Muda mfupi uliopita, Splunk aliongeza mtindo mwingine wa leseni - leseni za msingi wa miundombinu () Wanahesabu idadi ya cores za CPU chini ya seva za Splunk. Sawa sana na utoaji wa leseni ya Elastic Stack, wanahesabu idadi ya nodi za Elasticsearch. Mifumo ya SIEM kwa kawaida ni ghali na kwa kawaida kuna chaguo kati ya kulipa sana na kulipa sana. Lakini, ikiwa unatumia ujuzi fulani, unaweza kukusanya muundo sawa.
Inaonekana ya kutisha, lakini wakati mwingine usanifu huu hufanya kazi katika uzalishaji. Utata huua usalama, na, kwa ujumla, unaua kila kitu. Kwa kweli, kwa kesi kama hizo (ninazungumza juu ya kupunguza gharama ya umiliki) kuna darasa zima la mifumo - Usimamizi wa logi ya Kati (CLM). Kuhusu hilo , kwa kuzingatia kuwa hazithaminiwi. Hapa kuna mapendekezo yao:
- Tumia uwezo na zana za CLM wakati kuna vikwazo vya bajeti na wafanyakazi, mahitaji ya ufuatiliaji wa usalama, na mahitaji maalum ya kesi ya matumizi.
- Tekeleza CLM ili kuboresha uwezo wa kukusanya kumbukumbu na uchanganuzi wakati suluhisho la SIEM linathibitisha kuwa ghali au changamano.
- Wekeza katika zana za CLM zenye uhifadhi bora, utafutaji wa haraka na taswira rahisi ili kuboresha uchunguzi/uchambuzi wa matukio ya usalama na kusaidia uwindaji wa vitisho.
- Hakikisha kuwa mambo na mambo yanayozingatiwa yanazingatiwa kabla ya kutekeleza suluhisho la CLM.
Katika nakala hii tutazungumza juu ya tofauti za njia za leseni, tutaelewa CLM na tutazungumza juu ya mfumo maalum wa darasa hili - . Maelezo chini ya kukata.
Mwanzoni mwa nakala hii, nilizungumza juu ya mbinu mpya ya leseni ya Splunk. Aina za leseni zinaweza kulinganishwa na viwango vya kukodisha gari. Hebu fikiria kwamba mfano, kwa suala la idadi ya CPU, ni gari la kiuchumi na mileage isiyo na ukomo na petroli. Unaweza kwenda popote bila vikwazo vya umbali, lakini huwezi kwenda haraka sana na, ipasavyo, funika kilomita nyingi kwa siku. Utoaji leseni wa data ni sawa na gari la michezo lenye mtindo wa kila siku wa maili. Unaweza kuendesha gari bila kujali kwa umbali mrefu, lakini utalazimika kulipa zaidi kwa kuzidi kikomo cha kilomita cha kila siku.
Ili kunufaika kutokana na utoaji leseni kulingana na upakiaji, unahitaji kuwa na uwiano wa chini kabisa wa core CPU kwa GB ya data iliyopakiwa. Katika mazoezi hii inamaanisha kitu kama:
- Idadi ndogo kabisa ya hoja kwa data iliyopakiwa.
- Idadi ndogo ya watumiaji wanaowezekana wa suluhisho.
- Data rahisi na ya kawaida iwezekanavyo (ili hakuna haja ya kupoteza mizunguko ya CPU kwenye usindikaji na uchambuzi wa data unaofuata).
Jambo la shida zaidi hapa ni data ya kawaida. Iwapo unataka SIEM kuwa kijumlishi cha kumbukumbu zote katika shirika, inahitaji juhudi kubwa katika uchanganuzi na baada ya kuchakata. Usisahau kwamba unahitaji pia kufikiri juu ya usanifu ambao hautaanguka chini ya mzigo, i.e. seva za ziada na kwa hivyo wasindikaji wa ziada watahitajika.
Utoaji wa leseni ya kiasi cha data unatokana na kiasi cha data kinachotumwa kwenye mfumo wa SIEM. Vyanzo vya ziada vya data vinaadhibiwa na ruble (au sarafu nyingine) na hii inakufanya ufikirie juu ya kile ambacho hukutaka kukusanya. Ili kushinda mtindo huu wa utoaji leseni, unaweza kuuma data kabla haijaingizwa kwenye mfumo wa SIEM. Mfano mmoja wa urekebishaji kama huo kabla ya sindano ni Elastic Stack na SIEM zingine za kibiashara.
Kwa hivyo, tunayo kwamba utoaji leseni kwa miundombinu ni mzuri wakati unahitaji kukusanya data fulani tu na uchakataji mdogo, na kutoa leseni kwa ujazo hautakuruhusu kukusanya kila kitu hata kidogo. Utafutaji wa suluhisho la kati husababisha vigezo vifuatavyo:
- Rahisisha ujumlishaji na urekebishaji wa data.
- Kuchuja data yenye kelele na muhimu sana.
- Kutoa uwezo wa uchambuzi.
- Tuma data iliyochujwa na ya kawaida kwa SIEM
Kwa hivyo, mifumo inayolengwa ya SIEM haitahitaji kupoteza nguvu ya ziada ya CPU kwenye kuchakata na inaweza kufaidika kwa kutambua matukio muhimu pekee bila kupunguza mwonekano katika kile kinachotokea.
Kimsingi, suluhisho kama hilo la vifaa vya kati linafaa pia kutoa uwezo wa kutambua na kujibu katika wakati halisi ambao unaweza kutumika kupunguza athari za shughuli zinazoweza kuwa hatari na kujumlisha mtiririko mzima wa matukio kuwa kiasi muhimu na rahisi cha data kuelekea SIEM. Kweli, basi SIEM inaweza kutumika kuunda miunganisho ya ziada, uunganisho na michakato ya tahadhari.
Suluhisho lile lile la ajabu la kati si lingine ila CLM, ambalo nililitaja mwanzoni mwa makala hiyo. Hivi ndivyo Gartner anavyoiona:
Sasa unaweza kujaribu kujua jinsi InTrust inatii mapendekezo ya Gartner:
- Uhifadhi mzuri wa kiasi na aina za data zinazohitaji kuhifadhiwa.
- Kasi ya juu ya utafutaji.
- Uwezo wa kuona sio kile ambacho CLM inahitaji, lakini uwindaji wa vitisho ni kama mfumo wa BI wa usalama na uchanganuzi wa data.
- Uboreshaji wa data ili kuboresha data mbichi kwa data muhimu ya muktadha (kama vile eneo la kijiografia na zingine).
Quest InTrust hutumia mfumo wake wa kuhifadhi wenye hadi 40:1 mbano wa data na urudishaji wa kasi ya juu, ambayo hupunguza uhifadhi wa juu wa mifumo ya CLM na SIEM.
Dashibodi ya Utafutaji wa Usalama wa IT yenye utaftaji kama wa google
Moduli maalumu ya Utafutaji wa Usalama wa IT (ITSS) kwenye wavuti inaweza kuunganisha kwa data ya tukio kwenye hazina ya InTrust na kutoa kiolesura rahisi cha kutafuta vitisho. Kiolesura hurahisishwa hadi kinafanya kazi kama Google kwa data ya kumbukumbu ya tukio. ITSS hutumia kalenda za matukio kwa matokeo ya hoja, inaweza kuunganisha na kupanga sehemu za matukio, na kusaidia vyema katika uwindaji wa vitisho.
InTrust huboresha matukio ya Windows kwa vitambulisho vya usalama, majina ya faili, na vitambulisho vya usalama vya kuingia. InTrust pia hurekebisha matukio kwa schema rahisi ya W6 (Nani, Nini, Wapi, Lini, Nani na Wapi Kutoka) ili data kutoka kwa vyanzo tofauti (Matukio asilia ya Windows, kumbukumbu za Linux au syslog) iweze kuonekana katika umbizo moja na kwenye mfumo mmoja. tafuta console.
InTrust hutumia arifa za wakati halisi, kutambua na kujibu uwezo ambao unaweza kutumika kama mfumo unaofanana na EDR ili kupunguza uharibifu unaosababishwa na shughuli za kutiliwa shaka. Sheria za usalama zilizojumuishwa hugundua, lakini sio tu, vitisho vifuatavyo:
- Kunyunyizia nenosiri.
- Kerberoasting.
- Shughuli ya kutiliwa shaka ya PowerShell, kama vile utekelezaji wa Mimikatz.
- Michakato ya kutiliwa shaka, kwa mfano, LokerGoga ransomware.
- Usimbaji fiche kwa kutumia kumbukumbu za CA4FS.
- Ingia na akaunti iliyobahatika kwenye vituo vya kazi.
- Mashambulizi ya kubahatisha nenosiri.
- Matumizi ya kutiliwa shaka ya vikundi vya watumiaji wa karibu.
Sasa nitakuonyesha viwambo vichache vya InTrust yenyewe ili uweze kupata hisia ya uwezo wake.
Vichujio vilivyoainishwa ili kutafuta udhaifu unaowezekana
Mfano wa seti ya vichujio vya kukusanya data ghafi
Mfano wa kutumia misemo ya kawaida kuunda jibu kwa tukio
Mfano na sheria ya utafutaji ya uwezekano wa kuathiriwa na PowerShell
Msingi wa maarifa uliojengewa ndani wenye maelezo ya udhaifu
InTrust ni chombo chenye nguvu ambacho kinaweza kutumika kama suluhu la pekee au kama sehemu ya mfumo wa SIEM, kama nilivyoeleza hapo juu. Pengine faida kuu ya suluhisho hili ni kwamba unaweza kuanza kuitumia mara baada ya ufungaji, kwa sababu InTrust ina maktaba kubwa ya sheria za kugundua vitisho na kujibu (kwa mfano, kuzuia mtumiaji).
Katika kifungu hicho sikuzungumza juu ya ujumuishaji wa sanduku. Lakini mara tu baada ya usakinishaji, unaweza kusanidi kutuma matukio kwa Splunk, IBM QRadar, Microfocus Arcsight, au kupitia mtandao kwa mfumo mwingine wowote. Hapa chini ni mfano wa kiolesura cha Kibana na matukio kutoka kwa InTrust. Tayari kuna muunganisho na Elastic Stack na, ikiwa unatumia toleo lisilolipishwa la Elastic, InTrust inaweza kutumika kama zana ya kutambua vitisho, kutekeleza arifa za haraka na kutuma arifa.
Natumaini makala hiyo ilitoa wazo ndogo kuhusu bidhaa hii. Tuko tayari kukupa InTrust kwa majaribio au kufanya mradi wa majaribio. Programu inaweza kuachwa kwenye wavuti yetu.
Soma nakala zetu zingine juu ya usalama wa habari:
(makala maarufu)
Chanzo: mapenzi.com