Laipẹ sẹhin, Splunk ṣafikun awoṣe iwe-aṣẹ miiran - iwe-aṣẹ ti o da lori amayederun (). Wọn ka nọmba awọn ohun kohun Sipiyu labẹ awọn olupin Splunk. O jọra pupọ si iwe-aṣẹ Elastic Stack, wọn ka nọmba awọn apa Elasticsearch. Awọn eto SIEM jẹ gbowolori aṣa ati nigbagbogbo yiyan wa laarin isanwo pupọ ati isanwo pupọ. Ṣugbọn, ti o ba lo ọgbọn diẹ, o le ṣajọ eto ti o jọra.
O wulẹ irako, sugbon ma yi faaji ṣiṣẹ ni gbóògì. Idiju pa aabo, ati, ni apapọ, pa ohun gbogbo. Ni otitọ, fun iru awọn ọran (Mo n sọrọ nipa idinku idiyele ti nini) gbogbo kilasi ti awọn eto wa - Central Log Management (CLM). Nipa rẹ , considering wọn undervalued. Eyi ni awọn iṣeduro wọn:
- Lo awọn agbara CLM ati awọn irinṣẹ nigba ti isuna ati awọn ihamọ oṣiṣẹ wa, awọn ibeere ibojuwo aabo, ati awọn ibeere ọran lilo pato.
- Ṣe imuṣe CLM lati mu ikojọpọ akọọlẹ pọ si ati awọn agbara itupalẹ nigbati ojutu SIEM kan jẹri gbowolori tabi idiju.
- Ṣe idoko-owo ni awọn irinṣẹ CLM pẹlu ibi ipamọ to munadoko, wiwa iyara ati iworan irọrun lati mu ilọsiwaju iwadii iṣẹlẹ aabo / itupalẹ ati atilẹyin isode irokeke.
- Rii daju pe awọn ifosiwewe to wulo ati awọn ero ni a ṣe sinu akọọlẹ ṣaaju imuse ojutu CLM kan.
Ninu nkan yii a yoo sọrọ nipa awọn iyatọ ninu awọn isunmọ si iwe-aṣẹ, a yoo loye CLM ati sọrọ nipa eto kan pato ti kilasi yii - . Awọn alaye labẹ gige.
Ni ibẹrẹ nkan yii, Mo sọrọ nipa ọna tuntun si iwe-aṣẹ Splunk. Awọn oriṣi ti iwe-aṣẹ le ṣe afiwe si awọn oṣuwọn yiyalo ọkọ ayọkẹlẹ. Jẹ ki a fojuinu pe awoṣe naa, ni awọn ofin ti nọmba awọn CPUs, jẹ ọkọ ayọkẹlẹ ti ọrọ-aje pẹlu maileji ailopin ati petirolu. O le lọ nibikibi laisi awọn ihamọ ijinna, ṣugbọn o ko le yara ni kiakia ati, gẹgẹbi, bo ọpọlọpọ awọn ibuso ni ọjọ kan. Iwe-aṣẹ data jẹ iru si ọkọ ayọkẹlẹ ere idaraya pẹlu awoṣe maileji ojoojumọ kan. O le wakọ aibikita lori awọn ijinna pipẹ, ṣugbọn iwọ yoo ni lati sanwo diẹ sii fun ti kọja opin maileji ojoojumọ.
Lati ni anfani lati iwe-aṣẹ orisun fifuye, o nilo lati ni ipin ti o ṣeeṣe ti o kere julọ ti awọn ohun kohun Sipiyu si GB ti data ti kojọpọ. Ni iṣe eyi tumọ si nkan bi:
- Nọmba ti o kere julọ ti awọn ibeere si data ti kojọpọ.
- Nọmba ti o kere julọ ti awọn olumulo ti o ṣeeṣe ti ojutu.
- Bi o rọrun ati deede data bi o ti ṣee (ki o wa ni ko si ye lati egbin Sipiyu waye lori ọwọ data processing ati onínọmbà).
Ohun iṣoro julọ nibi ni data deede. Ti o ba fẹ SIEM kan lati jẹ alaropo ti gbogbo awọn akọọlẹ inu agbari kan, o nilo iye nla ti akitiyan ni sisọ ati sisẹ-ifiweranṣẹ. Maṣe gbagbe pe o tun nilo lati ronu nipa faaji ti kii yoo ṣubu labẹ ẹru, ie. awọn olupin afikun ati nitorinaa awọn ilana afikun yoo nilo.
Iwe-aṣẹ iwọn didun data da lori iye data ti o firanṣẹ sinu maw ti SIEM. Awọn orisun afikun ti data jẹ ijiya nipasẹ ruble (tabi owo miiran) ati pe eyi jẹ ki o ronu nipa ohun ti o ko fẹ gaan lati gba. Lati ṣaju awoṣe iwe-aṣẹ yii, o le jẹ data naa ṣaaju ki o to itasi sinu eto SIEM. Apeere kan ti iru isọdọtun ṣaaju abẹrẹ jẹ Stack Elastic ati diẹ ninu awọn SIEM ti iṣowo miiran.
Bi abajade, a ni iwe-aṣẹ nipasẹ awọn amayederun jẹ doko nigbati o nilo lati gba awọn data kan nikan pẹlu iṣaju iṣaju, ati iwe-aṣẹ nipasẹ iwọn didun kii yoo gba ọ laaye lati gba ohun gbogbo rara. Wiwa fun ojutu agbedemeji kan yori si awọn ibeere wọnyi:
- Irọrun apapọ data ati deede.
- Sisẹ ti ariwo ati data pataki ti o kere julọ.
- Pese awọn agbara itupalẹ.
- Firanṣẹ filtered ati data deede si SIEM
Bi abajade, awọn eto SIEM ibi-afẹde kii yoo nilo lati padanu agbara Sipiyu afikun lori sisẹ ati pe o le ni anfani lati idamo awọn iṣẹlẹ pataki julọ nikan laisi idinku hihan sinu ohun ti n ṣẹlẹ.
Bi o ṣe yẹ, iru ojutu agbedemeji yẹ ki o tun pese wiwa akoko gidi ati awọn agbara idahun ti o le ṣee lo lati dinku ipa ti awọn iṣẹ ṣiṣe ti o lewu ati ṣajọpọ gbogbo ṣiṣan ti awọn iṣẹlẹ sinu iwọn ti o wulo ati irọrun ti data si SIEM. O dara, lẹhinna SIEM le ṣee lo lati ṣẹda awọn akojọpọ afikun, awọn ibamu ati awọn ilana gbigbọn.
Ojutu agbedemeji aramada kanna kii ṣe miiran ju CLM, eyiti Mo mẹnuba ni ibẹrẹ nkan naa. Eyi ni bii Gartner ṣe rii:
Bayi o le gbiyanju lati ro bi InTrust ṣe ni ibamu pẹlu awọn iṣeduro Gartner:
- Ibi ipamọ to munadoko fun awọn iwọn ati awọn oriṣi ti data ti o nilo lati wa ni ipamọ.
- Iyara wiwa giga.
- Awọn agbara wiwo kii ṣe ohun ti CLM ipilẹ nilo, ṣugbọn isode irokeke dabi eto BI fun aabo ati awọn itupalẹ data.
- Imudara data lati ṣe alekun data aise pẹlu data ọrọ-ọrọ to wulo (bii geolocation ati awọn miiran).
Quest InTrust nlo eto ipamọ ti ara rẹ pẹlu to 40: 1 funmorawon data ati iyọkuro iyara-giga, eyiti o dinku ibi ipamọ fun CLM ati awọn eto SIEM.
Itoju Wiwa Aabo IT pẹlu wiwa google-bi
Module Wiwa Aabo IT ti o da lori oju opo wẹẹbu pataki (ITSS) le sopọ si data iṣẹlẹ ni ibi ipamọ InTrust ati pese wiwo ti o rọrun fun wiwa awọn irokeke. Ni wiwo jẹ irọrun si aaye ti o ṣe bi Google fun data log iṣẹlẹ. ITSS nlo awọn akoko akoko fun awọn abajade ibeere, o le dapọ ati awọn aaye iṣẹlẹ ẹgbẹ, ati ṣe iranlọwọ ni imunadoko ni isode irokeke.
InTrust ṣe alekun awọn iṣẹlẹ Windows pẹlu awọn idamọ aabo, awọn orukọ faili, ati awọn idamọ iwọle aabo. InTrust tun ṣe deede awọn iṣẹlẹ si eto W6 ti o rọrun (Ta, Kini, Nibo, Nigbawo, Tani ati Nibo Lati) ki data lati awọn orisun oriṣiriṣi (awọn iṣẹlẹ abinibi Windows, awọn akọọlẹ Linux tabi syslog) le rii ni ọna kika kan ati lori ẹyọkan. search console.
InTrust ṣe atilẹyin titaniji akoko gidi, wiwa ati awọn agbara idahun ti o le ṣee lo bi eto bii EDR lati dinku ibajẹ ti o ṣẹlẹ nipasẹ iṣẹ ifura. Awọn ofin aabo ti a ṣe sinu ṣe awari, ṣugbọn ko ni opin si, awọn irokeke wọnyi:
- Ọrọigbaniwọle-spraying.
- Kerberoasting.
- Iṣe ifura PowerShell, gẹgẹbi ipaniyan ti Mimikatz.
- Awọn ilana ifura, fun apẹẹrẹ, LokerGoga ransomware.
- Ìsekóòdù lilo CA4FS àkọọlẹ.
- Buwolu wọle pẹlu akọọlẹ ti o ni anfani lori awọn ibi iṣẹ.
- Awọn ikọlu lafaimo ọrọ igbaniwọle.
- Lilo ifura ti awọn ẹgbẹ olumulo agbegbe.
Bayi Emi yoo ṣafihan awọn sikirinisoti diẹ ti InTrust funrararẹ ki o le ni iwunilori ti awọn agbara rẹ.
Awọn asẹ ti a ti sọ tẹlẹ lati wa fun awọn ailagbara ti o pọju
Apeere ti ṣeto awọn asẹ fun gbigba data aise
Apeere ti lilo awọn ikosile deede lati ṣẹda iṣesi si iṣẹlẹ kan
Apẹẹrẹ pẹlu ofin wiwa ailagbara PowerShell
Ipilẹ imọ ti a ṣe sinu pẹlu awọn apejuwe ti awọn ailagbara
InTrust jẹ ohun elo ti o lagbara ti o le ṣee lo bi ojutu ti o duro tabi gẹgẹbi apakan ti eto SIEM, bi mo ti ṣe apejuwe loke. Boya anfani akọkọ ti ojutu yii ni pe o le bẹrẹ lilo lẹsẹkẹsẹ lẹhin fifi sori ẹrọ, nitori InTrust ni ile-ikawe nla ti awọn ofin fun wiwa awọn irokeke ati idahun si wọn (fun apẹẹrẹ, dina olumulo kan).
Ninu nkan naa Emi ko sọrọ nipa awọn iṣọpọ apoti. Ṣugbọn lẹsẹkẹsẹ lẹhin fifi sori ẹrọ, o le tunto fifiranṣẹ awọn iṣẹlẹ si Splunk, IBM QRadar, Microfocus Arcsight, tabi nipasẹ webhook si eyikeyi eto miiran. Ni isalẹ jẹ apẹẹrẹ ti wiwo Kibana pẹlu awọn iṣẹlẹ lati InTrust. Isopọpọ tẹlẹ wa pẹlu Stack Elastic ati, ti o ba lo ẹya ọfẹ ti Elastic, InTrust le ṣee lo bi ohun elo fun idamo awọn irokeke, ṣiṣe awọn itaniji ti n ṣiṣẹ ati fifiranṣẹ awọn iwifunni.
Mo nireti pe nkan naa fun ni imọran diẹ nipa ọja yii. A ti ṣetan lati fun ọ ni InTrust fun idanwo tabi ṣe iṣẹ akanṣe awakọ kan. Ohun elo naa le fi silẹ ni lori oju opo wẹẹbu wa.
Ka awọn nkan wa miiran lori aabo alaye:
(Nkan ti o gbajumọ)
orisun: www.habr.com