కొంతకాలం క్రితం, స్ప్లంక్ మరొక లైసెన్సింగ్ మోడల్ను జోడించారు - మౌలిక సదుపాయాల ఆధారిత లైసెన్సింగ్ (
ఇది గగుర్పాటుగా కనిపిస్తుంది, కానీ కొన్నిసార్లు ఈ ఆర్కిటెక్చర్ ఉత్పత్తిలో పనిచేస్తుంది. సంక్లిష్టత భద్రతను చంపుతుంది మరియు సాధారణంగా, ప్రతిదీ చంపుతుంది. వాస్తవానికి, అటువంటి సందర్భాలలో (నేను యాజమాన్య వ్యయాన్ని తగ్గించడం గురించి మాట్లాడుతున్నాను) మొత్తం తరగతి వ్యవస్థలు ఉన్నాయి - సెంట్రల్ లాగ్ మేనేజ్మెంట్ (CLM). దాని గురించి
- బడ్జెట్ మరియు సిబ్బంది పరిమితులు, భద్రతా పర్యవేక్షణ అవసరాలు మరియు నిర్దిష్ట వినియోగ సందర్భ అవసరాలు ఉన్నప్పుడు CLM సామర్థ్యాలు మరియు సాధనాలను ఉపయోగించండి.
- SIEM పరిష్కారం చాలా ఖరీదైనది లేదా సంక్లిష్టమైనదిగా నిరూపించబడినప్పుడు లాగ్ సేకరణ మరియు విశ్లేషణ సామర్థ్యాలను మెరుగుపరచడానికి CLMని అమలు చేయండి.
- భద్రతా సంఘటన పరిశోధన/విశ్లేషణను మెరుగుపరచడానికి మరియు ముప్పు వేటకు మద్దతు ఇవ్వడానికి సమర్థవంతమైన నిల్వ, వేగవంతమైన శోధన మరియు సౌకర్యవంతమైన విజువలైజేషన్తో CLM సాధనాల్లో పెట్టుబడి పెట్టండి.
- CLM పరిష్కారాన్ని అమలు చేయడానికి ముందు వర్తించే అంశాలు మరియు పరిగణనలు పరిగణనలోకి తీసుకున్నట్లు నిర్ధారించుకోండి.
ఈ వ్యాసంలో మేము లైసెన్సింగ్ విధానాలలో తేడాల గురించి మాట్లాడుతాము, మేము CLMని అర్థం చేసుకుంటాము మరియు ఈ తరగతి యొక్క నిర్దిష్ట వ్యవస్థ గురించి మాట్లాడుతాము -
ఈ వ్యాసం ప్రారంభంలో, నేను స్ప్లంక్ లైసెన్సింగ్కి కొత్త విధానం గురించి మాట్లాడాను. లైసెన్సింగ్ రకాలను కారు అద్దె ధరలతో పోల్చవచ్చు. మోడల్, CPUల సంఖ్య పరంగా, అపరిమిత మైలేజ్ మరియు గ్యాసోలిన్తో కూడిన ఆర్థిక కారు అని ఊహించుకుందాం. మీరు దూర పరిమితులు లేకుండా ఎక్కడికైనా వెళ్లవచ్చు, కానీ మీరు చాలా వేగంగా వెళ్లలేరు మరియు తదనుగుణంగా, రోజుకు చాలా కిలోమీటర్లు కవర్ చేయవచ్చు. డేటా లైసెన్సింగ్ రోజువారీ మైలేజ్ మోడల్తో కూడిన స్పోర్ట్స్ కారును పోలి ఉంటుంది. మీరు చాలా దూరం వరకు నిర్లక్ష్యంగా డ్రైవ్ చేయవచ్చు, కానీ రోజువారీ మైలేజ్ పరిమితిని మించిపోయినందుకు మీరు మరింత చెల్లించవలసి ఉంటుంది.
లోడ్-ఆధారిత లైసెన్సింగ్ నుండి ప్రయోజనం పొందడానికి, మీరు లోడ్ చేయబడిన డేటా యొక్క GBకి CPU కోర్ల యొక్క అతి తక్కువ నిష్పత్తిని కలిగి ఉండాలి. ఆచరణలో దీని అర్థం ఇలాంటిదే:
- లోడ్ చేయబడిన డేటాకు అతి తక్కువ సంఖ్యలో ప్రశ్నలు.
- పరిష్కారం యొక్క సాధ్యమయ్యే అతి తక్కువ సంఖ్యలో వినియోగదారులు.
- సాధ్యమైనంత సరళమైన మరియు సాధారణీకరించిన డేటా (తదుపరి డేటా ప్రాసెసింగ్ మరియు విశ్లేషణలో CPU చక్రాలను వృధా చేయవలసిన అవసరం లేదు).
ఇక్కడ అత్యంత సమస్యాత్మకమైన విషయం సాధారణీకరించిన డేటా. మీరు ఒక సంస్థలోని అన్ని లాగ్ల యొక్క అగ్రిగేటర్గా SIEM కావాలనుకుంటే, దానికి పార్సింగ్ మరియు పోస్ట్-ప్రాసెసింగ్లో భారీ మొత్తంలో కృషి అవసరం. మీరు లోడ్ కింద పడని నిర్మాణం గురించి కూడా ఆలోచించాల్సిన అవసరం ఉందని మర్చిపోవద్దు, అనగా. అదనపు సర్వర్లు మరియు అందువల్ల అదనపు ప్రాసెసర్లు అవసరం.
డేటా వాల్యూమ్ లైసెన్సింగ్ అనేది SIEM యొక్క మావ్లోకి పంపబడిన డేటా మొత్తంపై ఆధారపడి ఉంటుంది. డేటా యొక్క అదనపు మూలాధారాలు రూబుల్ (లేదా ఇతర కరెన్సీ) ద్వారా శిక్షించబడతాయి మరియు ఇది మీరు నిజంగా సేకరించకూడదనుకున్న దాని గురించి ఆలోచించేలా చేస్తుంది. ఈ లైసెన్సింగ్ మోడల్ను అధిగమించడానికి, మీరు డేటాను SIEM సిస్టమ్లోకి ఇంజెక్ట్ చేసే ముందు కాటు వేయవచ్చు. ఇంజెక్షన్కు ముందు అటువంటి సాధారణీకరణకు ఒక ఉదాహరణ ఎలాస్టిక్ స్టాక్ మరియు కొన్ని ఇతర వాణిజ్య SIEMలు.
ఫలితంగా, మీరు కనిష్ట ప్రీప్రాసెసింగ్తో నిర్దిష్ట డేటాను మాత్రమే సేకరించాల్సిన అవసరం వచ్చినప్పుడు మౌలిక సదుపాయాల ద్వారా లైసెన్సింగ్ ప్రభావవంతంగా ఉంటుందని మేము కలిగి ఉన్నాము మరియు వాల్యూమ్ వారీగా లైసెన్సింగ్ మీరు అన్నింటినీ సేకరించడానికి అనుమతించదు. ఇంటర్మీడియట్ పరిష్కారం కోసం శోధన క్రింది ప్రమాణాలకు దారి తీస్తుంది:
- డేటా అగ్రిగేషన్ మరియు సాధారణీకరణను సులభతరం చేయండి.
- ధ్వనించే మరియు తక్కువ ముఖ్యమైన డేటా యొక్క వడపోత.
- విశ్లేషణ సామర్థ్యాలను అందించడం.
- ఫిల్టర్ చేయబడిన మరియు సాధారణీకరించిన డేటాను SIEMకి పంపండి
ఫలితంగా, లక్ష్య SIEM సిస్టమ్లు ప్రాసెసింగ్లో అదనపు CPU శక్తిని వృథా చేయనవసరం లేదు మరియు ఏమి జరుగుతుందో దృశ్యమానతను తగ్గించకుండా అత్యంత ముఖ్యమైన ఈవెంట్లను మాత్రమే గుర్తించడం ద్వారా ప్రయోజనం పొందవచ్చు.
ఆదర్శవంతంగా, అటువంటి మిడిల్వేర్ సొల్యూషన్ రియల్ టైమ్ డిటెక్షన్ మరియు రెస్పాన్స్ సామర్థ్యాలను కూడా అందించాలి, ఇవి సంభావ్య ప్రమాదకరమైన కార్యకలాపాల ప్రభావాన్ని తగ్గించడానికి మరియు ఈవెంట్ల మొత్తం స్ట్రీమ్ను SIEM వైపు ఉపయోగకరమైన మరియు సరళమైన డేటాగా సమగ్రపరచడానికి ఉపయోగపడతాయి. సరే, అప్పుడు SIEM అదనపు అగ్రిగేషన్లు, సహసంబంధాలు మరియు హెచ్చరిక ప్రక్రియలను సృష్టించడానికి ఉపయోగించవచ్చు.
అదే రహస్యమైన ఇంటర్మీడియట్ పరిష్కారం CLM తప్ప మరొకటి కాదు, నేను వ్యాసం ప్రారంభంలో పేర్కొన్నాను. గార్ట్నర్ దీన్ని ఎలా చూస్తాడు:
గార్ట్నర్ సిఫార్సులకు InTrust ఎలా కట్టుబడి ఉందో ఇప్పుడు మీరు గుర్తించడానికి ప్రయత్నించవచ్చు:
- నిల్వ చేయవలసిన వాల్యూమ్లు మరియు డేటా రకాల కోసం సమర్థవంతమైన నిల్వ.
- అధిక శోధన వేగం.
- విజువలైజేషన్ సామర్థ్యాలు ప్రాథమిక CLM అవసరం కాదు, కానీ ముప్పు వేట అనేది భద్రత మరియు డేటా విశ్లేషణల కోసం BI వ్యవస్థ వంటిది.
- ఉపయోగకరమైన సందర్భోచిత డేటా (జియోలొకేషన్ మరియు ఇతరులు వంటివి)తో ముడి డేటాను మెరుగుపరచడానికి డేటాను మెరుగుపరచడం.
క్వెస్ట్ ఇన్ట్రస్ట్ 40:1 వరకు డేటా కంప్రెషన్ మరియు హై-స్పీడ్ డీప్లికేషన్తో దాని స్వంత నిల్వ వ్యవస్థను ఉపయోగిస్తుంది, ఇది CLM మరియు SIEM సిస్టమ్ల కోసం నిల్వ ఓవర్హెడ్ను తగ్గిస్తుంది.
గూగుల్ లాంటి సెర్చ్తో IT సెక్యూరిటీ సెర్చ్ కన్సోల్
వెబ్ ఇంటర్ఫేస్తో కూడిన ప్రత్యేక మాడ్యూల్, IT సెక్యూరిటీ సెర్చ్ (ITSS), InTrust రిపోజిటరీలోని ఈవెంట్ డేటాకు కనెక్ట్ చేయగలదు మరియు బెదిరింపుల కోసం శోధించడానికి సులభమైన ఇంటర్ఫేస్ను అందిస్తుంది. ఈవెంట్ లాగ్ డేటా కోసం Google లాగా పని చేసేంత వరకు ఇంటర్ఫేస్ సరళీకృతం చేయబడింది. ITSS ప్రశ్న ఫలితాల కోసం టైమ్లైన్లను ఉపయోగిస్తుంది, ఈవెంట్ ఫీల్డ్లను విలీనం చేయవచ్చు మరియు సమూహపరచవచ్చు మరియు ముప్పు వేటలో సమర్థవంతంగా సహాయం చేస్తుంది.
InTrust Windows ఈవెంట్లను సెక్యూరిటీ ఐడెంటిఫైయర్లు, ఫైల్ పేర్లు మరియు సెక్యూరిటీ లాగిన్ ఐడెంటిఫైయర్లతో మెరుగుపరుస్తుంది. InTrust ఈవెంట్లను ఒక సాధారణ W6 స్కీమాకు (ఎవరు, ఏమి, ఎక్కడ, ఎప్పుడు, ఎవరి నుండి మరియు ఎక్కడ నుండి) సాధారణీకరిస్తుంది, తద్వారా వివిధ మూలాల (Windows స్థానిక ఈవెంట్లు, Linux లాగ్లు లేదా syslog) నుండి డేటాను ఒకే ఫార్మాట్లో మరియు ఒకే రూపంలో చూడవచ్చు. శోధన కన్సోల్.
InTrust అనుమానాస్పద కార్యాచరణ వల్ల కలిగే నష్టాన్ని తగ్గించడానికి EDR-వంటి సిస్టమ్గా ఉపయోగించబడే నిజ-సమయ హెచ్చరిక, గుర్తింపు మరియు ప్రతిస్పందన సామర్థ్యాలకు మద్దతు ఇస్తుంది. అంతర్నిర్మిత భద్రతా నియమాలు కింది బెదిరింపులను గుర్తిస్తాయి, కానీ వీటికే పరిమితం కాలేదు:
- పాస్వర్డ్-స్ప్రేయింగ్.
- కెర్బెరోస్టింగ్.
- Mimikatz అమలు వంటి అనుమానాస్పద PowerShell కార్యాచరణ.
- అనుమానాస్పద ప్రక్రియలు, ఉదాహరణకు, LokerGoga ransomware.
- CA4FS లాగ్లను ఉపయోగించి ఎన్క్రిప్షన్.
- వర్క్స్టేషన్లలో ప్రత్యేక ఖాతాతో లాగిన్లు.
- పాస్వర్డ్ అంచనా దాడులు.
- స్థానిక వినియోగదారు సమూహాల అనుమానాస్పద ఉపయోగం.
ఇప్పుడు నేను మీకు InTrust యొక్క కొన్ని స్క్రీన్షాట్లను చూపుతాను, తద్వారా మీరు దాని సామర్థ్యాల గురించి ఒక అభిప్రాయాన్ని పొందవచ్చు.
సంభావ్య దుర్బలత్వాల కోసం శోధించడానికి ముందే నిర్వచించబడిన ఫిల్టర్లు
ముడి డేటాను సేకరించడం కోసం ఫిల్టర్ల సమితికి ఉదాహరణ
ఈవెంట్కు ప్రతిచర్యను సృష్టించడానికి సాధారణ వ్యక్తీకరణలను ఉపయోగించడం యొక్క ఉదాహరణ
PowerShell దుర్బలత్వ శోధన నియమంతో ఉదాహరణ
దుర్బలత్వాల వివరణలతో అంతర్నిర్మిత నాలెడ్జ్ బేస్
InTrust అనేది నేను పైన వివరించిన విధంగా స్వతంత్ర పరిష్కారంగా లేదా SIEM సిస్టమ్లో భాగంగా ఉపయోగించగల శక్తివంతమైన సాధనం. బహుశా ఈ పరిష్కారం యొక్క ప్రధాన ప్రయోజనం ఏమిటంటే, మీరు సంస్థాపన తర్వాత వెంటనే దాన్ని ఉపయోగించడం ప్రారంభించవచ్చు, ఎందుకంటే InTrust బెదిరింపులను గుర్తించడం మరియు వాటికి ప్రతిస్పందించడం కోసం నియమాల యొక్క పెద్ద లైబ్రరీని కలిగి ఉంది (ఉదాహరణకు, వినియోగదారుని నిరోధించడం).
వ్యాసంలో నేను బాక్స్డ్ ఇంటిగ్రేషన్ల గురించి మాట్లాడలేదు. కానీ ఇన్స్టాలేషన్ తర్వాత వెంటనే, మీరు ఈవెంట్లను స్ప్లంక్, IBM QRadar, Microfocus Arcsight లేదా వెబ్హుక్ ద్వారా మరేదైనా సిస్టమ్కి పంపడాన్ని కాన్ఫిగర్ చేయవచ్చు. InTrust నుండి ఈవెంట్లతో కూడిన కిబానా ఇంటర్ఫేస్కి ఉదాహరణ క్రింద ఉంది. సాగే స్టాక్తో ఇప్పటికే ఏకీకరణ ఉంది మరియు మీరు సాగే ఉచిత వెర్షన్ని ఉపయోగిస్తే, బెదిరింపులను గుర్తించడం, చురుకైన హెచ్చరికలు చేయడం మరియు నోటిఫికేషన్లను పంపడం కోసం InTrust ఒక సాధనంగా ఉపయోగించవచ్చు.
వ్యాసం ఈ ఉత్పత్తి గురించి కనీస ఆలోచనను అందించిందని నేను ఆశిస్తున్నాను. పైలట్ ప్రాజెక్ట్ను పరీక్షించడం లేదా నిర్వహించడం కోసం మేము మీకు InTrustని అందించడానికి సిద్ధంగా ఉన్నాము. దరఖాస్తును వద్ద వదిలివేయవచ్చు
సమాచార భద్రతపై మా ఇతర కథనాలను చదవండి:
మూలం: www.habr.com