ar fi execuția Mimikatz.
Procese suspecte, de exemplu, ransomware-ul LokerGoga.
Criptare folosind jurnalele CA4FS.
Conectați-vă cu un cont privilegiat pe stațiile de lucru.
Atacurile de ghicire a parolei.
Utilizarea suspectă a grupurilor de utilizatori locali.

Acum vă voi arăta câteva capturi de ecran ale InTrust în sine, astfel încât să vă puteți face o impresie despre capacitățile sale.

Filtre predefinite pentru a căuta potențiale vulnerabilități

Un exemplu de set de filtre pentru colectarea datelor brute

Un exemplu de utilizare a expresiilor regulate pentru a crea un răspuns la un eveniment

Exemplu cu o regulă de căutare a vulnerabilităților PowerShell

Bază de cunoștințe încorporată cu descrieri ale vulnerabilităților

InTrust este un instrument puternic care poate fi folosit ca soluție independentă sau ca parte a unui sistem SIEM, așa cum am descris mai sus. Probabil principalul avantaj al acestei soluții este că poți începe să o folosești imediat după instalare, deoarece InTrust are o bibliotecă mare de reguli pentru detectarea amenințărilor și răspunsul la acestea (de exemplu, blocarea unui utilizator).

În articol nu am vorbit despre integrări în cutie. Dar imediat după instalare, puteți configura trimiterea evenimentelor către Splunk, IBM QRadar, Microfocus Arcsight sau printr-un webhook către orice alt sistem. Mai jos este un exemplu de interfață Kibana cu evenimente din InTrust. Există deja integrare cu Elastic Stack și, dacă utilizați versiunea gratuită a Elastic, InTrust poate fi folosit ca instrument pentru identificarea amenințărilor, efectuarea de alerte proactive și trimiterea de notificări.

Sper că articolul a dat o idee minimă despre acest produs. Suntem gata să vă oferim InTrust pentru testare sau desfășurare un proiect pilot. Aplicația poate fi lăsată la formular de feedback pe site-ul nostru.