Pred kratkim je Splunk dodal še en model licenciranja - licenciranje na podlagi infrastrukture (). Štejejo število jeder CPU pod strežniki Splunk. Zelo podobno kot pri licenciranju Elastic Stack štejejo število vozlišč Elasticsearch. Sistemi SIEM so tradicionalno dragi in običajno obstaja izbira med plačilom veliko in plačilom veliko. Ampak, če uporabite nekaj iznajdljivosti, lahko sestavite podobno strukturo.
Videti je srhljivo, a včasih ta arhitektura deluje v proizvodnji. Kompleksnost ubija varnost in na splošno ubija vse. Pravzaprav za takšne primere (govorim o znižanju stroškov lastništva) obstaja cel razred sistemov - Central Log Management (CLM). O tem , saj menijo, da so podcenjeni. Tukaj so njihova priporočila:
- Uporabite zmogljivosti in orodja CLM, ko obstajajo proračunske in kadrovske omejitve, zahteve glede varnostnega nadzora in zahteve za posebne primere uporabe.
- Izvedite CLM za izboljšanje zmožnosti zbiranja in analize dnevnikov, ko se rešitev SIEM izkaže za predrago ali zapleteno.
- Investirajte v orodja CLM z učinkovitim shranjevanjem, hitrim iskanjem in prilagodljivo vizualizacijo za izboljšanje preiskave/analize varnostnih incidentov in podporo pri lovu na grožnje.
- Zagotovite, da so pred implementacijo rešitve CLM upoštevani ustrezni dejavniki in premisleki.
V tem članku bomo govorili o razlikah v pristopih k licenciranju, razumeli bomo CLM in govorili o posebnem sistemu tega razreda - . Detajli pod krojem.
Na začetku tega članka sem govoril o novem pristopu k licenciranju Splunk. Vrste licenc lahko primerjamo s cenami najema avtomobilov. Predstavljajmo si, da je model glede na število procesorjev varčen avto z neomejeno kilometrino in bencinom. Lahko greste kamor koli brez omejitev razdalje, vendar ne morete iti zelo hitro in posledično premagati veliko kilometrov na dan. Licenciranje podatkov je podobno modelu športnega avtomobila z dnevno kilometrino. Na dolge razdalje se lahko vozite lahkomiselno, vendar boste morali več plačati za prekoračeno dnevno omejitev prevoženih kilometrov.
Če želite izkoristiti licenciranje na podlagi obremenitve, morate imeti najnižje možno razmerje med jedri CPU in GB naloženih podatkov. V praksi to pomeni nekaj takega:
- Najmanjše možno število poizvedb do naloženih podatkov.
- Najmanjše možno število uporabnikov rešitve.
- Čim bolj preprosti in normalizirani podatki (tako da ni treba izgubljati CPU ciklov za kasnejšo obdelavo in analizo podatkov).
Najbolj problematična stvar pri tem so normalizirani podatki. Če želite, da je SIEM agregator vseh dnevnikov v organizaciji, zahteva ogromno truda pri razčlenjevanju in naknadni obdelavi. Ne pozabite, da morate razmišljati tudi o arhitekturi, ki ne bo razpadla pod obremenitvijo, tj. potrebni bodo dodatni strežniki in s tem dodatni procesorji.
Količinsko licenciranje podatkov temelji na količini podatkov, ki se pošljejo v režo SIEM. Dodatni viri podatkov se kaznujejo z rubljem (ali drugo valuto), zaradi česar pomislite, česa pravzaprav niste želeli zbrati. Če želite prelisičiti ta model licenciranja, lahko podatke pregriznete, preden so vstavljeni v sistem SIEM. En primer takšne normalizacije pred vbrizgavanjem je Elastic Stack in nekateri drugi komercialni SIEM-i.
Posledično imamo licenciranje po infrastrukturi učinkovito, ko morate zbrati samo določene podatke z minimalno predhodno obdelavo, licenciranje po količini pa vam ne bo omogočilo, da bi zbrali vse. Iskanje vmesne rešitve vodi do naslednjih kriterijev:
- Poenostavite združevanje in normalizacijo podatkov.
- Filtriranje šumnih in najmanj pomembnih podatkov.
- Zagotavljanje analitičnih zmogljivosti.
- Pošlji filtrirane in normalizirane podatke v SIEM
Posledično ciljnim sistemom SIEM ne bo treba zapravljati dodatne moči procesorja za obdelavo in lahko imajo koristi od prepoznavanja samo najpomembnejših dogodkov, ne da bi zmanjšali vpogled v dogajanje.
V idealnem primeru bi morala taka rešitev vmesne programske opreme zagotavljati tudi zmožnosti odkrivanja in odzivanja v realnem času, ki jih je mogoče uporabiti za zmanjšanje vpliva potencialno nevarnih dejavnosti in združevanje celotnega toka dogodkov v uporaben in preprost kvantum podatkov proti SIEM. No, potem lahko SIEM uporabite za ustvarjanje dodatnih združevanj, korelacije in procesov opozarjanja.
Ta ista skrivnostna vmesna rešitev ni nihče drug kot CLM, ki sem ga omenil na začetku članka. Gartner to vidi takole:
Zdaj lahko poskusite ugotoviti, kako je InTrust v skladu s priporočili Gartner:
- Učinkovito shranjevanje za količine in vrste podatkov, ki jih je treba shraniti.
- Visoka hitrost iskanja.
- Zmogljivosti vizualizacije niso tisto, kar zahteva osnovni CLM, vendar je lov na grožnje kot sistem poslovne inteligence za varnost in analizo podatkov.
- Obogatitev podatkov za obogatitev neobdelanih podatkov z uporabnimi kontekstualnimi podatki (kot je geolokacija in drugi).
Quest InTrust uporablja lasten sistem za shranjevanje s stiskanjem podatkov do 40:1 in hitro deduplikacijo, kar zmanjšuje stroške shranjevanja za sisteme CLM in SIEM.
IT Security Iskalna konzola z Googlovim podobnim iskanjem
Specializiran spletni modul IT Security Search (ITSS) se lahko poveže s podatki o dogodkih v repozitoriju InTrust in nudi preprost vmesnik za iskanje groženj. Vmesnik je poenostavljen do te mere, da deluje kot Google za podatke dnevnika dogodkov. ITSS uporablja časovnice za rezultate poizvedb, lahko združuje in združuje polja dogodkov ter učinkovito pomaga pri lovu na grožnje.
InTrust obogati dogodke Windows z varnostnimi identifikatorji, imeni datotek in varnostnimi identifikatorji za prijavo. InTrust prav tako normalizira dogodke v preprosto shemo W6 (kdo, kaj, kje, kdaj, od koga in od kod), tako da je mogoče podatke iz različnih virov (domači dogodki Windows, dnevniki Linux ali sistemski dnevnik) videti v eni sami obliki in na enem iskalna konzola.
InTrust podpira zmožnosti opozarjanja, zaznavanja in odzivanja v realnem času, ki se lahko uporabljajo kot sistem, podoben EDR, za zmanjšanje škode, ki jo povzroči sumljiva dejavnost. Vgrajena varnostna pravila zaznajo naslednje grožnje, vendar niso omejena nanje:
- Razprševanje gesel.
- Kerberoasting.
- Sumljiva dejavnost PowerShell, kot je izvajanje Mimikatza.
- Sumljivi procesi, na primer izsiljevalska programska oprema LokerGoga.
- Šifriranje z uporabo dnevnikov CA4FS.
- Prijava s privilegiranim računom na delovnih postajah.
- Napadi z ugibanjem gesel.
- Sumljiva uporaba lokalnih skupin uporabnikov.
Zdaj vam bom pokazal nekaj posnetkov zaslona samega InTrusta, da boste lahko dobili vtis o njegovih zmogljivostih.
Prednastavljeni filtri za iskanje potencialnih ranljivosti
Primer nabora filtrov za zbiranje neobdelanih podatkov
Primer uporabe regularnih izrazov za ustvarjanje odziva na dogodek
Primer s pravilom iskanja ranljivosti PowerShell
Vgrajena baza znanja z opisi ranljivosti
InTrust je zmogljivo orodje, ki se lahko uporablja kot samostojna rešitev ali kot del sistema SIEM, kot sem opisal zgoraj. Verjetno je glavna prednost te rešitve ta, da jo lahko začnete uporabljati takoj po namestitvi, ker InTrust ima veliko knjižnico pravil za odkrivanje groženj in odzivanje nanje (na primer blokiranje uporabnika).
V članku nisem govoril o škatlastih integracijah. Toda takoj po namestitvi lahko konfigurirate pošiljanje dogodkov v Splunk, IBM QRadar, Microfocus Arcsight ali prek webhooka v kateri koli drug sistem. Spodaj je primer vmesnika Kibana z dogodki iz InTrusta. Integracija z Elastic Stack že obstaja in če uporabljate brezplačno različico Elastic, lahko InTrust uporabite kot orodje za prepoznavanje groženj, izvajanje proaktivnih opozoril in pošiljanje obvestil.
Upam, da je članek podal minimalno predstavo o tem izdelku. Pripravljeni smo vam dati InTrust v testiranje ali izvesti pilotni projekt. Prijavo lahko pustite na na naši spletni strani.
Preberite naše druge članke o informacijski varnosti:
(poljuden članek)
Vir: www.habr.com