Yaqinda Splunk yana bir litsenziyalash modelini qo'shdi - infratuzilmaga asoslangan litsenziyalash (). Ular Splunk serverlari ostidagi protsessor yadrolari sonini hisoblashadi. Elastic Stack litsenziyasiga juda o'xshash, ular Elasticsearch tugunlari sonini hisoblaydi. SIEM tizimlari an'anaviy ravishda qimmat va odatda ko'p to'lash va ko'p to'lash o'rtasida tanlov mavjud. Ammo, agar siz biron bir zukkolikdan foydalansangiz, shunga o'xshash tuzilmani yig'ishingiz mumkin.
Bu dahshatli ko'rinadi, lekin ba'zida bu arxitektura ishlab chiqarishda ishlaydi. Murakkablik xavfsizlikni o'ldiradi va umuman olganda, hamma narsani o'ldiradi. Aslida, bunday holatlar uchun (men egalik qilish narxini pasaytirish haqida gapiryapman) tizimlarning butun sinfi mavjud - Central Log Management (CLM). Bu haqida , ularni kam baholangan deb hisoblash. Mana ularning tavsiyalari:
- Byudjet va xodimlar cheklovlari, xavfsizlik monitoringi talablari va maxsus foydalanish holatlari talablari mavjud bo'lganda CLM imkoniyatlari va vositalaridan foydalaning.
- SIEM yechimi juda qimmat yoki murakkab bo'lsa, jurnallarni yig'ish va tahlil qilish imkoniyatlarini yaxshilash uchun CLMni qo'llang.
- Xavfsizlik hodisalarini tekshirish/tahlil qilishni yaxshilash va tahdidlarni ovlashni qo'llab-quvvatlash uchun samarali saqlash, tezkor qidiruv va moslashuvchan vizualizatsiya bilan CLM vositalariga sarmoya kiriting.
- CLM yechimini amalga oshirishdan oldin tegishli omillar va mulohazalar hisobga olinganligiga ishonch hosil qiling.
Ushbu maqolada biz litsenziyalash yondashuvlaridagi farqlar haqida gapiramiz, biz CLMni tushunamiz va ushbu sinfning o'ziga xos tizimi haqida gaplashamiz - . Kesish ostidagi tafsilotlar.
Ushbu maqolaning boshida men Splunk litsenziyasiga yangi yondashuv haqida gapirdim. Litsenziyalash turlarini avtomobil ijarasi stavkalari bilan solishtirish mumkin. Tasavvur qilaylik, model protsessorlar soni bo'yicha cheksiz yurish va benzin bilan tejamkor avtomobildir. Masofaviy cheklovlarsiz istalgan joyga borishingiz mumkin, lekin siz juda tez borolmaysiz va shunga mos ravishda kuniga ko'p kilometrlarni bosib o'ta olmaysiz. Ma'lumotni litsenziyalash kundalik yurish modeliga ega sport avtomobiliga o'xshaydi. Siz uzoq masofalarga beparvolik bilan haydashingiz mumkin, ammo kunlik kilometr chegarasidan oshib ketganingiz uchun ko'proq pul to'lashingiz kerak bo'ladi.
Yuklashga asoslangan litsenziyalashdan foydalanish uchun siz protsessor yadrolarining yuklangan GB ma'lumotlarga nisbati eng past bo'lishi kerak. Amalda bu quyidagi ma'noni anglatadi:
- Yuklangan ma'lumotlarga mumkin bo'lgan eng kichik so'rovlar soni.
- Yechimning mumkin bo'lgan foydalanuvchilarining eng kichik soni.
- Iloji boricha sodda va normallashtirilgan ma'lumotlar (keyingi ma'lumotlarni qayta ishlash va tahlil qilishda protsessor davrlarini behuda sarflashning hojati yo'q).
Bu erda eng muammoli narsa - normallashtirilgan ma'lumotlar. Agar siz SIEM tashkilotdagi barcha jurnallarning yig'uvchisi bo'lishini istasangiz, u tahlil qilish va qayta ishlashda katta kuch talab qiladi. Shuni unutmangki, siz ham yuk ostida yiqilmaydigan arxitektura haqida o'ylashingiz kerak, ya'ni. qo'shimcha serverlar va shuning uchun qo'shimcha protsessorlar talab qilinadi.
Ma'lumotlar hajmini litsenziyalash SIEM maw-ga yuboriladigan ma'lumotlar miqdoriga asoslanadi. Qo'shimcha ma'lumotlar manbalari rubl (yoki boshqa valyuta) bilan jazolanadi va bu sizni haqiqatan ham to'plashni xohlamagan narsalar haqida o'ylashga majbur qiladi. Ushbu litsenziyalash modelini engib o'tish uchun siz ma'lumotlarni SIEM tizimiga kiritishdan oldin tishlashingiz mumkin. Inyeksiyadan oldin bunday normalizatsiyaga misollardan biri Elastik stack va boshqa tijorat SIEM-lardir.
Natijada, bizda infratuzilma bo'yicha litsenziyalash faqat ma'lum ma'lumotlarni minimal qayta ishlash bilan to'plash kerak bo'lganda samarali bo'ladi va hajm bo'yicha litsenziyalash sizga hamma narsani to'plashga imkon bermaydi. Oraliq yechimni izlash quyidagi mezonlarga olib keladi:
- Ma'lumotlarni yig'ish va normallashtirishni soddalashtiring.
- Shovqinli va ahamiyatsiz ma'lumotlarni filtrlash.
- Tahlil qilish qobiliyatini ta'minlash.
- Filtrlangan va normallashtirilgan ma'lumotlarni SIEMga yuboring
Natijada, maqsadli SIEM tizimlari qayta ishlashga qo'shimcha protsessor quvvatini sarflashga hojat qolmaydi va sodir bo'layotgan voqealarning ko'rinishini kamaytirmasdan faqat eng muhim voqealarni aniqlashdan foyda ko'rishi mumkin.
Ideal holda, bunday o'rta dastur yechimi potentsial xavfli faoliyat ta'sirini kamaytirish va barcha hodisalar oqimini SIEM uchun foydali va oddiy ma'lumotlar kvantiga jamlash uchun ishlatilishi mumkin bo'lgan real vaqt rejimida aniqlash va javob berish imkoniyatlarini ta'minlashi kerak. Xo'sh, keyin SIEM qo'shimcha birikmalar, korrelyatsiyalar va ogohlantirish jarayonlarini yaratish uchun ishlatilishi mumkin.
Xuddi shu sirli oraliq yechim men maqolaning boshida aytib o'tgan CLMdan boshqa narsa emas. Gartner buni shunday ko'radi:
Endi siz InTrust Gartner tavsiyalariga qanday mos kelishini aniqlashga harakat qilishingiz mumkin:
- Saqlanishi kerak bo'lgan ma'lumotlar hajmi va turlarini samarali saqlash.
- Yuqori qidiruv tezligi.
- Vizualizatsiya qobiliyatlari asosiy CLM talab qiladigan narsa emas, lekin tahdidlarni qidirish xavfsizlik va ma'lumotlar tahlili uchun BI tizimiga o'xshaydi.
- Xom ma'lumotlarni foydali kontekstual ma'lumotlar bilan boyitish uchun ma'lumotlarni boyitish (masalan, geolokatsiya va boshqalar).
Quest InTrust 40:1 gacha ma'lumotlarni siqish va yuqori tezlikda deuplikatsiyaga ega o'zining saqlash tizimidan foydalanadi, bu esa CLM va SIEM tizimlari uchun saqlash xarajatlarini kamaytiradi.
Google-ga o'xshash qidiruvga ega IT xavfsizligi qidiruv konsoli
Ixtisoslashgan veb-asoslangan IT Security Search (ITSS) moduli InTrust omboridagi voqea ma'lumotlariga ulanishi mumkin va tahdidlarni qidirish uchun oddiy interfeysni taqdim etadi. Interfeys voqealar jurnali ma'lumotlari uchun Google kabi ishlay oladigan darajada soddalashtirilgan. ITSS so'rov natijalari uchun vaqt jadvallaridan foydalanadi, voqea maydonlarini birlashtirishi va guruhlashi mumkin va tahdidlarni aniqlashda samarali yordam beradi.
InTrust Windows hodisalarini xavfsizlik identifikatorlari, fayl nomlari va xavfsizlik login identifikatorlari bilan boyitadi. InTrust shuningdek, hodisalarni oddiy W6 sxemasiga (kim, nima, qayerda, qachon, kim va qayerdan) normallashtiradi, shuning uchun turli manbalardan olingan ma'lumotlar (Windows mahalliy hodisalari, Linux jurnallari yoki syslog) bitta formatda va bitta formatda ko'rish mumkin. qidiruv konsoli.
InTrust real vaqt rejimida ogohlantirish, aniqlash va javob berish imkoniyatlarini qo'llab-quvvatlaydi, ulardan shubhali faoliyat natijasida etkazilgan zararni minimallashtirish uchun EDRga o'xshash tizim sifatida foydalanish mumkin. O'rnatilgan xavfsizlik qoidalari quyidagi tahdidlarni aniqlaydi, lekin ular bilan cheklanmaydi:
- Parolni purkash.
- Kerberoasting.
- Shubhali PowerShell faoliyati, masalan, Mimikatz ijrosi.
- Shubhali jarayonlar, masalan, LokerGoga ransomware.
- CA4FS jurnallaridan foydalangan holda shifrlash.
- Ish stantsiyalarida imtiyozli hisob bilan kirish.
- Parolni taxmin qilish hujumlari.
- Mahalliy foydalanuvchilar guruhlaridan shubhali foydalanish.
Endi men sizga InTrust-ning bir nechta skrinshotlarini ko'rsataman, shunda siz uning imkoniyatlari haqida taassurot qoldirishingiz mumkin.
Potentsial zaifliklarni qidirish uchun oldindan belgilangan filtrlar
Xom ma'lumotlarni yig'ish uchun filtrlar to'plamiga misol
Hodisaga munosabat yaratish uchun muntazam iboralardan foydalanishga misol
PowerShell zaifliklarini qidirish qoidasiga misol
Zaifliklar tavsifi bilan o'rnatilgan bilimlar bazasi
InTrust yuqorida aytib o'tganimdek, mustaqil yechim sifatida yoki SIEM tizimining bir qismi sifatida ishlatilishi mumkin bo'lgan kuchli vositadir. Ehtimol, ushbu yechimning asosiy afzalligi shundaki, uni o'rnatishdan so'ng darhol foydalanishni boshlashingiz mumkin, chunki InTrust tahdidlarni aniqlash va ularga javob berish (masalan, foydalanuvchini bloklash) uchun katta qoidalar kutubxonasiga ega.
Maqolada men qutili integratsiya haqida gapirmadim. Ammo o'rnatishdan so'ng darhol Splunk, IBM QRadar, Microfocus Arcsight yoki veb-huk orqali istalgan boshqa tizimga voqealar yuborishni sozlashingiz mumkin. Quyida InTrust voqealari bilan Kibana interfeysining namunasi keltirilgan. Elastic Stack bilan integratsiya allaqachon mavjud va agar siz Elasticning bepul versiyasidan foydalansangiz, InTrust tahdidlarni aniqlash, proaktiv ogohlantirishlarni amalga oshirish va bildirishnomalarni yuborish uchun vosita sifatida ishlatilishi mumkin.
Umid qilamanki, maqola ushbu mahsulot haqida minimal fikr berdi. Biz sizga InTrustni sinovdan o'tkazish yoki pilot loyihani amalga oshirish uchun berishga tayyormiz. Ilova quyidagi manzilda qoldirilishi mumkin bizning veb-saytimizda.
Axborot xavfsizligi bo'yicha boshqa maqolalarimizni o'qing:
(mashhur maqola)
Manba: www.habr.com