சிறிது காலத்திற்கு முன்பு, ஸ்ப்ளங்க் மற்றொரு உரிம மாதிரியைச் சேர்த்தது - உள்கட்டமைப்பு அடிப்படையிலான உரிமம் () அவை ஸ்ப்ளங்க் சர்வர்களின் கீழ் உள்ள CPU கோர்களின் எண்ணிக்கையை எண்ணுகின்றன. எலாஸ்டிக் ஸ்டாக் உரிமத்தைப் போலவே, அவை மீள் தேடல் முனைகளின் எண்ணிக்கையைக் கணக்கிடுகின்றன. SIEM அமைப்புகள் பாரம்பரியமாக விலை உயர்ந்தவை மற்றும் பொதுவாக நிறைய பணம் செலுத்துவதற்கும் நிறைய பணம் செலுத்துவதற்கும் இடையே ஒரு தேர்வு உள்ளது. ஆனால், நீங்கள் சில புத்திசாலித்தனத்தைப் பயன்படுத்தினால், இதேபோன்ற கட்டமைப்பை நீங்கள் வரிசைப்படுத்தலாம்.
இது தவழும் போல் தெரிகிறது, ஆனால் சில நேரங்களில் இந்த கட்டிடக்கலை உற்பத்தியில் வேலை செய்கிறது. சிக்கலானது பாதுகாப்பைக் கொல்கிறது, பொதுவாக, எல்லாவற்றையும் கொல்லும். உண்மையில், இதுபோன்ற சந்தர்ப்பங்களில் (உரிமையின் விலையைக் குறைப்பது பற்றி நான் பேசுகிறேன்) முழு வகை அமைப்புகள் உள்ளன - மத்திய பதிவு மேலாண்மை (CLM). இது பற்றி , அவர்கள் குறைவாக மதிப்பிடப்பட்டதாகக் கருதுகின்றனர். அவர்களின் பரிந்துரைகள் இங்கே:
- பட்ஜெட் மற்றும் பணியாளர் கட்டுப்பாடுகள், பாதுகாப்பு கண்காணிப்பு தேவைகள் மற்றும் குறிப்பிட்ட பயன்பாட்டு வழக்கு தேவைகள் இருக்கும்போது CLM திறன்கள் மற்றும் கருவிகளைப் பயன்படுத்தவும்.
- SIEM தீர்வு மிகவும் விலை உயர்ந்ததாகவோ அல்லது சிக்கலானதாகவோ இருக்கும்போது பதிவு சேகரிப்பு மற்றும் பகுப்பாய்வு திறன்களை மேம்படுத்த CLM ஐ செயல்படுத்தவும்.
- பாதுகாப்பு சம்பவ விசாரணை/பகுப்பாய்வை மேம்படுத்த மற்றும் அச்சுறுத்தல் வேட்டையை ஆதரிக்க திறமையான சேமிப்பு, வேகமான தேடல் மற்றும் நெகிழ்வான காட்சிப்படுத்தல் கொண்ட CLM கருவிகளில் முதலீடு செய்யுங்கள்.
- CLM தீர்வைச் செயல்படுத்துவதற்கு முன், பொருந்தக்கூடிய காரணிகள் மற்றும் பரிசீலனைகள் கணக்கில் எடுத்துக்கொள்ளப்படுவதை உறுதிசெய்யவும்.
இந்த கட்டுரையில், உரிமத்திற்கான அணுகுமுறைகளில் உள்ள வேறுபாடுகளைப் பற்றி பேசுவோம், CLM ஐப் புரிந்துகொண்டு இந்த வகுப்பின் ஒரு குறிப்பிட்ட அமைப்பைப் பற்றி பேசுவோம் - . வெட்டு கீழ் விவரங்கள்.
இந்த கட்டுரையின் ஆரம்பத்தில், ஸ்ப்ளங்க் உரிமத்திற்கான புதிய அணுகுமுறை பற்றி பேசினேன். உரிமத்தின் வகைகளை கார் வாடகைக் கட்டணங்களுடன் ஒப்பிடலாம். CPU களின் எண்ணிக்கையைப் பொறுத்தவரை, மாடல் வரம்பற்ற மைலேஜ் மற்றும் பெட்ரோல் கொண்ட ஒரு சிக்கனமான கார் என்று கற்பனை செய்யலாம். தொலைதூரக் கட்டுப்பாடுகள் இல்லாமல் நீங்கள் எங்கும் செல்லலாம், ஆனால் நீங்கள் மிக வேகமாக செல்ல முடியாது, அதன்படி, ஒரு நாளைக்கு பல கிலோமீட்டர்களை கடக்க முடியாது. டேட்டா லைசென்சிங் என்பது தினசரி மைலேஜ் மாடலைக் கொண்ட ஸ்போர்ட்ஸ் காரைப் போன்றது. நீங்கள் நீண்ட தூரத்திற்கு பொறுப்பற்ற முறையில் ஓட்டலாம், ஆனால் தினசரி மைலேஜ் வரம்பை மீறுவதற்கு நீங்கள் அதிக கட்டணம் செலுத்த வேண்டியிருக்கும்.
சுமை அடிப்படையிலான உரிமத்திலிருந்து பயனடைய, நீங்கள் ஏற்றப்பட்ட தரவுகளின் ஜிபிக்கு CPU கோர்களின் குறைந்த சாத்தியமான விகிதத்தைக் கொண்டிருக்க வேண்டும். நடைமுறையில், இது போன்ற ஒன்றைக் குறிக்கிறது:
- ஏற்றப்பட்ட தரவுக்கான வினவல்களின் மிகச்சிறிய எண்ணிக்கை.
- தீர்வுக்கான சாத்தியமான பயனர்களின் மிகச் சிறிய எண்ணிக்கை.
- முடிந்தவரை எளிமையான மற்றும் இயல்பாக்கப்பட்ட தரவு (இதனால் அடுத்தடுத்த தரவு செயலாக்கம் மற்றும் பகுப்பாய்வில் CPU சுழற்சிகளை வீணாக்க வேண்டிய அவசியமில்லை).
இங்கே மிகவும் சிக்கலான விஷயம் இயல்பாக்கப்பட்ட தரவு. ஒரு நிறுவனத்தில் உள்ள அனைத்து பதிவுகளையும் ஒரு SIEM ஒரு திரட்டியாக நீங்கள் விரும்பினால், பாகுபடுத்துதல் மற்றும் பிந்தைய செயலாக்கம் ஆகியவற்றில் அதிக முயற்சி தேவை. சுமையின் கீழ் வீழ்ச்சியடையாத ஒரு கட்டிடக்கலை பற்றி நீங்கள் சிந்திக்க வேண்டும் என்பதை மறந்துவிடாதீர்கள், அதாவது. கூடுதல் சேவையகங்கள் எனவே கூடுதல் செயலிகள் தேவைப்படும்.
தரவு அளவு உரிமம் என்பது SIEM இன் மாவிற்கு அனுப்பப்படும் தரவின் அளவை அடிப்படையாகக் கொண்டது. தரவுகளின் கூடுதல் ஆதாரங்கள் ரூபிள் (அல்லது பிற நாணயம்) மூலம் தண்டிக்கப்படுகின்றன, மேலும் இது நீங்கள் உண்மையில் சேகரிக்க விரும்பாததைப் பற்றி சிந்திக்க வைக்கிறது. இந்த உரிம மாதிரியை விஞ்சிவிட, SIEM அமைப்பில் உட்செலுத்தப்படுவதற்கு முன்பு நீங்கள் தரவைக் கடிக்கலாம். உட்செலுத்தலுக்கு முன் இத்தகைய இயல்பாக்கத்திற்கு ஒரு எடுத்துக்காட்டு எலாஸ்டிக் ஸ்டாக் மற்றும் வேறு சில வணிக SIEMகள்.
இதன் விளைவாக, குறைந்தபட்ச முன்செயலாக்கத்துடன் குறிப்பிட்ட தரவை மட்டுமே நீங்கள் சேகரிக்க வேண்டியிருக்கும் போது, உள்கட்டமைப்பு மூலம் உரிமம் பெறுவது பயனுள்ளதாக இருக்கும். ஒரு இடைநிலை தீர்வுக்கான தேடல் பின்வரும் அளவுகோல்களுக்கு வழிவகுக்கிறது:
- தரவு ஒருங்கிணைப்பு மற்றும் இயல்பாக்கத்தை எளிதாக்குங்கள்.
- சத்தமில்லாத மற்றும் முக்கியமான தரவை வடிகட்டுதல்.
- பகுப்பாய்வு திறன்களை வழங்குதல்.
- வடிகட்டப்பட்ட மற்றும் இயல்பாக்கப்பட்ட தரவை SIEM க்கு அனுப்பவும்
இதன் விளைவாக, இலக்கு SIEM அமைப்புகள் செயலாக்கத்தில் கூடுதல் CPU சக்தியை வீணாக்க வேண்டிய அவசியமில்லை, மேலும் என்ன நடக்கிறது என்பதைப் பற்றிய பார்வையைக் குறைக்காமல் மிக முக்கியமான நிகழ்வுகளை மட்டும் அடையாளம் கண்டு பயன் பெறலாம்.
வெறுமனே, அத்தகைய மிடில்வேர் தீர்வு, நிகழ்நேர கண்டறிதல் மற்றும் மறுமொழி திறன்களை வழங்க வேண்டும், இது அபாயகரமான செயல்களின் தாக்கத்தைக் குறைக்கவும், நிகழ்வுகளின் முழு ஸ்ட்ரீமையும் SIEM க்கு பயனுள்ள மற்றும் எளிமையான தரவுகளாக ஒருங்கிணைக்கவும் பயன்படுகிறது. சரி, SIEM ஆனது கூடுதல் திரட்டல்கள், தொடர்புகள் மற்றும் எச்சரிக்கை செயல்முறைகளை உருவாக்க பயன்படுத்தப்படலாம்.
அதே மர்மமான இடைநிலை தீர்வு நான் கட்டுரையின் ஆரம்பத்தில் குறிப்பிட்டுள்ள CLM தவிர வேறில்லை. கார்ட்னர் இதைப் பார்ப்பது இதுதான்:
கார்ட்னர் பரிந்துரைகளுடன் இன்ட்ரஸ்ட் எவ்வாறு இணங்குகிறது என்பதை இப்போது நீங்கள் கண்டுபிடிக்க முயற்சி செய்யலாம்:
- சேமிக்க வேண்டிய அளவுகள் மற்றும் தரவு வகைகளுக்கான திறமையான சேமிப்பு.
- அதிக தேடல் வேகம்.
- காட்சிப்படுத்தல் திறன்கள் அடிப்படை CLM தேவை இல்லை, ஆனால் அச்சுறுத்தல் வேட்டை என்பது பாதுகாப்பு மற்றும் தரவு பகுப்பாய்வுக்கான BI அமைப்பு போன்றது.
- பயனுள்ள சூழ்நிலை தரவுகளுடன் (புவிஇருப்பிடம் மற்றும் பிற) மூல தரவை வளப்படுத்த தரவு செறிவூட்டல்.
குவெஸ்ட் இன்ட்ரஸ்ட் அதன் சொந்த சேமிப்பக அமைப்பை 40:1 வரையிலான தரவு சுருக்கம் மற்றும் அதிவேகக் குறைப்பு ஆகியவற்றைப் பயன்படுத்துகிறது, இது CLM மற்றும் SIEM அமைப்புகளுக்கான சேமிப்பக மேல்நிலையைக் குறைக்கிறது.
கூகுள் போன்ற தேடலுடன் IT பாதுகாப்பு தேடல் கன்சோல்
ஒரு சிறப்பு இணைய அடிப்படையிலான IT பாதுகாப்பு தேடல் (ITSS) தொகுதியானது InTrust களஞ்சியத்தில் உள்ள நிகழ்வு தரவுகளுடன் இணைக்க முடியும் மற்றும் அச்சுறுத்தல்களைத் தேடுவதற்கான எளிய இடைமுகத்தை வழங்குகிறது. நிகழ்வுப் பதிவுத் தரவுகளுக்கு Google போன்று செயல்படும் அளவுக்கு இடைமுகம் எளிமைப்படுத்தப்பட்டுள்ளது. ஐடிஎஸ்எஸ் வினவல் முடிவுகளுக்கான காலவரிசைகளைப் பயன்படுத்துகிறது, நிகழ்வுப் புலங்களை ஒன்றிணைக்கலாம் மற்றும் குழுவாக்கலாம், மேலும் அச்சுறுத்தல் வேட்டையில் திறம்பட உதவுகிறது.
இன்ட்ரஸ்ட் விண்டோஸ் நிகழ்வுகளை பாதுகாப்பு அடையாளங்காட்டிகள், கோப்பு பெயர்கள் மற்றும் பாதுகாப்பு உள்நுழைவு அடையாளங்காட்டிகள் மூலம் மேம்படுத்துகிறது. InTrust நிகழ்வுகளை ஒரு எளிய W6 திட்டத்திற்கு (யார், என்ன, எங்கே, எப்போது, யாரிடமிருந்து மற்றும் எங்கிருந்து) இயல்பாக்குகிறது, இதனால் வெவ்வேறு மூலங்களிலிருந்து (Windows நேட்டிவ் நிகழ்வுகள், Linux பதிவுகள் அல்லது syslog) தரவுகளை ஒரே வடிவத்தில் பார்க்க முடியும். தேடல் பணியகம்.
InTrust நிகழ்நேர எச்சரிக்கை, கண்டறிதல் மற்றும் மறுமொழி திறன்களை ஆதரிக்கிறது, இது சந்தேகத்திற்கிடமான செயல்பாட்டினால் ஏற்படும் சேதத்தைக் குறைக்க EDR போன்ற அமைப்பாகப் பயன்படுத்தப்படலாம். உள்ளமைக்கப்பட்ட பாதுகாப்பு விதிகள் பின்வரும் அச்சுறுத்தல்களைக் கண்டறிகின்றன, ஆனால் அவை மட்டும் அல்ல:
- கடவுச்சொல் தெளித்தல்.
- கெர்பரோஸ்டிங்.
- Mimikatz ஐ செயல்படுத்துவது போன்ற சந்தேகத்திற்குரிய PowerShell செயல்பாடு.
- சந்தேகத்திற்குரிய செயல்முறைகள், எடுத்துக்காட்டாக, LokerGoga ransomware.
- CA4FS பதிவுகளைப் பயன்படுத்தி குறியாக்கம்.
- பணிநிலையங்களில் சலுகை பெற்ற கணக்கு மூலம் உள்நுழைகிறது.
- கடவுச்சொல் யூகிக்கும் தாக்குதல்கள்.
- உள்ளூர் பயனர் குழுக்களின் சந்தேகத்திற்குரிய பயன்பாடு.
இன்ட்ரஸ்டின் சில ஸ்கிரீன்ஷாட்களை இப்போது நான் உங்களுக்குக் காண்பிப்பேன், இதன் மூலம் நீங்கள் அதன் திறன்களைப் பற்றிய தோற்றத்தைப் பெறலாம்.
சாத்தியமான பாதிப்புகளைத் தேடுவதற்கு முன் வரையறுக்கப்பட்ட வடிப்பான்கள்
மூலத் தரவைச் சேகரிப்பதற்கான வடிப்பான்களின் தொகுப்பின் எடுத்துக்காட்டு
நிகழ்விற்கான பதிலை உருவாக்க வழக்கமான வெளிப்பாடுகளைப் பயன்படுத்துவதற்கான எடுத்துக்காட்டு
பவர்ஷெல் பாதிப்பு தேடல் விதியுடன் உதாரணம்
பாதிப்புகள் பற்றிய விளக்கங்களுடன் உள்ளமைக்கப்பட்ட அறிவுத் தளம்
InTrust என்பது ஒரு சக்திவாய்ந்த கருவியாகும், இது ஒரு முழுமையான தீர்வாக அல்லது SIEM அமைப்பின் ஒரு பகுதியாகப் பயன்படுத்தப்படலாம், நான் மேலே விவரித்தேன். இந்த தீர்வின் முக்கிய நன்மை என்னவென்றால், நிறுவிய உடனேயே நீங்கள் அதைப் பயன்படுத்தத் தொடங்கலாம், ஏனெனில் அச்சுறுத்தல்களைக் கண்டறிந்து அவற்றுக்கு பதிலளிப்பதற்கான விதிகளின் பெரிய நூலகத்தை InTrust கொண்டுள்ளது (உதாரணமாக, ஒரு பயனரைத் தடுப்பது).
கட்டுரையில் நான் பெட்டி ஒருங்கிணைப்புகளைப் பற்றி பேசவில்லை. ஆனால் நிறுவிய உடனேயே, நிகழ்வுகளை Splunk, IBM QRadar, Microfocus Arcsight அல்லது வெப்ஹூக் வழியாக வேறு எந்த அமைப்பிற்கும் அனுப்புவதை நீங்கள் கட்டமைக்கலாம். InTrust இன் நிகழ்வுகளுடன் கிபானா இடைமுகத்தின் உதாரணம் கீழே உள்ளது. எலாஸ்டிக் ஸ்டேக்குடன் ஏற்கனவே ஒருங்கிணைவு உள்ளது, நீங்கள் எலாஸ்டிக் இலவசப் பதிப்பைப் பயன்படுத்தினால், அச்சுறுத்தல்களைக் கண்டறிவதற்கும், செயலில் உள்ள விழிப்பூட்டல்களைச் செய்வதற்கும், அறிவிப்புகளை அனுப்புவதற்கும் InTrust ஒரு கருவியாகப் பயன்படுத்தப்படலாம்.
கட்டுரை இந்த தயாரிப்பு பற்றிய குறைந்தபட்ச யோசனையை வழங்கியது என்று நம்புகிறேன். சோதனை அல்லது முன்னோடித் திட்டத்தை நடத்துவதற்கு InTrust ஐ வழங்க நாங்கள் தயாராக உள்ளோம். விண்ணப்பத்தை மணிக்கு விடலாம் எங்கள் வலைத்தளத்தில்.
தகவல் பாதுகாப்பு குறித்த எங்கள் மற்ற கட்டுரைகளைப் படிக்கவும்:
(பிரபலமான கட்டுரை)
ஆதாரம்: www.habr.com