බොහෝ කලකට පෙර, Splunk තවත් බලපත්ර ආකෘතියක් එක් කළේය - යටිතල පහසුකම් මත පදනම් වූ බලපත්ර (
එය බියජනක ලෙස පෙනේ, නමුත් සමහර විට මෙම ගෘහ නිර්මාණ ශිල්පය නිෂ්පාදනයේදී ක්රියා කරයි. සංකීර්ණත්වය ආරක්ෂාව විනාශ කරන අතර, පොදුවේ ගත් කල, සියල්ල මරා දමයි. ඇත්ත වශයෙන්ම, එවැනි අවස්ථා සඳහා (මම කතා කරන්නේ හිමිකාරිත්වයේ පිරිවැය අඩු කිරීම ගැන) සම්පූර්ණ පද්ධති පන්තියක් ඇත - මධ්යම ලොග් කළමනාකරණය (CLM). ඒ ගැන
- අයවැය සහ කාර්ය මණ්ඩල සීමාවන්, ආරක්ෂක අධීක්ෂණ අවශ්යතා සහ විශේෂිත භාවිත අවස්ථා අවශ්යතා ඇති විට CLM හැකියාවන් සහ මෙවලම් භාවිතා කරන්න.
- SIEM විසඳුමක් මිල අධික හෝ සංකීර්ණ බව ඔප්පු වන විට ලොග් එකතු කිරීමේ සහ විශ්ලේෂණ හැකියාවන් වැඩි දියුණු කිරීමට CLM ක්රියාත්මක කරන්න.
- ආරක්ෂක සිද්ධි විමර්ශන/විශ්ලේෂණ වැඩිදියුණු කිරීමට සහ තර්ජන දඩයම් කිරීම සඳහා කාර්යක්ෂම ගබඩා කිරීම, වේගවත් සෙවීම සහ නම්යශීලී දෘශ්යකරණය සමඟ CLM මෙවලම් සඳහා ආයෝජනය කරන්න.
- CLM විසඳුමක් ක්රියාත්මක කිරීමට පෙර අදාළ සාධක සහ සලකා බැලීම් සැලකිල්ලට ගන්නා බවට සහතික වන්න.
මෙම ලිපියෙන් අපි බලපත්ර ලබා ගැනීමේ ප්රවේශවල වෙනස්කම් ගැන කතා කරමු, අපි CLM තේරුම් ගෙන මෙම පන්තියේ නිශ්චිත පද්ධතියක් ගැන කතා කරමු -
මෙම ලිපිය ආරම්භයේදී මම Splunk බලපත්ර ලබා ගැනීමේ නව ප්රවේශය ගැන කතා කළෙමි. බලපත්ර වර්ග මෝටර් රථ කුලියට ගැනීමේ ගාස්තු සමඟ සැසඳිය හැක. CPU ගණන අනුව, මාදිලිය අසීමිත සැතපුම් සහ පෙට්රල් සහිත ආර්ථිකමය මෝටර් රථයක් යැයි සිතමු. ඔබට දුර සීමාවන් නොමැතිව ඕනෑම තැනකට යා හැකිය, නමුත් ඔබට ඉතා වේගයෙන් යා නොහැකි අතර, ඒ අනුව, දිනකට කිලෝමීටර් ගණනාවක් ආවරණය කරයි. දත්ත බලපත්රය දෛනික සැතපුම් මාදිලියක් සහිත ක්රීඩා මෝටර් රථයකට සමාන වේ. ඔබට නොසැලකිලිමත් ලෙස දිගු දුරක් ධාවනය කළ හැකි නමුත් දෛනික සැතපුම් සීමාව ඉක්මවීම සඳහා ඔබට වැඩිපුර ගෙවීමට සිදුවේ.
බර මත පදනම් වූ බලපත්ර ලබා දීමෙන් ප්රතිලාභ ලබා ගැනීම සඳහා, ඔබට පටවා ඇති දත්ත ප්රමාණයට CPU මධ්යයේ අවම අනුපාතයක් තිබිය යුතුය. ප්රායෝගිකව, මෙයින් අදහස් කරන්නේ එවැනි දෙයක්:
- පූරණය කරන ලද දත්ත සඳහා හැකි කුඩාම විමසුම් සංඛ්යාව.
- විසඳුම භාවිතා කරන්නන් කුඩාම සංඛ්යාව.
- හැකිතාක් සරල සහ සාමාන්යකරණය කළ දත්ත (පසුව දත්ත සැකසීම සහ විශ්ලේෂණය සඳහා CPU චක්ර නාස්ති කිරීමට අවශ්ය නොවන පරිදි).
මෙහි ඇති වඩාත්ම ගැටලුකාරී දෙය නම් සාමාන්යකරණය වූ දත්ත ය. ඔබට SIEM ආයතනයක් ආයතනයක ඇති සියලුම ලඝු එකතුකරන්නෙකු වීමට අවශ්ය නම්, එය විග්රහ කිරීමේදී සහ පසු-සැකසීමේදී විශාල උත්සාහයක් අවශ්ය වේ. බරට නොවැටෙන ගෘහ නිර්මාණ ශිල්පයක් ගැනද ඔබ සිතිය යුතු බව අමතක නොකරන්න, එනම්. අමතර සේවාදායකයන් සහ එබැවින් අමතර ප්රොසෙසර් අවශ්ය වනු ඇත.
දත්ත වෙළුම් බලපත්රය පදනම් වී ඇත්තේ SIEM හි maw වෙත යවන දත්ත ප්රමාණය මතය. අමතර දත්ත මූලාශ්ර රුබල් (හෝ වෙනත් මුදල්) මගින් දඩුවම් ලැබිය හැකි අතර මෙය ඔබට ඇත්තටම එකතු කිරීමට අවශ්ය නොවූ දේ ගැන සිතීමට සලස්වයි. මෙම බලපත්ර ආකෘතිය අභිබවා යාමට, ඔබට එය SIEM පද්ධතියට එන්නත් කිරීමට පෙර දත්ත බයිට් කළ හැක. එන්නත් කිරීමට පෙර එවැනි සාමාන්යකරණයක එක් උදාහරණයක් නම් ඉලාස්ටික් ස්ටැක් සහ වෙනත් වාණිජ SIEM ය.
එහි ප්රතිඵලයක් වශයෙන්, ඔබට අවම පෙර සැකසුම් සහිත ඇතැම් දත්ත පමණක් රැස් කිරීමට අවශ්ය වූ විට යටිතල පහසුකම් මගින් බලපත්ර ලබා දීම ඵලදායී වන අතර, පරිමාව අනුව බලපත්ර ලබා දීමෙන් ඔබට සියල්ල එකතු කිරීමට ඉඩ නොදේ. අතරමැදි විසඳුමක් සෙවීම පහත නිර්ණායක වෙත යොමු කරයි:
- දත්ත එකතු කිරීම සහ සාමාන්යකරණය සරල කරන්න.
- ඝෝෂාකාරී සහ අවම වැදගත් දත්ත පෙරීම.
- විශ්ලේෂණ හැකියාවන් ලබා දීම.
- පෙරූ සහ සාමාන්යකරණය කළ දත්ත SIEM වෙත යවන්න
එහි ප්රතිඵලයක් වශයෙන්, ඉලක්කගත SIEM පද්ධති සැකසීමේදී අමතර CPU බලය නාස්ති කිරීමට අවශ්ය නොවනු ඇති අතර සිදුවෙමින් පවතින දේ පිළිබඳ දෘශ්යතාව අඩු නොකර වඩාත් වැදගත් සිදුවීම් පමණක් හඳුනා ගැනීමෙන් ප්රයෝජන ගත හැකිය.
ඉතා මැනවින්, එවැනි මිඩ්ල්වෙයාර් විසඳුමක් තත්ය කාලීන හඳුනාගැනීමේ සහ ප්රතිචාර දැක්වීමේ හැකියාව ලබා දිය යුතු අතර එය අනතුරුදායක ක්රියාකාරකම්වල බලපෑම අඩු කිරීමට සහ සමස්ත සිදුවීම් ප්රවාහයම SIEM වෙත ප්රයෝජනවත් සහ සරල දත්ත ප්රමාණයක් බවට එකතු කිරීමට භාවිතා කළ හැකිය. හොඳයි, එවිට SIEM අතිරේක එකතු කිරීම්, සහසම්බන්ධතා සහ අනතුරු ඇඟවීමේ ක්රියාවලි නිර්මාණය කිරීමට භාවිතා කළ හැක.
එම අද්භූත අතරමැදි විසඳුම අන් කිසිවක් නොව මම ලිපියේ ආරම්භයේ සඳහන් කළ CLM ය. ගාට්නර් එය දකින ආකාරය මෙයයි:
දැන් ඔබට InTrust Gartner නිර්දේශයන්ට අනුකූල වන්නේ කෙසේදැයි සොයා බැලීමට උත්සාහ කළ හැකිය:
- ගබඩා කළ යුතු දත්ත පරිමාවන් සහ වර්ග සඳහා කාර්යක්ෂම ගබඩා කිරීම.
- ඉහළ සෙවුම් වේගය.
- දෘශ්යකරණ හැකියාවන් මූලික CLM සඳහා අවශ්ය නොවේ, නමුත් තර්ජන දඩයම් කිරීම ආරක්ෂාව සහ දත්ත විශ්ලේෂණ සඳහා BI පද්ධතියක් වැනිය.
- ප්රයෝජනවත් සන්දර්භීය දත්ත (භූ පිහිටීම සහ වෙනත්) සමඟ අමු දත්ත පොහොසත් කිරීමට දත්ත පොහොසත් කිරීම.
Quest InTrust විසින් 40:1 දක්වා දත්ත සම්පීඩනය සහ අධිවේගී අඩුකිරීම් සමඟ තමන්ගේම ගබඩා පද්ධතියක් භාවිතා කරයි, එය CLM සහ SIEM පද්ධති සඳහා ගබඩා පොදු කාර්ය අඩු කරයි.
ගූගල් වැනි සෙවුමක් සහිත තොරතුරු තාක්ෂණ ආරක්ෂක සෙවුම් කොන්සෝලය
විශේෂිත වෙබ්-පාදක තොරතුරු තාක්ෂණ ආරක්ෂණ සෙවුම් (ITSS) මොඩියුලය InTrust ගබඩාවේ සිදුවීම් දත්ත වෙත සම්බන්ධ විය හැකි අතර තර්ජන සෙවීම සඳහා සරල අතුරු මුහුණතක් සපයයි. සිදුවීම් ලොග් දත්ත සඳහා ගූගල් මෙන් ක්රියා කරන තරමට අතුරු මුහුණත සරල කර ඇත. ITSS විමසුම් ප්රතිඵල සඳහා කාලරේඛා භාවිතා කරයි, සිදුවීම් ක්ෂේත්ර ඒකාබද්ධ කිරීමට සහ සමූහ කිරීමට, සහ තර්ජන දඩයම් කිරීමේදී ඵලදායී ලෙස සහාය වේ.
InTrust ආරක්ෂක හඳුනාගැනීම්, ගොනු නාම සහ ආරක්ෂක පිවිසුම් හඳුනාගැනීම් සමඟින් Windows සිදුවීම් පොහොසත් කරයි. InTrust විසින් සිදුවීම් සරල W6 ක්රමයකට (කවුද, කුමක්, කොහේද, කවදාද, කවුරුන්ද සහ කොහෙන්ද) සාමාන්යකරණය කරයි, එවිට විවිධ මූලාශ්රවලින් (Windows ස්වදේශීය සිදුවීම්, Linux ලොග හෝ syslog) දත්ත තනි ආකෘතියකින් සහ එකකින් දැකිය හැක. සෙවුම් කොන්සෝලය.
InTrust සැක කටයුතු ක්රියාකාරකම් නිසා සිදුවන හානිය අවම කිරීම සඳහා EDR වැනි පද්ධතියක් ලෙස භාවිත කළ හැකි තත්ය කාලීන අනතුරු ඇඟවීම්, හඳුනාගැනීම් සහ ප්රතිචාර හැකියාවන් සඳහා සහය දක්වයි. ගොඩනඟන ලද ආරක්ෂක නීති පහත සඳහන් තර්ජන හඳුනා ගනී, නමුත් ඒවාට සීමා නොවේ:
- මුරපද ඉසීම.
- Kerberoasting.
- Mimikatz ක්රියාත්මක කිරීම වැනි සැක සහිත PowerShell ක්රියාකාරකම්.
- සැක සහිත ක්රියාවලි, උදාහරණයක් ලෙස, LokerGoga ransomware.
- CA4FS ලඝු-සටහන් භාවිතයෙන් සංකේතනය කිරීම.
- වැඩපොළවල වරප්රසාදිත ගිණුමක් සමඟින් පුරනය වීම.
- මුරපද අනුමාන ප්රහාර.
- දේශීය පරිශීලක කණ්ඩායම් සැක සහිත භාවිතය.
දැන් මම ඔබට InTrust හි තිරපිටපත් කිහිපයක් පෙන්වන්නම්, එවිට ඔබට එහි හැකියාවන් පිළිබඳ හැඟීමක් ලබා ගත හැක.
විභව දුර්වලතා සෙවීමට පූර්ව නිශ්චිත පෙරහන්
අමු දත්ත එකතු කිරීම සඳහා පෙරහන් කට්ටලයක උදාහරණයක්
සිදුවීමකට ප්රතිචාරයක් නිර්මාණය කිරීමට සාමාන්ය ප්රකාශන භාවිතා කිරීමේ උදාහරණයක්
PowerShell අවදානම් සෙවුම් රීතියක් සමඟ උදාහරණයක්
අනාරක්ෂිතතා පිළිබඳ විස්තර සහිතව ගොඩනඟන ලද දැනුම් පදනම
InTrust යනු මා ඉහත විස්තර කළ පරිදි ස්වාධීන විසඳුමක් ලෙස හෝ SIEM පද්ධතියේ කොටසක් ලෙස භාවිතා කළ හැකි බලවත් මෙවලමකි. බොහෝ විට මෙම විසඳුමේ ප්රධාන වාසිය වන්නේ ස්ථාපනය කිරීමෙන් පසු වහාම එය භාවිතා කිරීම ආරම්භ කළ හැකි බැවිනි InTrust සතුව තර්ජන හඳුනා ගැනීමට සහ ඒවාට ප්රතිචාර දැක්වීම සඳහා විශාල නීති පුස්තකාලයක් ඇත (උදාහරණයක් ලෙස, පරිශීලකයෙකු අවහිර කිරීම).
ලිපියේ මම කොටු ඒකාබද්ධ කිරීම් ගැන කතා කළේ නැහැ. නමුත් ස්ථාපනය කළ වහාම, ඔබට සිදුවීම් Splunk, IBM QRadar, Microfocus Arcsight හෝ වෙනත් ඕනෑම පද්ධතියකට webhook හරහා යැවීම වින්යාසගත කළ හැක. පහත දැක්වෙන්නේ InTrust වෙතින් සිදුවීම් සහිත Kibana අතුරු මුහුණතක උදාහරණයකි. ඉලාස්ටික් ස්ටැක් සමඟ දැනටමත් ඒකාබද්ධතාවයක් ඇති අතර, ඔබ ඉලාස්ටික් හි නිදහස් අනුවාදය භාවිතා කරන්නේ නම්, තර්ජන හඳුනා ගැනීම, ක්රියාශීලී ඇඟවීම් සිදු කිරීම සහ දැනුම්දීම් යැවීම සඳහා මෙවලමක් ලෙස InTrust භාවිතා කළ හැකිය.
ලිපිය මෙම නිෂ්පාදනය පිළිබඳ අවම අදහසක් ලබා දෙනු ඇතැයි මම බලාපොරොත්තු වෙමි. අත්හදා බැලීම හෝ නියමු ව්යාපෘතියක් පැවැත්වීම සඳහා ඔබට InTrust ලබා දීමට අපි සූදානම්. අයදුම් පත්රය ඉතිරි කළ හැක
තොරතුරු ආරක්ෂාව පිළිබඳ අපගේ අනෙකුත් ලිපි කියවන්න:
මූලාශ්රය: www.habr.com