不久前,Splunk添加了另一种许可模式——基于基础设施的许可()。 他们计算 Splunk 服务器下的 CPU 核心数量。 与 Elastic Stack 许可非常相似,它们计算 Elasticsearch 节点的数量。 SIEM 系统传统上很昂贵,通常需要在支付很多和支付很多之间进行选择。 但是,如果你发挥一些聪明才智,你可以组装一个类似的结构。
它看起来令人毛骨悚然,但有时这种架构可以在生产中发挥作用。 复杂性会扼杀安全性,而且一般来说,会扼杀一切。 事实上,对于这种情况(我说的是降低拥有成本)有一整类系统 - 中央日志管理(CLM)。 关于它 ,考虑到它们被低估了。 以下是他们的建议:
- 当存在预算和人员配备限制、安全监控要求和特定用例要求时,请使用 CLM 功能和工具。
- 当 SIEM 解决方案过于昂贵或复杂时,实施 CLM 以增强日志收集和分析功能。
- 投资具有高效存储、快速搜索和灵活可视化的 CLM 工具,以改进安全事件调查/分析并支持威胁搜寻。
- 确保在实施 CLM 解决方案之前考虑适用的因素和注意事项。
在本文中,我们将讨论许可方法的差异,我们将了解 CLM 并讨论此类的特定系统 - 。 细节下切。
在本文开头,我讨论了 Splunk 许可的新方法。 许可类型可以与汽车租赁费率进行比较。 让我们想象一下,就 CPU 数量而言,该模型是一辆经济型汽车,里程和汽油不受限制。 你可以去任何地方,不受距离限制,但你不能走得太快,因此每天要走很多公里。 数据许可类似于具有每日里程模型的跑车。 你可以鲁莽地长途驾驶,但如果超过每日里程限制,你将需要支付更多费用。
为了从基于负载的许可中受益,您需要尽可能降低 CPU 内核与加载的 GB 数据的比率。 实际上,这意味着:
- 对加载数据的尽可能少的查询次数。
- 解决方案的可能用户数量最少。
- 数据尽可能简单和规范化(这样就不需要在后续的数据处理和分析上浪费CPU周期)。
这里最有问题的是标准化数据。 如果您希望 SIEM 成为组织中所有日志的聚合器,则需要在解析和后处理方面付出巨大的努力。 不要忘记,您还需要考虑一种不会在负载下崩溃的架构,即额外的服务器,因此需要额外的处理器。
数据量许可基于发送到 SIEM 的数据量。 额外的数据来源会受到卢布(或其他货币)的惩罚,这会让您思考您真正不想收集的内容。 为了战胜这种许可模式,您可以在将数据注入 SIEM 系统之前对其进行咬合。 这种注入前标准化的一个例子是 Elastic Stack 和其他一些商业 SIEM。
因此,当您只需要通过最少的预处理收集某些数据时,我们认为按基础设施许可是有效的,而按批量许可将不允许您收集所有数据。 寻找中间解决方案需要遵循以下标准:
- 简化数据聚合和标准化。
- 过滤噪声和最不重要的数据。
- 提供分析能力。
- 将过滤和标准化的数据发送到 SIEM
因此,目标 SIEM 系统不需要在处理上浪费额外的 CPU 能力,并且可以受益于仅识别最重要的事件,而不会降低对正在发生的情况的可见性。
理想情况下,这样的中间件解决方案还应该提供实时检测和响应功能,可用于减少潜在危险活动的影响,并将整个事件流聚合成面向 SIEM 的有用且简单的数据量。 那么 SIEM 可以用来创建额外的聚合、关联和警报流程。
同样神秘的中间解决方案正是我在文章开头提到的 CLM。 Gartner 是这样看待它的:
现在您可以尝试了解 InTrust 如何遵守 Gartner 建议:
- 有效存储需要存储的数据量和类型。
- 搜索速度高。
- 可视化功能不是基本 CLM 所需要的,但威胁追踪就像用于安全和数据分析的 BI 系统。
- 数据丰富,使用有用的上下文数据(如地理位置等)来丰富原始数据。
Quest InTrust 使用自己的存储系统,具有高达 40:1 的数据压缩和高速重复数据删除功能,从而降低了 CLM 和 SIEM 系统的存储开销。
IT 安全搜索控制台,具有类似 google 的搜索功能
专门的基于 Web 的 IT 安全搜索 (ITSS) 模块可以连接到 InTrust 存储库中的事件数据,并提供用于搜索威胁的简单界面。 该界面被简化为像 Google 一样处理事件日志数据。 ITSS使用时间线查询结果,可以对事件字段进行合并和分组,有效协助威胁搜寻。
InTrust 通过安全标识符、文件名和安全登录标识符丰富了 Windows 事件。 InTrust 还将事件标准化为简单的 W6 模式(谁、什么、何处、何时、谁和何处来自),以便可以以单一格式在单一平台上查看来自不同来源(Windows 本机事件、Linux 日志或系统日志)的数据。搜索控制台。
InTrust 支持实时警报、检测和响应功能,可用作类似 EDR 的系统,以最大程度地减少可疑活动造成的损害。 内置安全规则检测但不限于以下威胁:
- 密码喷射。
- Kerbero 烘烤。
- 可疑的 PowerShell 活动,例如执行 Mimikatz。
- 可疑进程,例如 LokerGoga 勒索软件。
- 使用 CA4FS 日志加密。
- 使用工作站上的特权帐户登录。
- 密码猜测攻击。
- 对本地用户组的可疑使用。
现在我将向您展示 InTrust 本身的一些屏幕截图,以便您了解其功能。
用于搜索潜在漏洞的预定义过滤器
用于收集原始数据的一组过滤器的示例
使用正则表达式创建事件响应的示例
PowerShell 漏洞搜索规则示例
内置知识库,包含漏洞描述
正如我上面所描述的,InTrust 是一个功能强大的工具,可以用作独立解决方案或 SIEM 系统的一部分。 也许这个解决方案的主要优点是您可以在安装后立即开始使用它,因为InTrust 拥有庞大的规则库,用于检测威胁并对其做出响应(例如,阻止用户)。
在文章中我没有谈论盒装集成。 但安装后,您可以立即配置将事件发送到 Splunk、IBM QRadar、Microfocus Arcsight,或通过 Webhook 发送到任何其他系统。 以下是包含 InTrust 事件的 Kibana 界面示例。 已经与 Elastic Stack 集成,如果您使用 Elastic 的免费版本,InTrust 可以用作识别威胁、执行主动警报和发送通知的工具。
我希望这篇文章能够让您对这个产品有一个最基本的了解。 我们已准备好向您提供 InTrust 进行测试或开展试点项目。 申请可以留在 在我们的网站上。
阅读我们有关信息安全的其他文章:
(热门文章)
来源: habr.com