ไม่นานมานี้ Splunk ได้เพิ่มรูปแบบใบอนุญาตอื่น - การออกใบอนุญาตตามโครงสร้างพื้นฐาน (
มันดูน่าขนลุก แต่บางครั้งสถาปัตยกรรมนี้ก็ใช้งานได้จริง ความซับซ้อนทำลายความปลอดภัย และโดยทั่วไป ทำลายทุกสิ่ง ในความเป็นจริงในกรณีเช่นนี้ (ฉันกำลังพูดถึงการลดต้นทุนการเป็นเจ้าของ) มีระบบทั้งหมด - Central Log Management (CLM) เกี่ยวกับมัน
- ใช้ความสามารถและเครื่องมือของ CLM เมื่อมีข้อจำกัดด้านงบประมาณและบุคลากร ข้อกำหนดในการตรวจสอบความปลอดภัย และข้อกำหนดกรณีการใช้งานเฉพาะ
- ใช้ CLM เพื่อเพิ่มความสามารถในการรวบรวมบันทึกและการวิเคราะห์เมื่อโซลูชัน SIEM มีราคาแพงหรือซับซ้อนเกินไป
- ลงทุนในเครื่องมือ CLM พร้อมพื้นที่จัดเก็บที่มีประสิทธิภาพ การค้นหาที่รวดเร็ว และการแสดงภาพที่ยืดหยุ่น เพื่อปรับปรุงการตรวจสอบ/การวิเคราะห์เหตุการณ์ด้านความปลอดภัย และสนับสนุนการค้นหาภัยคุกคาม
- ตรวจสอบให้แน่ใจว่าได้คำนึงถึงปัจจัยและข้อควรพิจารณาที่เกี่ยวข้องก่อนที่จะใช้โซลูชัน CLM
ในบทความนี้เราจะพูดถึงความแตกต่างในแนวทางการออกใบอนุญาตเราจะเข้าใจ CLM และพูดคุยเกี่ยวกับระบบเฉพาะของคลาสนี้ -
ในตอนต้นของบทความนี้ ฉันได้พูดคุยเกี่ยวกับแนวทางใหม่ในการออกใบอนุญาต Splunk ประเภทของใบอนุญาตสามารถเปรียบเทียบได้กับอัตราค่าเช่ารถยนต์ ลองจินตนาการว่าโมเดลนี้ในแง่ของจำนวน CPU เป็นรถยนต์ราคาประหยัดที่มีระยะทางและน้ำมันไม่จำกัด คุณสามารถไปที่ไหนก็ได้โดยไม่มีข้อจำกัดด้านระยะทาง แต่คุณไม่สามารถไปได้เร็วมากนัก ดังนั้นจึงเดินทางได้หลายกิโลเมตรต่อวัน การออกใบอนุญาตข้อมูลนั้นคล้ายคลึงกับรถสปอร์ตที่มีรูปแบบระยะทางรายวัน คุณสามารถขับรถโดยประมาทในระยะทางไกลได้ แต่คุณจะต้องจ่ายเพิ่มหากเกินขีดจำกัดระยะทางรายวัน
เพื่อให้ได้รับประโยชน์จากสิทธิ์การใช้งานตามโหลด คุณต้องมีอัตราส่วนคอร์ CPU ต่อ GB ของข้อมูลที่โหลดต่ำที่สุดที่เป็นไปได้ ในทางปฏิบัติสิ่งนี้หมายถึง:
- จำนวนการสืบค้นที่น้อยที่สุดที่เป็นไปได้สำหรับข้อมูลที่โหลด
- จำนวนผู้ใช้โซลูชันที่น้อยที่สุดที่เป็นไปได้
- ข้อมูลที่เรียบง่ายและเป็นมาตรฐานที่สุดเท่าที่จะเป็นไปได้ (เพื่อให้ไม่จำเป็นต้องสิ้นเปลืองวงจรของ CPU ในการประมวลผลและการวิเคราะห์ข้อมูลที่ตามมา)
สิ่งที่เป็นปัญหามากที่สุดที่นี่คือข้อมูลที่ทำให้เป็นมาตรฐาน หากคุณต้องการให้ SIEM เป็นผู้รวบรวมบันทึกทั้งหมดในองค์กร จะต้องอาศัยความพยายามอย่างมากในการแยกวิเคราะห์และหลังการประมวลผล อย่าลืมว่าคุณต้องคิดถึงสถาปัตยกรรมที่จะไม่พังทลายลงภายใต้ภาระงาน เช่น เซิร์ฟเวอร์เพิ่มเติมและดังนั้นจึงจำเป็นต้องมีโปรเซสเซอร์เพิ่มเติม
Data Volume Licensing ขึ้นอยู่กับปริมาณข้อมูลที่ส่งไปยังส่วนหลักของ SIEM แหล่งข้อมูลเพิ่มเติมมีโทษเป็นรูเบิล (หรือสกุลเงินอื่น) และสิ่งนี้ทำให้คุณนึกถึงสิ่งที่คุณไม่ต้องการรวบรวมจริงๆ หากต้องการเอาชนะรูปแบบใบอนุญาตนี้ คุณสามารถกัดข้อมูลก่อนที่จะถูกฉีดเข้าไปในระบบ SIEM ตัวอย่างหนึ่งของการทำให้เป็นมาตรฐานก่อนการฉีดคือ Elastic Stack และ SIEM เชิงพาณิชย์อื่นๆ
ด้วยเหตุนี้ เราจึงได้สิทธิ์ใช้งานตามโครงสร้างพื้นฐานจะมีผลเมื่อคุณต้องการรวบรวมเฉพาะข้อมูลบางอย่างด้วยการประมวลผลล่วงหน้าขั้นต่ำ และการออกใบอนุญาตตามปริมาณจะไม่อนุญาตให้คุณรวบรวมทุกสิ่งเลย การค้นหาวิธีแก้ปัญหาระดับกลางนำไปสู่เกณฑ์ต่อไปนี้:
- ลดความซับซ้อนในการรวบรวมข้อมูลและการทำให้เป็นมาตรฐาน
- การกรองข้อมูลที่มีเสียงดังและสำคัญน้อยที่สุด
- ให้ความสามารถในการวิเคราะห์
- ส่งข้อมูลที่ผ่านการกรองและทำให้เป็นมาตรฐานไปยัง SIEM
ด้วยเหตุนี้ ระบบ SIEM เป้าหมายจึงไม่จำเป็นต้องสิ้นเปลืองพลังงาน CPU เพิ่มเติมในการประมวลผล และจะได้ประโยชน์จากการระบุเฉพาะเหตุการณ์ที่สำคัญที่สุดโดยไม่ลดการมองเห็นสิ่งที่เกิดขึ้น
ตามหลักการแล้ว โซลูชันมิดเดิลแวร์ดังกล่าวควรจัดให้มีความสามารถในการตรวจจับและตอบสนองแบบเรียลไทม์ ซึ่งสามารถใช้เพื่อลดผลกระทบของกิจกรรมที่อาจเป็นอันตราย และรวบรวมเหตุการณ์ทั้งหมดให้เป็นควอนตัมข้อมูลที่มีประโยชน์และเรียบง่ายไปยัง SIEM ถ้าอย่างนั้น SIEM สามารถใช้เพื่อสร้างการรวมกลุ่ม ความสัมพันธ์ และกระบวนการแจ้งเตือนเพิ่มเติมได้
วิธีแก้ปัญหาระดับกลางลึกลับแบบเดียวกันนั้นไม่ใช่ใครอื่นนอกจาก CLM ที่ฉันพูดถึงในตอนต้นของบทความ นี่คือวิธีที่ Gartner มอง:
ตอนนี้คุณสามารถลองพิจารณาว่า InTrust ปฏิบัติตามคำแนะนำของ Gartner ได้อย่างไร:
- พื้นที่จัดเก็บข้อมูลที่มีประสิทธิภาพสำหรับปริมาณและประเภทข้อมูลที่จำเป็นต้องจัดเก็บ
- ความเร็วในการค้นหาสูง
- ความสามารถในการแสดงภาพไม่ใช่สิ่งที่ CLM พื้นฐานต้องการ แต่การตามล่าภัยคุกคามก็เหมือนกับระบบ BI สำหรับการรักษาความปลอดภัยและการวิเคราะห์ข้อมูล
- การเพิ่มคุณค่าของข้อมูลเพื่อเพิ่มคุณค่าให้กับข้อมูลดิบด้วยข้อมูลเชิงบริบทที่เป็นประโยชน์ (เช่น ตำแหน่งทางภูมิศาสตร์และอื่นๆ)
Quest InTrust ใช้ระบบจัดเก็บข้อมูลของตัวเองพร้อมการบีบอัดข้อมูลสูงสุด 40:1 และการขจัดข้อมูลซ้ำซ้อนความเร็วสูง ซึ่งช่วยลดค่าใช้จ่ายในการจัดเก็บข้อมูลสำหรับระบบ CLM และ SIEM
คอนโซลการค้นหาความปลอดภัยด้านไอทีพร้อมการค้นหาแบบ Google
โมดูลการค้นหาความปลอดภัยด้านไอที (ITSS) บนเว็บแบบพิเศษสามารถเชื่อมต่อกับข้อมูลเหตุการณ์ในพื้นที่เก็บข้อมูล InTrust และมอบอินเทอร์เฟซที่เรียบง่ายสำหรับการค้นหาภัยคุกคาม อินเทอร์เฟซได้รับการเรียบง่ายจนถึงจุดที่ทำหน้าที่เหมือนกับ Google สำหรับข้อมูลบันทึกเหตุการณ์ ITSS ใช้ไทม์ไลน์สำหรับผลลัพธ์การสืบค้น สามารถรวมและจัดกลุ่มฟิลด์เหตุการณ์ และช่วยในการตามล่าภัยคุกคามได้อย่างมีประสิทธิภาพ
InTrust เสริมกิจกรรม Windows ด้วยตัวระบุความปลอดภัย ชื่อไฟล์ และตัวระบุการเข้าสู่ระบบความปลอดภัย InTrust ยังปรับเหตุการณ์ให้เป็นมาตรฐานให้เป็นสคีมา W6 แบบธรรมดา (ใคร อะไร ที่ไหน เมื่อใด ใคร และที่ไหนจาก) เพื่อให้ข้อมูลจากแหล่งต่างๆ (เหตุการณ์ดั้งเดิมของ Windows, บันทึกของ Linux หรือบันทึกระบบ) สามารถมองเห็นได้ในรูปแบบเดียวและในที่เดียว คอนโซลการค้นหา
InTrust รองรับความสามารถในการแจ้งเตือน การตรวจจับ และการตอบสนองแบบเรียลไทม์ที่สามารถใช้เป็นระบบคล้าย EDR เพื่อลดความเสียหายที่เกิดจากกิจกรรมที่น่าสงสัย กฎความปลอดภัยในตัวจะตรวจจับ แต่ไม่จำกัดเพียงภัยคุกคามต่อไปนี้:
- การฉีดพ่นรหัสผ่าน
- การคั่วแบบเคอร์เบอโรสต์
- กิจกรรม PowerShell ที่น่าสงสัย เช่น การเรียกใช้ Mimikatz
- กระบวนการที่น่าสงสัย เช่น LokerGoga ransomware
- การเข้ารหัสโดยใช้บันทึก CA4FS
- เข้าสู่ระบบด้วยบัญชีพิเศษบนเวิร์กสเตชัน
- การโจมตีแบบคาดเดารหัสผ่าน
- การใช้กลุ่มผู้ใช้ท้องถิ่นที่น่าสงสัย
ตอนนี้ ฉันจะแสดงภาพหน้าจอบางส่วนของ InTrust ให้คุณดู เพื่อที่คุณจะได้สัมผัสถึงความสามารถของมัน
ตัวกรองที่กำหนดไว้ล่วงหน้าเพื่อค้นหาช่องโหว่ที่อาจเกิดขึ้น
ตัวอย่างชุดตัวกรองสำหรับการรวบรวมข้อมูลดิบ
ตัวอย่างการใช้นิพจน์ทั่วไปเพื่อสร้างปฏิกิริยาต่อเหตุการณ์
ตัวอย่างกฎการค้นหาช่องโหว่ของ PowerShell
ฐานความรู้ในตัวพร้อมคำอธิบายช่องโหว่
InTrust เป็นเครื่องมืออันทรงพลังที่สามารถใช้เป็นโซลูชันแบบสแตนด์อโลนหรือเป็นส่วนหนึ่งของระบบ SIEM ตามที่ฉันได้อธิบายไว้ข้างต้น ข้อได้เปรียบหลักของโซลูชันนี้อาจเป็นได้ว่าคุณสามารถเริ่มใช้งานได้ทันทีหลังการติดตั้งเพราะว่า InTrust มีคลังกฎขนาดใหญ่สำหรับการตรวจจับภัยคุกคามและตอบสนองต่อภัยคุกคาม (เช่น การบล็อกผู้ใช้)
ในบทความฉันไม่ได้พูดถึงการบูรณาการแบบบรรจุกล่อง แต่ทันทีหลังการติดตั้ง คุณสามารถกำหนดค่าการส่งเหตุการณ์ไปยัง Splunk, IBM QRadar, Microfocus Arcsight หรือผ่าน webhook ไปยังระบบอื่น ๆ ได้ ด้านล่างนี้เป็นตัวอย่างอินเทอร์เฟซ Kibana พร้อมเหตุการณ์จาก InTrust มีการผสานรวมกับ Elastic Stack อยู่แล้ว และหากคุณใช้ Elastic เวอร์ชันฟรี คุณสามารถใช้ InTrust เป็นเครื่องมือในการระบุภัยคุกคาม ดำเนินการแจ้งเตือนเชิงรุก และส่งการแจ้งเตือนได้
ฉันหวังว่าบทความนี้จะให้แนวคิดเพียงเล็กน้อยเกี่ยวกับผลิตภัณฑ์นี้ เราพร้อมที่จะมอบ InTrust ให้กับคุณสำหรับการทดสอบหรือดำเนินโครงการนำร่อง สามารถฝากใบสมัครได้ที่
อ่านบทความอื่น ๆ ของเราเกี่ยวกับความปลอดภัยของข้อมูล:
ที่มา: will.com