گهڻو وقت اڳ، اسپلڪ هڪ ٻيو لائسنس وارو ماڊل شامل ڪيو - انفراسٽرڪچر تي ٻڌل لائسنسنگ (). اهي Splunk سرور جي تحت سي پي يو ڪور جو تعداد شمار ڪن ٿا. لچڪدار اسٽيڪ لائسنسنگ سان بلڪل ملندڙ جلندڙ، اهي Elasticsearch نوڊس جو تعداد شمار ڪن ٿا. SIEM سسٽم روايتي طور تي قيمتي هوندا آهن ۽ عام طور تي تمام گهڻو ادا ڪرڻ ۽ تمام گهڻو ادا ڪرڻ جي وچ ۾ هڪ انتخاب آهي. پر، جيڪڏھن توھان ڪجھ ذھني استعمال ڪريو ٿا، توھان ھڪڙي ھڪڙي ٺھيل کي گڏ ڪري سگھو ٿا.
اهو خوفناڪ ڏسڻ ۾ اچي ٿو، پر ڪڏهن ڪڏهن هي فن تعمير پيداوار ۾ ڪم ڪري ٿو. پيچيدگي سيڪيورٽي کي ماريندو آهي، ۽، عام طور تي، هر شيء کي ماريندو آهي. حقيقت ۾، اهڙن ڪيسن لاء (مان ملڪيت جي قيمت کي گهٽائڻ جي باري ۾ ڳالهائي رهيو آهيان) سسٽم جو هڪ سڄو طبقو آهي - سينٽرل لاگ مئنيجمينٽ (CLM). ان بابت ، انهن کي گهٽ سمجهي. هتي انهن جون سفارشون آهن:
- CLM صلاحيتون ۽ اوزار استعمال ڪريو جڏهن بجيٽ ۽ عملي جي رڪاوٽون، سيڪيورٽي مانيٽرنگ جون گهرجون، ۽ مخصوص استعمال جي ڪيس جون گهرجون آهن.
- لاگ گڏ ڪرڻ ۽ تجزيي جي صلاحيتن کي وڌائڻ لاءِ CLM لاڳو ڪريو جڏهن SIEM حل تمام مهانگو يا پيچيده ثابت ٿئي.
- CLM اوزارن ۾ سيڙپ ڪريو موثر اسٽوريج، تيز ڳولا ۽ لچڪدار بصري سان سيڪيورٽي واقعن جي تحقيق/تجزيي کي بهتر بڻائڻ ۽ خطري جي شڪار کي سپورٽ ڪرڻ.
- پڪ ڪريو ته CLM حل لاڳو ڪرڻ کان پهريان قابل اطلاق عنصر ۽ غور ويچار ڪيو وڃي.
هن آرٽيڪل ۾ اسان لائسنس ڏيڻ جي طريقن ۾ اختلافن بابت ڳالهائينداسين، اسان CLM کي سمجھنداسين ۽ هن طبقي جي هڪ مخصوص سسٽم بابت ڳالهائينداسين. . ڪٽ جي هيٺان تفصيل.
هن آرٽيڪل جي شروعات ۾، مون اسپلڪ لائسنسنگ جي نئين طريقي جي باري ۾ ڳالهايو. لائسنس جا قسم ڪار جي رينجر جي شرحن جي مقابلي ۾ ٿي سگھن ٿا. اچو ته تصور ڪريو ته ماڊل، سي پي يوز جي تعداد جي لحاظ کان، لامحدود ميلج ۽ گيسولين سان گڏ هڪ اقتصادي ڪار آهي. توهان فاصلي جي پابندين کان سواءِ ڪٿي به وڃي سگهو ٿا، پر توهان تمام تيزيءَ سان نه ٿا وڃو ۽، مطابق، هڪ ڏينهن ۾ ڪيترن ئي ڪلوميٽرن جو احاطو ڪيو. ڊيٽا لائسنسنگ هڪ راندين ڪار وانگر آهي روزاني ميلج ماڊل سان. توهان لاپرواهيءَ سان ڊگھي فاصلي تي ڊرائيو ڪري سگهو ٿا، پر توهان کي روزاني مائليج جي حد کان وڌيڪ قيمت ادا ڪرڻي پوندي.
لوڊ تي ٻڌل لائسنس مان فائدو حاصل ڪرڻ لاءِ، توهان کي گهرجي ته سي پي يو ڪور جو گهٽ ۾ گهٽ ممڪن تناسب GB تائين لوڊ ٿيل ڊيٽا جي. عملي طور تي، هن جو مطلب آهي:
- لوڊ ٿيل ڊيٽا لاء سوالن جو ننڍڙو ممڪن نمبر.
- حل جي ممڪن استعمال ڪندڙن جو ننڍڙو تعداد.
- جيترو ٿي سگهي سادو ۽ عام ڪيل ڊيٽا (انهي ڪري ته ايندڙ ڊيٽا پروسيسنگ ۽ تجزيو تي سي پي يو چڪر کي ضايع ڪرڻ جي ڪا ضرورت ناهي).
هتي سڀ کان وڌيڪ مسئلو آهي عام ڊيٽا. جيڪڏهن توهان چاهيو ٿا ته هڪ SIEM هڪ تنظيم ۾ سڀني لاگن جو مجموعو هجي، ان کي پارس ڪرڻ ۽ پوسٽ پروسيسنگ ۾ وڏي ڪوشش جي ضرورت آهي. اهو نه وساريو ته توهان کي پڻ هڪ فن تعمير جي باري ۾ سوچڻ جي ضرورت آهي جيڪا لوڊ هيٺ ڌار نه ٿيندي، يعني. اضافي سرورز ۽ تنهن ڪري اضافي پروسيسرز جي ضرورت پوندي.
ڊيٽا حجم لائسنسنگ ڊيٽا جي مقدار تي ٻڌل آهي جيڪا SIEM جي مائو ۾ موڪلي وئي آهي. ڊيٽا جا اضافي ذريعا روبل (يا ٻي ڪرنسي) جي سزا لائق آهن ۽ اهو توهان کي انهي بابت سوچيندو آهي جيڪو توهان واقعي گڏ ڪرڻ نٿا چاهيو. هن لائسنس جي ماڊل کي ختم ڪرڻ لاء، توهان ڊيٽا کي ڪٽي سگهو ٿا ان کان اڳ ان کي SIEM سسٽم ۾ انجڻ ڪيو وڃي. انجيڪشن کان اڳ اهڙي عام ٿيڻ جو هڪ مثال لچڪدار اسٽيڪ ۽ ڪجهه ٻيون تجارتي SIEMs آهن.
نتيجي طور، اسان وٽ اهو آهي ته انفراسٽرڪچر طرفان لائسنسنگ اثرائتو آهي جڏهن توهان کي صرف ڪجهه ڊيٽا گڏ ڪرڻ جي ضرورت آهي گهٽ ۾ گهٽ اڳڀرائي سان، ۽ حجم طرفان لائسنس ڏيڻ توهان کي هر شي گڏ ڪرڻ جي اجازت نه ڏيندو. وچولي حل جي ڳولا هيٺ ڏنل معيارن جي ڪري ٿي.
- ڊيٽا گڏ ڪرڻ ۽ عام ڪرڻ کي آسان ڪريو.
- شور ۽ گهٽ ۾ گهٽ اهم ڊيٽا جي فلٽرنگ.
- تجزيو صلاحيتون مهيا ڪرڻ.
- SIEM ڏانهن فلٽر ٿيل ۽ معمولي ڊيٽا موڪليو
نتيجي طور، ٽارگيٽ SIEM سسٽم کي پروسيسنگ تي اضافي سي پي يو پاور ضايع ڪرڻ جي ضرورت نه هوندي ۽ جيڪي ٿي رهيو آهي ان ۾ نمائش کي گهٽائڻ کان سواءِ صرف اهم واقعن جي نشاندهي ڪرڻ مان فائدو حاصل ڪري سگھن ٿا.
مثالي طور، اهڙي مڊل ويئر حل کي حقيقي وقت جي ڳولا ۽ جوابي صلاحيتون پڻ مهيا ڪرڻ گهرجن جيڪي ممڪن طور تي خطرناڪ سرگرمين جي اثر کي گهٽائڻ لاءِ استعمال ڪري سگھجن ٿيون ۽ واقعن جي پوري وهڪري کي مجموعي طور تي ڊيٽا جي هڪ مفيد ۽ سادي مقدار ۾ SIEM ڏانهن. خير، پوءِ SIEM استعمال ڪري سگھجي ٿو اضافي مجموعن، لاڳاپن ۽ خبرداري واري عمل کي ٺاهڻ لاءِ.
اهو ساڳيو پراسرار وچولي حل CLM کان سواء ٻيو ڪو به ناهي، جنهن جو ذڪر مون آرٽيڪل جي شروعات ۾ ڪيو آهي. اهو ڪيئن آهي گارٽنر ان کي ڏسي ٿو:
ھاڻي توھان ڪوشش ڪري سگھوٿا اھو معلوم ڪرڻ جي ڪيئن InTrust گارٽنر جي سفارشن سان تعميل ڪري ٿو:
- ڊيٽا جي مقدار ۽ قسمن لاءِ موثر اسٽوريج جنهن کي ذخيرو ڪرڻ جي ضرورت آهي.
- تيز ڳولا جي رفتار.
- بصري صلاحيتون نه آهن جيڪي بنيادي CLM جي ضرورت هونديون آهن، پر خطري جو شڪار سيڪيورٽي ۽ ڊيٽا اينالائيٽڪس لاءِ BI سسٽم وانگر آهي.
- ڊيٽا کي بهتر ڪرڻ لاءِ خام ڊيٽا کي بهتر ڪرڻ لاءِ مفيد لاڳاپيل ڊيٽا سان گڏ (جهڙوڪ جيولوڪيشن ۽ ٻيا).
Quest InTrust 40: 1 ڊيٽا ڪمپريشن ۽ تيز رفتار جي نقل سان گڏ پنهنجو اسٽوريج سسٽم استعمال ڪري ٿو، جيڪو CLM ۽ SIEM سسٽم لاءِ اسٽوريج اوور هيڊ گھٽائي ٿو.
آئي ٽي سيڪيورٽي سرچ ڪنسول گوگل جهڙي ڳولا سان
هڪ خاص ويب تي ٻڌل IT سيڪيورٽي سرچ (ITSS) ماڊل InTrust مخزن ۾ واقع ڊيٽا سان ڳنڍجي سگهي ٿو ۽ خطرن جي ڳولا لاءِ هڪ سادي انٽرفيس مهيا ڪري ٿو. انٽرفيس کي ان نقطي تي آسان ڪيو ويو آهي ته اهو گوگل وانگر ڪم ڪري ٿو ايونٽ لاگ ڊيٽا لاءِ. ITSS سوالن جي نتيجن لاءِ ٽائم لائنون استعمال ڪري ٿو، ضم ڪري سگھي ٿو ۽ ايونٽ فيلڊز کي گروپ ڪري ٿو، ۽ مؤثر طريقي سان خطري جي شڪار ۾ مدد ڪري ٿو.
InTrust ونڊوز واقعن کي سيڪيورٽي سڃاڻپ ڪندڙ، فائل جا نالا، ۽ سيڪيورٽي لاگ ان سڃاڻپ ڪندڙ سان گڏ ڪري ٿو. InTrust واقعن کي عام ڪري ٿو ھڪڙي سادي W6 اسڪيما (ڪير، ڇا، ڪٿي، ڪڏھن، ڪنھن ۽ ڪٿان کان) ته جيئن مختلف ذريعن کان ڊيٽا (ونڊوز اصلي واقعا، لينڪس لاگز يا syslog) ھڪڙي شڪل ۾ ۽ ھڪڙي ھڪڙي تي ڏسي سگھجي ٿو. ڳولا ڪنسول.
InTrust حقيقي وقت جي خبرداري، ڳولڻ ۽ جوابي صلاحيتن کي سپورٽ ڪري ٿو جيڪي مشڪوڪ سرگرمي جي ڪري نقصان کي گھٽائڻ لاءِ EDR-جهڙو نظام استعمال ڪري سگھجن ٿيون. تعمير ٿيل حفاظتي ضابطن کي ڳولي ٿو، پر محدود نه آهن، هيٺ ڏنل خطرن:
- پاسورڊ اسپري ڪرڻ.
- ڪربرواسٽنگ.
- مشڪوڪ PowerShell سرگرمي، جهڙوڪ Mimikatz جي عملدرآمد.
- مشڪوڪ عمل، مثال طور، لوڪر گوگا ransomware.
- CA4FS لاگ استعمال ڪندي انڪرپشن.
- ڪم اسٽيشنن تي هڪ امتيازي اڪائونٽ سان لاگ ان.
- پاسورڊ جو اندازو لڳائڻ وارا حملا.
- مقامي استعمال ڪندڙ گروپن جو مشڪوڪ استعمال.
ھاڻي مان توھان کي ڏيکاريان ٿو ڪجھ اسڪرين شاٽ InTrust جو ته جيئن توھان ان جي صلاحيتن جو تاثر حاصل ڪري سگھو.
اڳواٽ طئي ٿيل فلٽر امڪاني نقصانن جي ڳولا لاءِ
خام ڊيٽا گڏ ڪرڻ لاء فلٽر جي هڪ سيٽ جو هڪ مثال
ھڪڙو مثال استعمال ڪرڻ جو باقاعده اظهار استعمال ڪرڻ لاء ھڪڙي واقعي جو جواب ٺاھيو
مثال PowerShell vulnerability ڳولا قاعدي سان
بلٽ-ان علم جو بنياد نقصانن جي وضاحت سان
InTrust هڪ طاقتور اوزار آهي جيڪو استعمال ڪري سگهجي ٿو هڪ اسٽائل حل يا SIEM سسٽم جي حصي طور، جيئن مون مٿي بيان ڪيو آهي. شايد هن حل جو بنيادي فائدو اهو آهي ته توهان ان کي انسٽاليشن کان فوري طور تي استعمال ڪرڻ شروع ڪري سگهو ٿا، ڇاڪاڻ ته InTrust ۾ خطرن کي ڳولڻ ۽ انهن کي جواب ڏيڻ لاءِ ضابطن جي هڪ وڏي لائبريري آهي (مثال طور، صارف کي بلاڪ ڪرڻ).
مضمون ۾ مون باڪس ٿيل انضمام بابت نه ڳالهايو. پر انسٽاليشن کان پوءِ فوري طور تي، توھان ترتيب ڏئي سگھوٿا موڪلڻ واقعن کي Splunk، IBM QRadar، Microfocus Arcsight، يا ويب ھوڪ ذريعي ڪنھن ٻئي سسٽم ڏانھن. هيٺ ڏنل هڪ مثال آهي Kibana انٽرفيس سان واقعن سان InTrust. لچڪدار اسٽيڪ سان اڳ ۾ ئي انضمام آهي ۽، جيڪڏهن توهان ايلاسٽڪ جو مفت ورزن استعمال ڪريو ٿا، ته InTrust خطرن کي سڃاڻڻ، فعال الرٽ انجام ڏيڻ ۽ نوٽيفڪيشن موڪلڻ لاءِ اوزار طور استعمال ٿي سگهي ٿو.
مون کي اميد آهي ته آرٽيڪل هن پيداوار بابت گهٽ ۾ گهٽ خيال ڏنو. اسان تيار آهيون توهان کي InTrust جي جاچ لاءِ يا پائلٽ پروجيڪٽ هلائڻ لاءِ. اپليڪيشن تي ڇڏي سگھجي ٿو اسان جي ويب سائيٽ تي.
معلومات جي حفاظت تي اسان جا ٻيا مضمون پڙهو:
(مشهور مضمون)
جو ذريعو: www.habr.com