Nie je to tak dávno, čo Splunk pridal ďalší licenčný model – licencovanie založené na infraštruktúre (). Počítajú počet jadier CPU pod servermi Splunk. Veľmi podobne ako licencovanie Elastic Stack, počítajú počet uzlov Elasticsearch. Systémy SIEM sú tradične drahé a zvyčajne je na výber medzi platením veľa a veľa. Ale ak použijete nejakú vynaliezavosť, môžete zostaviť podobnú štruktúru.
Vyzerá to strašidelne, ale niekedy táto architektúra funguje vo výrobe. Zložitosť zabíja bezpečnosť a vo všeobecnosti zabíja všetko. V skutočnosti pre takéto prípady (hovorím o znížení nákladov na vlastníctvo) existuje celá trieda systémov - Centrálna správa protokolov (CLM). O tom , považujúc ich za podhodnotené. Tu sú ich odporúčania:
- Použite možnosti a nástroje CLM, keď existujú rozpočtové a personálne obmedzenia, požiadavky na monitorovanie bezpečnosti a špecifické požiadavky na prípady použitia.
- Implementujte CLM na zlepšenie zberu protokolov a možností analýzy, keď sa riešenie SIEM ukáže ako príliš drahé alebo zložité.
- Investujte do nástrojov CLM s efektívnym ukladaním, rýchlym vyhľadávaním a flexibilnou vizualizáciou na zlepšenie vyšetrovania/analýzy bezpečnostných incidentov a podporu vyhľadávania hrozieb.
- Pred implementáciou riešenia CLM sa uistite, že sú zohľadnené príslušné faktory a úvahy.
V tomto článku si povieme o rozdieloch v prístupoch k licencovaniu, pochopíme CLM a porozprávame sa o špecifickom systéme tejto triedy - . Detaily pod strihom.
Na začiatku tohto článku som hovoril o novom prístupe k licencovaniu Splunk. Typy licencií možno prirovnať k cenám prenájmu áut. Predstavme si, že model je z hľadiska počtu CPU ekonomické auto s neobmedzeným počtom najazdených kilometrov a benzínom. Môžete ísť kamkoľvek bez obmedzenia vzdialenosti, ale nemôžete ísť veľmi rýchlo, a preto prejsť veľa kilometrov denne. Licencovanie dát je podobné ako pri športovom aute s modelom denných kilometrov. Na veľké vzdialenosti môžete jazdiť bezohľadne, no za prekročenie denného limitu kilometrov si budete musieť priplatiť.
Ak chcete využívať výhody licencovania založeného na zaťažení, musíte mať čo najnižší pomer jadier CPU k načítaným GB dát. V praxi to znamená niečo ako:
- Najmenší možný počet dopytov na načítané dáta.
- Najmenší počet možných používateľov riešenia.
- Čo najjednoduchšie a normalizované dáta (takže nie je potrebné plytvať cyklami CPU na následné spracovanie a analýzu dát).
Najproblematickejšou vecou sú normalizované údaje. Ak chcete, aby SIEM bol agregátorom všetkých protokolov v organizácii, vyžaduje si to obrovské množstvo úsilia pri analýze a následnom spracovaní. Nezabudnite, že treba myslieť aj na architektúru, ktorá sa pri záťaži nerozpadne, t.j. ďalšie servery a preto budú potrebné ďalšie procesory.
Licencovanie dátového objemu je založené na množstve dát, ktoré sa posielajú do chúťok SIEM. Dodatočné zdroje údajov sa trestajú rubľom (alebo inou menou), čo vás núti premýšľať o tom, čo ste v skutočnosti nechceli zbierať. Ak chcete prekabátiť tento licenčný model, môžete údaje pred ich vložením do systému SIEM uhryznúť. Jedným príkladom takejto normalizácie pred vstrekovaním je Elastic Stack a niektoré ďalšie komerčné SIEM.
Výsledkom je, že licencovanie podľa infraštruktúry je efektívne, keď potrebujete zbierať len určité údaje s minimálnym predbežným spracovaním, a licencovanie podľa objemu vám neumožní zbierať vôbec všetko. Hľadanie prechodného riešenia vedie k nasledujúcim kritériám:
- Zjednodušte agregáciu a normalizáciu údajov.
- Фильтрация шумовых и наименее важных данных.
- Poskytovanie možností analýzy.
- Odošlite filtrované a normalizované údaje do SIEM
Výsledkom je, že cieľové systémy SIEM nebudú musieť plytvať dodatočným výkonom CPU na spracovanie a môžu ťažiť z identifikácie iba najdôležitejších udalostí bez zníženia viditeľnosti toho, čo sa deje.
V ideálnom prípade by takéto midlvérové riešenie malo poskytovať aj funkcie detekcie a odozvy v reálnom čase, ktoré možno použiť na zníženie vplyvu potenciálne nebezpečných činností a agregáciu celého prúdu udalostí do užitočného a jednoduchého kvanta údajov smerom k SIEM. Potom je možné SIEM použiť na vytvorenie ďalších agregácií, korelácií a procesov výstrah.
Tým istým záhadným prechodným riešením nie je nikto iný ako CLM, ktoré som spomenul na začiatku článku. Gartner to vidí takto:
Teraz sa môžete pokúsiť zistiť, ako InTrust spĺňa odporúčania Gartner:
- Efektívne úložisko pre objemy a typy údajov, ktoré je potrebné uložiť.
- Vysoká rýchlosť vyhľadávania.
- Možnosti vizualizácie nie sú to, čo vyžaduje základný CLM, ale vyhľadávanie hrozieb je ako systém BI pre bezpečnosť a analýzu údajov.
- Obohatenie údajov na obohatenie nespracovaných údajov o užitočné kontextové údaje (ako geolokácia a iné).
Quest InTrust používa vlastný úložný systém s kompresiou údajov až 40:1 a vysokorýchlostnou deduplikáciou, čo znižuje réžiu úložiska pre systémy CLM a SIEM.
Konzola IT Security Search s vyhľadávaním podobným google
Špecializovaný webový modul IT Security Search (ITSS) sa dokáže pripojiť k dátam udalostí v úložisku InTrust a poskytuje jednoduché rozhranie na vyhľadávanie hrozieb. Rozhranie je zjednodušené do tej miery, že pre údaje denníka udalostí funguje ako Google. ITSS využíva časové osi pre výsledky dotazov, dokáže zlúčiť a zoskupiť polia udalostí a efektívne pomáha pri hľadaní hrozieb.
InTrust obohacuje udalosti systému Windows o bezpečnostné identifikátory, názvy súborov a bezpečnostné prihlasovacie identifikátory. InTrust tiež normalizuje udalosti na jednoduchú schému W6 (kto, čo, kde, kedy, kto a odkiaľ), takže údaje z rôznych zdrojov (natívne udalosti systému Windows, protokoly Linuxu alebo syslog) je možné vidieť v jedinom formáte a na jednom vyhľadávacia konzola.
InTrust podporuje funkcie varovania, detekcie a reakcie v reálnom čase, ktoré možno použiť ako systém podobný EDR na minimalizáciu škôd spôsobených podozrivou aktivitou. Vstavané bezpečnostné pravidlá zisťujú, ale nie sú obmedzené na, nasledujúce hrozby:
- Striekanie hesla.
- Kerberoasting.
- Podozrivá aktivita PowerShell, ako napríklad vykonanie Mimikatzu.
- Podozrivé procesy, napríklad LokerGoga ransomware.
- Šifrovanie pomocou protokolov CA4FS.
- Prihlasovanie pomocou privilegovaného účtu na pracovných staniciach.
- Útoky na hádanie hesiel.
- Podozrivé používanie miestnych skupín používateľov.
Teraz vám ukážem niekoľko snímok obrazovky samotného InTrust, aby ste si mohli urobiť predstavu o jeho schopnostiach.
Preddefinované filtre na vyhľadávanie potenciálnych zraniteľností
Príklad sady filtrov na zber nespracovaných údajov
Príklad použitia regulárnych výrazov na vytvorenie odpovede na udalosť
Príklad s pravidlom vyhľadávania zraniteľnosti prostredia PowerShell
Zabudovaná vedomostná základňa s popismi zraniteľností
InTrust je výkonný nástroj, ktorý možno použiť ako samostatné riešenie alebo ako súčasť systému SIEM, ako som opísal vyššie. Asi hlavnou výhodou tohto riešenia je, že ho môžete začať používať ihneď po inštalácii, pretože InTrust má veľkú knižnicu pravidiel na zisťovanie hrozieb a reagovanie na ne (napríklad blokovanie používateľa).
V článku som nehovoril o krabicových integráciách. Hneď po inštalácii však môžete nakonfigurovať odosielanie udalostí do Splunk, IBM QRadar, Microfocus Arcsight alebo cez webhook do akéhokoľvek iného systému. Nižšie je uvedený príklad rozhrania Kibana s udalosťami z InTrust. Už existuje integrácia s Elastic Stack a ak používate bezplatnú verziu Elastic, InTrust možno použiť ako nástroj na identifikáciu hrozieb, vykonávanie proaktívnych upozornení a odosielanie upozornení.
Dúfam, že článok poskytol minimálnu predstavu o tomto produkte. Sme pripravení poskytnúť vám InTrust na testovanie alebo realizáciu pilotného projektu. Prihlášku je možné ponechať na na našej webovej stránke.
Prečítajte si naše ďalšie články o informačnej bezpečnosti:
(populárny článok)
Zdroj: hab.com