Чанде пеш, Splunk модели дигари иҷозатномадиҳӣ - литсензияи бар асоси инфрасохторро илова кард (
Он даҳшатнок менамояд, аммо баъзан ин меъморӣ дар истеҳсолот кор мекунад. Мушкилот амниятро мекушад ва умуман ҳама чизро мекушад. Дар асл, барои чунин ҳолатҳо (ман дар бораи кам кардани арзиши моликият гап мезанам) як синфи тамоми системаҳо вуҷуд дорад - Идоракунии Central Log (CLM). Дар ин бора
- Имкониятҳо ва абзорҳои CLM-ро ҳангоми мавҷудияти маҳдудиятҳои буҷетӣ ва кормандон, талаботи мониторинги амният ва талаботи мушаххаси мавриди истифода истифода баред.
- Барои баланд бардоштани қобилиятҳои ҷамъоварӣ ва таҳлили гузоришҳо, вақте ки ҳалли SIEM хеле гарон ё мураккаб аст, CLM-ро татбиқ кунед.
- Ба абзорҳои CLM бо нигоҳдории муассир, ҷустуҷӯи зуд ва визуализатсияи чандир сармоягузорӣ кунед, то тафтишот/таҳлили ҳодисаҳои амниятӣ ва дастгирии шикори таҳдидҳоро беҳтар созед.
- Боварӣ ҳосил кунед, ки пеш аз татбиқи ҳалли CLM омилҳо ва мулоҳизаҳои мувофиқ ба назар гирифта мешаванд.
Дар ин мақола мо дар бораи фарқиятҳо дар равишҳои иҷозатномадиҳӣ сӯҳбат хоҳем кард, мо CLM-ро мефаҳмем ва дар бораи системаи мушаххаси ин синф сӯҳбат хоҳем кард -
Дар оғози ин мақола ман дар бораи равиши нав ба иҷозатномадиҳии Splunk сӯҳбат кардам. Намудҳои иҷозатномаро бо нархҳои иҷораи мошин муқоиса кардан мумкин аст. Биёед тасаввур кунем, ки модел аз рӯи шумораи CPU-ҳо як мошини сарфакор бо масофаи номаҳдуд ва бензин аст. Шумо метавонед ба ҳама ҷо бе маҳдудияти масофа равед, аммо шумо наметавонед хеле зуд биравед ва мувофиқан дар як рӯз километрҳои зиёдро тай кунед. Иҷозатномаи маълумот ба мошини варзишӣ бо модели ҳаррӯзаи масофа монанд аст. Шумо метавонед беэҳтиётона дар масофаҳои дур ҳаракат кунед, аммо шумо бояд барои аз меъёри ҳаррӯза гузаштан бештар пул пардохт кунед.
Барои баҳрабардорӣ аз иҷозатномадиҳӣ ба сарборӣ, ба шумо лозим аст, ки таносуби камтарин имконпазири ядроҳои CPU ба GB маълумоти боршуда дошта бошед. Дар амал ин чунин маъно дорад:
- Шумораи камтарини имконпазири дархостҳо ба маълумоти боршуда.
- Шумораи камтарини истифодабарандагони имконпазири ҳалли.
- То ҳадди имкон маълумоти оддӣ ва ба эътидол овардашуда (то ки барои коркард ва таҳлили минбаъдаи додаҳо лозим нест, ки давраҳои CPU сарф карда шавад).
Чизи аз ҳама мушкил дар ин ҷо маълумоти муқарраршуда аст. Агар шумо хоҳед, ки SIEM агрегатори ҳамаи гузоришҳо дар созмон бошад, он барои таҳлил ва коркарди пас аз он кӯшиши зиёдро талаб мекунад. Фаромӯш накунед, ки шумо инчунин бояд дар бораи меъморӣ фикр кунед, ки дар зери сарборӣ канда намешавад, яъне. серверҳои иловагӣ ва аз ин рӯ, коркардкунандагони иловагӣ талаб карда мешаванд.
Литсензияи ҳаҷми маълумот ба миқдори маълумоте, ки ба мави SIEM фиристода мешавад, асос ёфтааст. Манбаъҳои иловагии маълумот бо рубл (ё асъори дигар) ҷазо дода мешаванд ва ин шуморо водор мекунад, ки дар бораи он чизе, ки шумо воқеан ҷамъ кардан намехостед, фикр кунед. Барои пешбурди ин модели литсензионӣ, шумо метавонед маълумотро пеш аз ворид кардани он ба системаи SIEM газед. Як мисоли чунин нормализатсия пеш аз тазриқ ин Elastic Stack ва баъзе дигар SIEM-ҳои тиҷоратӣ мебошад.
Дар натиҷа, мо дорем, ки иҷозатномадиҳӣ аз рӯи инфрасохтор вақте самаранок аст, ки шумо бояд танҳо маълумоти муайянро бо коркарди ҳадди ақал ҷамъоварӣ кунед ва иҷозатномадиҳӣ аз рӯи ҳаҷм ба шумо имкон намедиҳад, ки ҳама чизро ҷамъ кунед. Ҷустуҷӯи ҳалли мобайнӣ ба меъёрҳои зерин оварда мерасонад:
- Ҷамъоварӣ ва нормализатсияи маълумотро содда кунед.
- Филтр кардани маълумоти пурғавғо ва камтар муҳим.
- Таъмини қобилияти таҳлил.
- Маълумоти филтршуда ва муқарраршударо ба SIEM фиристед
Дар натиҷа, системаҳои мақсадноки SIEM лозим нест, ки қувваи иловагии CPU-ро ҳангоми коркард сарф кунанд ва метавонанд аз муайян кардани танҳо рӯйдодҳои муҳимтарин бидуни кам кардани дидани рӯйдодҳо манфиат гиранд.
Идеалӣ, чунин як ҳалли миёнаравӣ инчунин бояд қобилияти муайянкунӣ ва вокунишро дар вақти воқеӣ таъмин кунад, ки онҳоро барои коҳиш додани таъсири фаъолиятҳои эҳтимолан хатарнок истифода бурдан мумкин аст ва тамоми ҷараёни рӯйдодҳоро ба миқдори муфид ва оддии маълумот ба SIEM ҷамъоварӣ кардан мумкин аст. Хуб, пас SIEM-ро барои эҷоди агрегатсияҳо, коррелятсияҳо ва равандҳои ҳушдор истифода бурдан мумкин аст.
Ин ҳамон як ҳалли мобайнии пурасрор ҷуз CLM нест, ки ман дар аввали мақола зикр кардам. Гартнер инро чунин мебинад:
Акнун шумо метавонед бифаҳмед, ки чӣ тавр InTrust ба тавсияҳои Gartner мувофиқат мекунад:
- Нигоҳдории муассир барои ҳаҷм ва намудҳои маълумоте, ки бояд нигоҳ дошта шаванд.
- Суръати баланди ҷустуҷӯ.
- Қобилиятҳои визуализатсия он чизест, ки CLM-и асосӣ талаб мекунад, аммо шикори таҳдид ба системаи BI барои амният ва таҳлили додаҳо монанд аст.
- ғанисозии додаҳо барои ғанӣ гардонидани маълумоти хом бо маълумоти муфиди контекстӣ (ба монанди ҷойгиршавӣ ва ғайра).
Quest InTrust системаи нигаҳдории шахсии худро бо фишурдани маълумот то 40:1 ва нусхабардории баландсуръат истифода мебарад, ки хароҷоти нигаҳдории системаҳои CLM ва SIEM-ро коҳиш медиҳад.
Консол Ҷустуҷӯи IT Амният бо ҷустуҷӯи шабеҳи Google
Модули махсуси Ҷустуҷӯи Амнияти IT (ITSS) дар асоси веб метавонад ба маълумоти рӯйдодҳо дар анбори InTrust пайваст шавад ва интерфейси оддиро барои ҷустуҷӯи таҳдидҳо таъмин намояд. Интерфейс то дараҷае содда карда шудааст, ки он мисли Google барои маълумоти сабти рӯйдодҳо амал мекунад. ITSS ҷадвалҳои вақтро барои натиҷаҳои дархост истифода мебарад, метавонад майдонҳои рӯйдодҳоро якҷоя ва гурӯҳбандӣ кунад ва дар шикори таҳдид ба таври муассир кумак кунад.
InTrust рӯйдодҳои Windows-ро бо идентификаторҳои амниятӣ, номҳои файл ва идентификаторҳои воридшавии амният ғанӣ мегардонад. InTrust инчунин рӯйдодҳоро ба схемаи оддии W6 (Кӣ, чӣ, дар куҷо, кай, кӣ ва аз куҷо) ба эътидол меорад, то маълумот аз манбаъҳои гуногун (рӯйдодҳои аслии Windows, сабтҳои Linux ё система) дар як формат ва дар як формат дида шаванд. консоли ҷустуҷӯ.
InTrust имкониятҳои ҳушдордиҳӣ, муайянкунӣ ва вокунишро дар вақти воқеӣ дастгирӣ мекунад, ки онҳоро метавон ҳамчун системаи ба EDR монанд барои кам кардани зарари аз фаъолияти шубҳанок истифода бурдан мумкин аст. Қоидаҳои амниятии дохилӣ таҳдидҳои зеринро ошкор мекунанд, вале бо онҳо маҳдуд нестанд:
- Пошидани парол.
- Керберостинг.
- Фаъолияти шубҳаноки PowerShell, ба монанди иҷрои Mimikatz.
- Равандҳои шубҳанок, масалан, LokerGoga ransomware.
- Рамзгузорӣ бо истифода аз гузоришҳои CA4FS.
- Воридшавӣ бо ҳисоби имтиёзнок дар истгоҳҳои корӣ.
- Ҳамлаҳои тахминии парол.
- Истифодаи шубҳаноки гурӯҳҳои корбарони маҳаллӣ.
Ҳоло ман ба шумо чанд скриншоти худи InTrust-ро нишон медиҳам, то шумо дар бораи қобилиятҳои он таассурот пайдо кунед.
Филтрҳои пешакӣ муайяншуда барои ҷустуҷӯи осебпазирии эҳтимолӣ
Намунаи маҷмӯи филтрҳо барои ҷамъоварии маълумоти хом
Намунаи истифодаи ибораҳои муқаррарӣ барои эҷоди посух ба ҳодиса
Намуна бо қоидаи ҷустуҷӯи осебпазирии PowerShell
Пойгоҳи дониши дарунсохт бо тавсифи осебпазирӣ
InTrust як воситаи пурқувватест, ки онро ҳамчун як ҳалли мустақил ё ҳамчун як қисми системаи SIEM истифода бурдан мумкин аст, тавре ки ман дар боло тавсиф кардам. Эҳтимол бартарии асосии ин ҳалли он аст, ки шумо метавонед онро фавран пас аз насб оғоз кунед, зеро InTrust дорои китобхонаи калони қоидаҳо барои ошкор кардани таҳдидҳо ва вокуниш ба онҳо (масалан, бастани корбар).
Дар мақола ман дар бораи интегратсияҳои қуттӣ сухан нагуфтам. Аммо дарҳол пас аз насб, шумо метавонед фиристодани рӯйдодҳоро ба Splunk, IBM QRadar, Microfocus Arcsight ё тавассути вебхук ба ягон системаи дигар танзим кунед. Дар зер намунаи интерфейси Kibana бо рӯйдодҳои InTrust оварда шудааст. Аллакай ҳамгироӣ бо Elastic Stack мавҷуд аст ва агар шумо версияи ройгони Elastic-ро истифода баред, InTrust метавонад ҳамчун абзор барои муайян кардани таҳдидҳо, иҷрои огоҳиҳои фаъол ва ирсоли огоҳиҳо истифода шавад.
Умедворам, ки мақола дар бораи ин маҳсулот тасаввуроти ҳадди аққал дод. Мо омодаем, ки InTrust-ро ба шумо барои санҷиш ё гузаронидани лоиҳаи озмоишӣ диҳем. Аризаро дар он гузоштан мумкин аст
Мақолаҳои дигари моро дар бораи амнияти иттилоот хонед:
Манбаъ: will.com