Ha se khale haholo, Splunk o kentse mofuta o mong oa laesense - laesense e thehiloeng ho meaho (). Ba bala palo ea li-cores tsa CPU tlas'a li-server tsa Splunk. E ts'oana haholo le laesense ea Elastic Stack, ba bala palo ea li-node tsa Elasticsearch. Litsamaiso tsa SIEM ka tloaelo li turu 'me hangata ho na le khetho pakeng tsa ho lefa haholo le ho lefa haholo. Empa, haeba u sebelisa bohlale bo itseng, u ka kopanya sebopeho se tšoanang.
E shebahala e tšosa, empa ka linako tse ling mohaho ona o sebetsa tlhahiso. Ho rarahana ho bolaea tšireletseho, 'me, ka kakaretso, ho bolaea ntho e' ngoe le e 'ngoe. Ha e le hantle, bakeng sa linyeoe tse joalo (ke bua ka ho fokotsa litšenyehelo tsa beng) ho na le sehlopha sohle sa tsamaiso - Central Log Management (CLM). Mabapi le eona , ho nka hore ha li na thuso. Litlhahiso tsa bona ke tsena:
- Sebelisa bokhoni le lisebelisoa tsa CLM ha ho na le likhaello tsa tekanyetso le basebetsi, litlhoko tsa ho lekola ts'ireletso, le litlhoko tse ikhethileng tsa ts'ebeliso.
- Kenya ts'ebetsong ea CLM ho ntlafatsa bokhoni ba pokello ea log le tlhahlobo ha tharollo ea SIEM e ipaka e le theko e boima haholo kapa e rarahane.
- Tsetela ho lisebelisoa tsa CLM ka polokelo e nepahetseng, lipatlisiso tse potlakileng le pono e bonolo ho ntlafatsa lipatlisiso / tlhahlobo ea liketsahalo tsa ts'ireletso le ts'ehetso ea ho tsoma litšokelo.
- Netefatsa hore lintlha le lintlha tse amehang li hlokomeloa pele u kenya tšebetsong tharollo ea CLM.
Sehloohong sena re tla bua ka phapang ea mekhoa ea ho fana ka tumello, re tla utloisisa CLM mme re bue ka tsamaiso e itseng ea sehlopha sena - . Lintlha tlas'a sehiloeng.
Qalong ea sehlooho sena, ke buile ka mokhoa o mocha oa ho fana ka tumello ea Splunk. Mefuta ea mangolo a tumello e ka bapisoa le litefiso tsa ho hira koloi. Ha re nahane hore mohlala, ho latela palo ea li-CPU, ke koloi ea moruo e nang le lik'hilomithara tse se nang moeli le peterole. U ka ea kae kapa kae ntle le lithibelo tsa sebaka, empa u ke ke ua tsamaea ka potlako haholo, ka hona, u tsamaea lik'hilomithara tse ngata ka letsatsi. Ho fana ka tumello ea data ho tšoana le koloi ea lipapali e nang le mohlala oa letsatsi le letsatsi. U ka khanna ka bohlasoa maetong a malelele, empa u tla tlameha ho lefa ho feta tekanyo ea letsatsi le letsatsi ea lik'hilomithara.
Ho rua molemo ho laesense e thehiloeng ho mojaro, o hloka ho ba le karo-karolelano e tlase haholo ea li-CPU cores ho GB ea data e laetsoeng. Ha e le hantle, sena se bolela ntho e kang:
- Palo e nyane ka ho fetesisa ea lipotso ho data e kentsoeng.
- Palo e nyane ka ho fetisisa ea basebelisi ba ka khonehang ba tharollo.
- E le data e bonolo le e tloaelehileng kamoo ho ka khonehang (e le hore ho se ke ha hlokahala hore u senye lipotoloho tsa CPU ho latela ts'ebetso le tlhahlobo ea data).
Ntho e thata ka ho fetisisa mona ke data e tloaelehileng. Haeba u batla hore SIEM e be motlatsi oa lits'oants'o tsohle tsa mokhatlo, e hloka boiteko bo boholo ho arola le ho e lokisa ka morao. U se ke ua lebala hore u boetse u lokela ho nahana ka mohaho o ke keng oa oela tlas'a mojaro, i.e. li-server tse eketsehileng 'me ka hona ho tla hlokahala li-processor tse eketsehileng.
Laesense ea bophahamo ba data e ipapisitse le palo ea data e romelloang ho maw ea SIEM. Mehloli e meng ea data e fuoa kotlo ka ruble (kapa chelete e 'ngoe)' me sena se etsa hore u nahane ka seo u neng u sa batle ho se bokella. Ho feta mokhoa ona oa laesense, o ka loma data pele e kenngoa ho sistimi ea SIEM. Mohlala o mong oa ho tloaeleha joalo pele ho ente ke Elastic Stack le li-SIEM tse ling tsa khoebo.
Ka lebaka leo, re na le hore ho fana ka laesense ka lisebelisoa tsa motheo hoa sebetsa ha o hloka ho bokella lintlha tse itseng feela ka mokhoa o fokolang oa ho sebetsa, 'me ho fana ka tumello ka bongata ho ke ke ha u lumella ho bokella ntho e' ngoe le e 'ngoe ho hang. Ho batla tharollo ea lipakeng ho lebisa ho lintlha tse latelang:
- Nolofatsa ho bokellana ha data le ho tloaeleha.
- Ho sefa ha data e lerata le ea bohlokoa haholo.
- Ho fana ka bokhoni ba ho hlahloba.
- Romella lintlha tse tlhotliloeng le tse tloaelehileng ho SIEM
Ka lebaka leo, litsamaiso tsa SIEM tse shebiloeng li ke ke tsa hloka ho senya matla a eketsehileng a CPU ha li sebetsa 'me li ka rua molemo ka ho tsebahatsa liketsahalo tsa bohlokoa feela ntle le ho fokotsa ponahalo ho se etsahalang.
Ha e le hantle, tharollo e joalo ea middleware e boetse e lokela ho fana ka bokhoni ba nako ea sebele ea ho lemoha le ho arabela e ka sebelisoang ho fokotsa tšusumetso ea mesebetsi e ka 'nang ea e-ba kotsi le ho kopanya letoto lohle la liketsahalo hore e be palo e molemo le e bonolo ea data ho SIEM. Joale, SIEM e ka sebelisoa ho theha li-aggregations tse ling, likhokahano le lits'ebetso tsa tlhokomeliso.
Tharollo eona eo e makatsang ea lipakeng ha se e 'ngoe haese CLM, eo ke e boletseng qalong ea sengoloa. Ena ke tsela eo Gartner a e bonang ka eona:
Joale o ka leka ho tseba hore na InTrust e lumellana joang le likhothaletso tsa Gartner:
- Poloko e nepahetseng bakeng sa mefuta le mefuta ea data e lokelang ho bolokoa.
- Lebelo le phahameng la ho batla.
- Bokhoni ba pono ha se seo CLM ea mantlha e se hlokang, empa ho tsoma litšokelo ho tšoana le sistimi ea BI bakeng sa ts'ireletso le tlhahlobo ea data.
- Ntlafatso ea lintlha ho ntlafatsa datha tse tala ka lintlha tsa bohlokoa tsa maemo (joalo ka geolocation le tse ling).
Quest InTrust e sebelisa mokhoa oa eona oa ho boloka ho fihlela ho 40: 1 compression ea data le ho fokotsa ka lebelo le phahameng, e leng ho fokotsang holimo ho polokelo bakeng sa litsamaiso tsa CLM le SIEM.
IT Security Search console e nang le patlo e kang google
Mojule o ikhethileng oa IT Security Search (ITSS) o ka hokahana le data ea ketsahalo sebakeng sa polokelo ea InTrust mme o fana ka sebopeho se bonolo sa ho batla lits'oso. Sehokelo se nolofalitsoe hoo se sebetsang joalo ka Google bakeng sa data ea lintlha tsa liketsahalo. ITSS e sebelisa linako bakeng sa liphetho tsa lipotso, e ka kopanya le ho hlophisa libaka tsa liketsahalo, 'me e thusa ka katleho ho tsoma litšokelo.
InTrust e ntlafatsa liketsahalo tsa Windows ka li-identifiers tsa ts'ireletso, mabitso a lifaele, le li-identifiers tsa ho kena ha tšireletso. InTrust e boetse e etsa hore liketsahalo li tloaelehe ho schema se bonolo sa W6 (Mang, Eng, Hokae, Neng, Mang le Ho Tsoa Kae) e le hore data e tsoang mehloling e fapaneng (liketsahalo tsa Windows tsa Windows, li-logs tsa Linux kapa syslog) li ka bonoa ka sebopeho se le seng le ka mokhoa o le mong. batla console.
InTrust e ts'ehetsa bokhoni ba nako ea nnete ea tlhokomeliso, ho lemoha le ho arabela bo ka sebelisoang e le sistimi e kang ea EDR ho fokotsa tšenyo e bakiloeng ke ts'ebetso e belaetsang. Melao ea ts'ireletso e hahiloeng ka hare e lemoha, empa ha e felle feela, litšokelo tse latelang:
- Ho fafatsa ka password.
- Kerberoasting.
- Ketso e belaetsang ea PowerShell, joalo ka ho bolaoa ha Mimikatz.
- Mekhoa e belaetsang, mohlala, LokerGoga ransomware.
- Encryption o sebelisa lintlha tsa CA4FS.
- Kena ka ak'haonte e khethehileng ho li-workstations.
- Litlhaselo tsa ho noha phasewete.
- Tšebeliso e belaetsang ea lihlopha tsa basebelisi ba lehae.
Joale ke tla u bontša linepe tse 'maloa tsa InTrust ka boeona e le hore u ka fumana maikutlo a bokhoni ba eona.
Li-filters tse hlalositsoeng esale pele ho batla bofokoli bo ka bang teng
Mohlala oa sehlopha sa li-filters bakeng sa ho bokella lintlha tse tala
Mohlala oa ho sebelisa lipolelo tse tloaelehileng ho bopa karabo ketsahalong
Mohlala ka molao oa ho batla oa ts'ireletso ea PowerShell
Motheo oa tsebo o hahelletsoeng ka litlhaloso tsa bofokoli
InTrust ke sesebelisoa se matla se ka sebelisoang e le tharollo e ikemetseng kapa e le karolo ea sistimi ea SIEM, joalo ka ha ke hlalositse ka holimo. Mohlomong molemo o moholo oa tharollo ena ke hore u ka qala ho e sebelisa hang ka mor'a ho kenya, hobane InTrust e na le laebrari e kholo ea melao ea ho bona litšokelo le ho li araba (mohlala, ho thibela mosebelisi).
Sehloohong seo ha kea ka ka bua ka ho kopanngoa ha mabokose. Empa hang kamora ho kenya, o ka hlophisa ho romella liketsahalo ho Splunk, IBM QRadar, Microfocus Arcsight, kapa ka webhook ho sistimi efe kapa efe. Ka tlase ke mohlala oa sebopeho sa Kibana se nang le liketsahalo tse tsoang ho InTrust. Ho se ho ntse ho hokahane le Elastic Stack mme, haeba u sebelisa mofuta oa mahala oa Elastic, InTrust e ka sebelisoa e le sesebelisoa sa ho tsebahatsa litšokelo, ho etsa tlhokomeliso e potlakileng le ho romella litsebiso.
Ke tšepa hore sehlooho sena se fane ka maikutlo a fokolang ka sehlahisoa sena. Re ikemiselitse ho u fa InTrust bakeng sa tlhahlobo kapa ho etsa projeke ea liteko. Kopo e ka siuoa ho webosaeteng ea rona.
Bala lingoliloeng tsa rona tse ling mabapi le ts'ireletso ea tlhahisoleseling:
(sengoloa se tsebahalang)
Source: www.habr.com