Muddo aan fogayn, Splunk waxay ku dartay nooc kale oo shatiga - shati ku salaysan kaabayaasha (). Waxay tiriyaan tirada kombuyuutarrada CPU ee hoos yimaada server-yada Splunk. Aad ayey ugu eg tahay shatiga Elastic Stack, waxay tiriyaan tirada noodhka Elasticsearch. Nidaamyada SIEM dhaqan ahaan waa qaali, caadi ahaanna waxaa jira kala doorasho u dhexeeya bixinta wax badan iyo bixinta wax badan. Laakiin, haddii aad isticmaasho xoogaa xariif ah, waxaad soo ururin kartaa qaab-dhismeed la mid ah.
Waxay u egtahay mid naxdin leh, laakiin mararka qaarkood naqshadahan ayaa ka shaqeeya wax soo saarka. Kakanaanta ayaa dila amniga, iyo, guud ahaan, wax walba dila. Dhab ahaantii, kiisaska noocaas ah (waxaan ka hadlayaa dhimista qiimaha lahaanshaha) waxaa jira nidaam dhan oo dhan - Maareynta Maareynta Dhexe (CLM). Ku saabsan , iyada oo la tixgelinayo inay qiimo jaban yihiin. Waa kuwan talooyinkooda:
- Isticmaal kartida iyo qalabka CLM marka ay jiraan caqabado miisaaniyad iyo shaqaale, shuruudaha ilaalinta amniga, iyo shuruudaha isticmaalka gaarka ah.
- Hirgeli CLM si kor loogu qaado ururinta log iyo awoodaha falanqaynta marka xalka SIEM uu caddeeyo mid aad qaali u ah ama adag.
- Maalgelinta qalabka CLM ee leh kaydin hufan, goobid degdeg ah iyo muuqaal dabacsanaan si loo horumariyo baadhista/falanqaynta shilalka amniga loona taageero ugaarsiga khatarta ah.
- Hubi in arrimaha khuseeya iyo tixgelinta la tixgeliyey ka hor inta aan la hirgelin xalka CLM.
Maqaalkan waxaan ka hadli doonaa kala duwanaanshaha hababka shatiga, waxaan fahmi doonaa CLM oo aan ka hadalno nidaam gaar ah oo fasalkan ah - . Faahfaahinta hoos goynta.
Bilowgii maqaalkan, waxaan ka hadlay habka cusub ee shatiga Splunk. Noocyada shatiga waxaa la barbar dhigi karaa qiimaha kirada baabuurta. Aynu qiyaasno in moodelku, marka loo eego tirada CPU-yada, uu yahay baabuur dhaqaale oo leh masaafada iyo shidaalka aan xadidnayn. Waxaad aadi kartaa meel kasta iyada oo aan la xaddidin masaafada, laakiin si degdeg ah uma socon kartid, sidaas awgeed, waxaad ku socon kartaa kiiloomitir badan maalintii. Shatiga xogtu waxay la mid tahay baabuur-ciyaaraha oo leh nooca masaafada maalinlaha ah. Si taxadar la'aan ah ayaad u wadi kartaa masaafo dheer, laakiin waa inaad wax badan ka bixisaa xadka masaafada maalinlaha ah.
Si aad uga faa'iidaysato shatiga ku salaysan culayska, waxaad u baahan tahay inaad lahaato saamiga ugu hooseeya ee suurtogalka ah ee kombuyuutarrada CPU ilaa GB ee xogta raran. Ficil ahaan tani waxay ka dhigan tahay wax sidan oo kale ah:
- Tirada ugu yar ee suurtogalka ah ee su'aalaha xogta la raray.
- Tirada ugu yar ee isticmaalayaasha suurtagalka ah ee xalka.
- Sida ugu fudud iyo xogta caadiga ah ee suurtogalka ah (si aanay jirin baahi loo qabo in lagu lumiyo wareegyada CPU ee habaynta iyo falanqaynta xogta xigta).
Waxa ugu dhibka badan halkan waa xogta caadiga ah. Haddii aad rabto SIEM inuu noqdo ururiyaha dhammaan diiwaannada ururka, waxay u baahan tahay dadaal aad u badan xagga falanqaynta iyo habaynta ka dib. Ha iloobin in aad sidoo kale u baahan tahay inaad ka fikirto qaab-dhismeedka aan ku dhici doonin culeyska, i.e. servero dheeraad ah oo sidaas darteed processor-ka dheeraad ah ayaa loo baahan doonaa.
Shatiyeynta mugga xogtu waxay ku salaysan tahay cadadka xogta loo soo diray maw-ga SIEM. Ilaha dheeraadka ah ee xogta waxaa lagu ciqaabayaa ruble (ama lacag kale) tani waxay kaa dhigaysaa inaad ka fikirto waxa aadan runtii rabin inaad ururiso. Si aad uga gudubto qaabkan shatiga, waxaad qaniini kartaa xogta ka hor inta aan lagu durin nidaamka SIEM. Mid ka mid ah tusaale ahaan caadi ka dhigista ka hor duritaanka waa Elastic Stack iyo qaar ka mid ah SIEM-yada kale ee ganacsiga.
Natiijo ahaan, waxaanu haynaa in shati bixinta kaabayaasha ay tahay mid wax ku ool ah markaad u baahan tahay inaad ururiso xog gaar ah oo keliya oo leh diyaarinta ugu yar, iyo shati bixinta mugga kuma oggolaan doonto inaad wax walba soo ururiso. Raadinta xal dhexdhexaad ah waxay keenaysaa shuruudaha soo socda:
- Fududeeya isu-ururinta xogta iyo caadi ka dhigista.
- Shaandhaynta xogta buuqa badan iyo tan muhiimka ah.
- Bixinta awoodaha falanqaynta.
- U dir xogta la sifeeyay iyo kuwa caadiga ah SIEM
Natiijo ahaan, nidaamyada SIEM ee bartilmaameedku uma baahna inay ku lumiyaan awoodda CPU ee dheeraadka ah ee farsamaynta waxayna ka faa'iideysan karaan aqoonsiga kaliya dhacdooyinka ugu muhiimsan iyada oo aan la dhimin aragtida waxa dhacaya.
Fikrad ahaan, xalka dhexdhexaadka ah ee noocan oo kale ah waa inuu sidoo kale bixiyaa ogaanshaha waqtiga dhabta ah iyo awoodaha jawaab-celinta ee loo isticmaali karo si loo yareeyo saameynta hawlaha khatarta ah ee khatarta ah iyo isku-darka dhammaan dhacdooyinka dhacdooyinka faa'iido leh oo fudud oo xog ah oo ku wajahan SIEM. Hagaag, markaa SIEM waxaa loo isticmaali karaa in lagu abuuro isku-darka dheeriga ah, isku xirnaanta iyo hababka feejignaanta.
Xalkaas dhexdhexaadka ah ee dahsoon ee isku midka ah maaha mid kale oo aan ahayn CLM, oo aan ku sheegay bilawga maqaalka. Tani waa sida Gartner u arko:
Hadda waxaad isku dayi kartaa inaad ogaato sida InTrust uu u hoggaansamo talooyinka Gartner:
- Kaydinta hufan ee mugga iyo noocyada xogta ee u baahan in la kaydiyo.
- Xawaaraha raadinta sare.
- Awoodaha muuqaalku maaha waxa aasaasiga ah ee CLM u baahan yahay, laakiin ugaarsiga khatarta ahi waa sida nidaamka BI ee amniga iyo falanqaynta xogta.
- Kobcinta xogta si loo kobciyo xogta ceeriin oo leh xog faa'iido leh (sida geolocation iyo kuwa kale).
Quest InTrust waxay isticmaashaa nidaamkeeda kaydinta oo leh ilaa 40:1 xogta isku-buufinta iyo kala-saarista xawaaraha sare, taas oo yaraynaysa kaydinta sare ee nidaamyada CLM iyo SIEM.
IT Security Search console oo leh raadinta Google u eg
Qayb khaas ah oo ku salaysan mareegaha IT Security Search (ITSS) ayaa ku xidhi kara xogta dhacdada ee kaydka InTrust oo waxay siisaa is dhexgal fudud oo lagu raadinayo hanjabaadaha. Interface waa la fududeeyay ilaa heer uu u dhaqmo sida Google ee xogta log ee dhacdada. ITSS waxay isticmaashaa jadwalyo loogu talagalay natiijooyinka waydiinta, waxay isku dari kartaa oo kooxayn kartaa goobaha dhacdooyinka, waxayna si wax ku ool ah u caawisaa ugaarsiga khatarta ah.
InTrust waxay xoojisaa dhacdooyinka Windows-ka aqoonsiga amniga, magacyada faylka, iyo aqoonsiga gelitaanka amniga. InTrust waxay sidoo kale caadi u dhigtaa dhacdooyinka qaab fudud oo W6 ah (Yaa, Waa maxay, Halkee, Goorma, Yaa iyo Halkee laga keenay) si xogta ilo kala duwan (dhacdooyinka asalka ah ee Windows, Logs Linux ama syslog) loogu arki karo qaab keliya iyo hal raadinta console.
InTrust waxay taageertaa feejignaanta, ogaanshaha iyo awoodaha jawaabta wakhtiga-dhabta ah ee loo isticmaali karo hab EDR-ka la mid ah si loo yareeyo waxyeelada ay keento hawlaha laga shakiyo. Xeerarka amniga lagu dhex dhisay ayaa ogaada, laakiin kuma koobna, khataraha soo socda:
- Password-buufinta.
- Kerberoasting.
- Dhaqdhaqaaqa PowerShell ee shakiga leh, sida fulinta Mimikatz.
- Nidaamyada shakiga leh, tusaale ahaan, LokerGoga ransomware.
- Sireed iyadoo la adeegsanayo diiwaannada CA4FS.
- Ku soo gala akoon mudnaan leh oo ku yaala goobaha shaqada.
- Erayga sirta weerrarada.
- Isticmaalka shakiga leh ee kooxaha isticmaala deegaanka.
Hadda waxaan ku tusi doonaa dhowr shaashadood oo ah InTrust lafteeda si aad u hesho aragti awoodeeda ah.
filtarrada horay loo sii qeexay si loo raadiyo dayacanka iman kara
Tusaale filtarrada ururinta xogta ceeriin
Tusaale isticmaalka tibaaxaha caadiga ah si loo abuuro falcelin dhacdo
Tusaale leh xeerka raadinta nuglaanta PowerShell
Saldhig aqooneed oo la dhisay oo leh sharraxaadyo baylahda
InTrust waa qalab awood leh oo loo isticmaali karo xal gooni ah ama qayb ka mid ah nidaamka SIEM, sida aan kor ku sharaxay. Malaha faa'iidada ugu weyn ee xalkan waa inaad bilaabi kartaa inaad isticmaasho isla markiiba ka dib marka la rakibo, sababtoo ah InTrust waxay leedahay maktabad weyn oo sharci ah oo lagu ogaado hanjabaadaha iyo ka jawaabista (tusaale ahaan, xannibista isticmaale).
Maqaalka kama hadlin isdhexgalka feerka. Laakin isla markiiba ka dib marka la rakibo, waxaad u habeyn kartaa inaad u dirto dhacdooyinka Splunk, IBM QRadar, Microfocus Arcsight, ama adigoo isticmaalaya webhook nidaam kasta oo kale. Hoos waxaa ah tusaale is dhexgalka Kibana oo leh dhacdooyin ka yimid InTrust. Waxaa hore u jiray la-qabsiga Elastic Stack iyo, haddii aad isticmaasho nooca bilaashka ah ee Elastic, InTrust waxaa loo isticmaali karaa qalab lagu aqoonsanayo hanjabaadaha, samaynta digniinaha firfircoon iyo dirida ogeysiisyada.
Waxaan rajeynayaa in maqaalku uu siiyay fikradda ugu yar ee alaabtan. Waxaan diyaar u nahay inaan ku siino InTrust si aad u tijaabiso ama u sameyso mashruuc tijaabo ah. Codsiga waxaa lagu dayn karaa bartayada internetka.
Akhri maqaaladayada kale ee ku saabsan amniga macluumaadka:
(maqaal caan ah)
Source: www.habr.com