Teu lami pisan, Splunk nambihan modél lisénsi sanés - lisénsi dumasar infrastruktur (). Aranjeunna ngitung jumlah inti CPU dina server Splunk. Sarupa pisan sareng lisénsi Elastic Stack, aranjeunna ngitung jumlah titik Elasticsearch. Sistem SIEM sacara tradisional mahal sareng biasana aya pilihan antara mayar pisan sareng mayar pisan. Tapi, upami anjeun nganggo sababaraha kapinteran, anjeun tiasa ngumpul struktur anu sami.
Sigana creepy, tapi kadang arsitéktur ieu jalan dina produksi. Pajeulitna maéhan kaamanan, sareng, sacara umum, maéhan sadayana. Kanyataanna, pikeun kasus sapertos kitu (Kuring ngawangkong ngeunaan ngurangan biaya kapamilikan) aya sakabeh kelas sistem - Central Log Management (CLM). Tentang éta , tempo aranjeunna undervalued. Ieu saran maranéhanana:
- Anggo kamampuan sareng alat CLM nalika aya kendala anggaran sareng staf, syarat ngawaskeun kaamanan, sareng syarat kasus panggunaan khusus.
- Laksanakeun CLM pikeun ningkatkeun kamampuan ngumpulkeun log sareng analisa nalika solusi SIEM kabuktian mahal teuing atanapi rumit.
- Investasi dina alat CLM kalayan panyimpen anu efisien, milarian gancang sareng visualisasi anu fleksibel pikeun ningkatkeun panyilidikan / analisa kajadian kaamanan sareng ngadukung moro ancaman.
- Pastikeun yén faktor sareng pertimbangan anu tiasa dianggo dipertimbangkeun sateuacan nerapkeun solusi CLM.
Dina artikel ieu kami bakal ngobrol ngeunaan bédana pendekatan kana lisénsi, urang bakal ngartos CLM sareng ngobrol ngeunaan sistem khusus kelas ieu - . Rinci handapeun cut.
Dina awal tulisan ieu, kuring ngobrol ngeunaan pendekatan anyar pikeun lisénsi Splunk. Jinis lisénsi bisa dibandingkeun jeung ongkos rental mobil. Hayu urang ngabayangkeun yén modél, dina watesan jumlah CPUs, mangrupa mobil ekonomis jeung mileage taya jeung béngsin. Anjeun tiasa angkat ka mana waé tanpa larangan jarak, tapi anjeun henteu tiasa gancang pisan sareng, sasuai, ngalangkungan sababaraha kilométer sadinten. Lisénsi data sami sareng mobil olahraga kalayan modél mileage sapopoé. Anjeun tiasa ngajalankeun recklessly dina jarak jauh, tapi anjeun kudu mayar leuwih pikeun ngaleuwihan wates mileage poean.
Pikeun kauntungan tina lisénsi dumasar-beban, Anjeun kudu boga rasio panghandapna mungkin tina cores CPU ka GB data dimuat. Dina prakték ieu hartina hal kawas:
- Jumlah pangleutikna mungkin tina query kana data dimuat.
- Jumlah pangleutikna kamungkinan pamaké solusi.
- Data saderhana sareng dinormalisasi sabisa-gancang (ku kituna henteu peryogi runtah siklus CPU dina ngolah sareng analisa data anu salajengna).
Hal anu paling masalah di dieu nyaéta data anu dinormalisasi. Upami anjeun hoyong SIEM janten agrégator sadaya log dina organisasi, peryogi usaha anu ageung dina parsing sareng post-processing. Tong hilap yén anjeun ogé kedah mikirkeun arsitéktur anu henteu bakal rusak dina beban, nyaéta. server tambahan sahingga prosesor tambahan bakal diperlukeun.
Lisénsi volume data dumasar kana jumlah data anu dikirimkeun kana maw SIEM. Sumber data tambahan tiasa dihukum ku ruble (atanapi mata uang sanés) sareng ieu ngajantenkeun anjeun mikir ngeunaan naon anu anjeun henteu hoyong kumpulkeun. Pikeun outwit model lisénsi ieu, anjeun tiasa ngegel data saméméh éta nyuntik kana sistem SIEM. Hiji conto normalisasi sapertos sateuacan suntikan nyaéta Elastic Stack sareng sababaraha SIEM komérsial anu sanés.
Hasilna, urang boga yén lisénsi ku infrastruktur éféktif lamun anjeun kudu ngumpulkeun ngan data tangtu kalawan preprocessing minimal, sarta lisénsi ku volume moal ngidinan Anjeun pikeun ngumpulkeun sagalana pisan. Milarian solusi perantara nyababkeun kritéria ieu:
- Nyederhanakeun aggregation data jeung normalisasi.
- Nyaring data ribut sareng paling teu penting.
- Nyadiakeun kamampuhan analisis.
- Kirim data anu disaring sareng dinormalisasi ka SIEM
Hasilna, sistem SIEM target moal kedah miceunan kakuatan CPU tambahan dina ngolah sareng tiasa nyandak kauntungan tina ngan ukur ngaidentipikasi kajadian anu paling penting tanpa ngirangan visibilitas kana naon anu lumangsung.
Ideally, solusi middleware kitu ogé kudu nyadiakeun deteksi real-time jeung kamampuhan respon nu bisa dipaké pikeun ngurangan dampak kagiatan berpotensi bahaya sarta agrégat sakabéh aliran acara kana kuantum mangpaat tur basajan data nuju SIEM. Nya, teras SIEM tiasa dianggo pikeun nyiptakeun agrégasi tambahan, korelasi sareng prosés waspada.
Éta solusi panengah misterius anu sami teu aya lian ti CLM, anu ku kuring disebatkeun dina awal tulisan. Ieu kumaha Gartner ningali éta:
Ayeuna anjeun tiasa nyobian terang kumaha InTrust sasuai sareng saran Gartner:
- Panyimpen anu cekap pikeun volume sareng jinis data anu kedah disimpen.
- speed pilarian tinggi.
- Kamampuhan visualisasi sanés anu diperyogikeun CLM dasar, tapi moro ancaman sapertos sistem BI pikeun kaamanan sareng analitik data.
- Pengayaan data pikeun ngeuyeuban data atah sareng data kontekstual anu mangpaat (sapertos geolokasi sareng anu sanésna).
Quest InTrust ngagunakeun sistem panyimpen sorangan sareng komprési data dugi ka 40: 1 sareng deduplikasi-speed tinggi, anu ngirangan overhead gudang pikeun sistem CLM sareng SIEM.
Konsol Pilarian Kaamanan IT sareng milarian sapertos google
Modul Search Security (ITSS) basis wéb khusus tiasa nyambung ka data acara dina gudang InTrust sareng nyayogikeun antarmuka anu saderhana pikeun milarian ancaman. Antarbeungeutna disederhanakeun dugi ka tindakan sapertos Google pikeun data log acara. ITSS ngagunakeun garis waktu pikeun hasil query, bisa ngahiji jeung widang acara grup, sarta éféktif mantuan dina moro anceman.
InTrust ngabeungharan acara Windows sareng idéntifikasi kaamanan, nami file, sareng idéntifikasi login kaamanan. InTrust ogé normalizes kajadian kana skéma W6 basajan (Saha, Naon, Dimana, Iraha, Saha jeung Dimana Ti) ku kituna data tina sumber béda (kajadian asli Windows, Linux Ubuntu log atawa syslog) bisa ditempo dina format tunggal jeung dina hiji. konsol pilarian.
InTrust ngarojong real-time alerting, deteksi jeung kamampuhan respon nu bisa dipaké salaku sistem EDR-kawas pikeun ngaleutikan karuksakan disababkeun ku aktivitas curiga. Aturan kaamanan anu diwangun ngadeteksi, tapi henteu dugi ka, ancaman ieu:
- Sandi-nyemprot.
- Kerberoasting.
- Aktivitas PowerShell anu curiga, sapertos palaksanaan Mimikatz.
- Prosés curiga, contona, LokerGoga ransomware.
- Énkripsi nganggo log CA4FS.
- Logins kalawan akun husus dina workstations.
- Sandi guessing serangan.
- Pamakéan curiga tina grup pamaké lokal.
Ayeuna kuring bakal nunjukkeun anjeun sababaraha potret layar InTrust sorangan ku kituna anjeun tiasa nampi gambaran ngeunaan kamampuanana.
Saringan anu tos ditetepkeun pikeun milarian poténsial kerentanan
Conto sakumpulan saringan pikeun ngumpulkeun data atah
Conto ngagunakeun ekspresi biasa pikeun nyieun respon kana hiji acara
Conto sareng aturan milarian kerentanan PowerShell
Basis pangaweruh anu diwangun sareng katerangan ngeunaan kerentanan
InTrust mangrupikeun alat anu kuat anu tiasa dianggo salaku solusi mandiri atanapi salaku bagian tina sistem SIEM, sakumaha anu dijelaskeun di luhur. Panginten kaunggulan utama solusi ieu nyaéta anjeun tiasa ngamimitian nganggo langsung saatos instalasi, sabab InTrust gaduh perpustakaan aturan anu ageung pikeun ngadeteksi ancaman sareng ngarésponana (contona, ngahalangan pangguna).
Dina artikel kuring henteu ngobrol ngeunaan integrasi boxed. Tapi langsung saatos instalasi, anjeun tiasa ngonpigurasikeun ngirim acara ka Splunk, IBM QRadar, Microfocus Arcsight, atanapi via webhook ka sistem anu sanés. Di handap ieu conto antarmuka Kibana sareng acara ti InTrust. Geus aya integrasi sareng Elastic Stack sareng, upami anjeun nganggo versi gratis Elastic, InTrust tiasa dianggo salaku alat pikeun ngaidentipikasi ancaman, ngalaksanakeun panggeuing proaktif sareng ngirim bewara.
Abdi ngarepkeun tulisan éta masihan ide minimal ngeunaan produk ieu. Kami siap masihan InTrust ka anjeun pikeun nguji atanapi ngalaksanakeun pilot project. aplikasi nu bisa ditinggalkeun di dina halaman wéb kami.
Baca artikel kami anu sanés ngeunaan kaamanan inpormasi:
(artikel populér)
sumber: www.habr.com