不久前,Splunk又增加了另一種授權模式——基於基礎架構的授權()。 他們計算 Splunk 伺服器下的 CPU 核心數量。 與 Elastic Stack 授權非常相似,它們計算 Elasticsearch 節點的數量。 SIEM 系統傳統上很昂貴,通常需要在支付很多和支付很多之間進行選擇。 但是,如果你發揮一些聰明才智,你可以組裝一個類似的結構。
它看起來令人毛骨悚然,但有時這種架構可以在生產中發揮作用。 複雜性會扼殺安全性,而且總的來說,會扼殺一切。 事實上,對於這種情況(我說的是降低擁有成本)有一整類系統 - 中央日誌管理(CLM)。 關於它 ,考慮到它們被低估了。 以下是他們的建議:
- 當存在預算和人員配備限制、安全監控要求和特定用例要求時,請使用 CLM 功能和工具。
- 當 SIEM 解決方案過於昂貴或複雜時,實作 CLM 以增強日誌收集和分析功能。
- 投資具有高效儲存、快速搜尋和靈活可視化的 CLM 工具,以改善安全事件調查/分析並支援威脅搜尋。
- 確保在實施 CLM 解決方案之前考慮適用的因素和注意事項。
在本文中,我們將討論許可方法的差異,我們將了解 CLM 並討論此類的特定係統 - 。 細節下切。
在本文開頭,我討論了 Splunk 授權的新方法。 許可證類型可以與汽車租賃費率進行比較。 讓我們想像一下,就 CPU 數量而言,該模型是一輛經濟型汽車,里程和汽油不受限制。 你可以去任何地方,不受距離限制,但你不能走得太快,因此每天要走很多公里。 數據許可類似於具有每日里程模型的跑車。 你可以魯莽地長途駕駛,但如果超過每日里程限制,你將需要支付更多費用。
為了從基於負載的授權中受益,您需要盡可能降低 CPU 核心與載入的 GB 資料的比率。 實際上,這意味著:
- 對載入資料的盡可能少的查詢次數。
- 解決方案的可能使用者數量最少。
- 資料盡可能簡單和標準化(這樣就不需要在後續的資料處理和分析上浪費CPU週期)。
這裡最有問題的是標準化數據。 如果您希望 SIEM 成為組織中所有日誌的聚合器,則需要在解析和後處理方面付出巨大的努力。 不要忘記,您還需要考慮一種不會在負載下崩潰的架構,即額外的伺服器,因此需要額外的處理器。
資料量許可證是基於發送到 SIEM 的資料量。 額外的資料來源會受到盧布(或其他貨幣)的懲罰,這會讓您思考您真正不想收集的內容。 為了克服這種授權模式,您可以在將資料注入 SIEM 系統之前將其咬合。 這種注入前標準化的一個例子是 Elastic Stack 和其他一些商業 SIEM。
因此,當您只需要透過最少的預處理收集某些資料時,我們認為按基礎設施許可是有效的,而按批量許可將不允許您收集所有資料。 尋找中間解決方案需要遵循以下標準:
- 簡化資料聚合和標準化。
- 過濾雜訊和最不重要的資料。
- 提供分析能力。
- 將過濾和標準化的數據發送到 SIEM
因此,目標 SIEM 系統不需要在處理上浪費額外的 CPU 能力,並且可以受益於僅識別最重要的事件,而不會降低對正在發生的情況的可見性。
理想情況下,這樣的中間件解決方案還應該提供即時檢測和響應功能,可用於減少潛在危險活動的影響,並將整個事件流聚合成面向 SIEM 的有用且簡單的數據量。 那麼 SIEM 可以用來建立額外的聚合、關聯和警報流程。
同樣神秘的中間解決方案正是我在文章開頭提到的 CLM。 Gartner 是這樣看待它的:
現在您可以嘗試了解 InTrust 如何遵守 Gartner 建議:
- 有效儲存需要儲存的資料量和類型。
- 搜尋速度高。
- 視覺化功能不是基本 CLM 所需要的,但威脅追蹤就像用於安全和資料分析的 BI 系統。
- 資料豐富,使用有用的上下文資料(如地理位置等)來豐富原始資料。
Quest InTrust 使用自己的儲存系統,具有高達 40:1 的資料壓縮和高速重複資料刪除功能,從而降低了 CLM 和 SIEM 系統的儲存開銷。
IT 安全搜尋控制台,具有類似 google 的搜尋功能
專門的基於 Web 的 IT 安全搜尋 (ITSS) 模組可以連接到 InTrust 儲存庫中的事件數據,並提供用於搜尋威脅的簡單介面。 這個介面被簡化為像 Google 一樣處理事件日誌資料。 ITSS使用時間軸查詢結果,可以對事件欄位進行合併和分組,有效協助威脅搜尋。
InTrust 透過安全性識別碼、檔案名稱和安全性登入識別碼豐富了 Windows 事件。 InTrust 也將事件標準化為簡單的W6 模式(誰、什麼、何處、何時、誰和何處來自),以便可以以單一格式在單一平台上查看來自不同來源(Windows 本機事件、Linux 日誌或系統日誌)的資料。搜尋控制台。
InTrust 支援即時警報、偵測和回應功能,可用作類似 EDR 的系統,以最大程度地減少可疑活動造成的損害。 內建安全規則可偵測但不限於以下威脅:
- 密碼噴射。
- Kerbero 烘烤。
- 可疑的 PowerShell 活動,例如執行 Mimikatz。
- 可疑進程,例如 LokerGoga 勒索軟體。
- 使用 CA4FS 日誌加密。
- 使用工作站上的特權帳號登入。
- 密碼猜測攻擊。
- 對本機使用者群組的可疑使用。
現在我將向您展示 InTrust 本身的一些螢幕截圖,以便您了解其功能。
用於搜尋潛在漏洞的預定義過濾器
用於收集原始資料的一組過濾器的範例
使用正規表示式建立事件回應的範例
PowerShell 漏洞搜尋規則範例
內建知識庫,包含漏洞描述
正如我上面所描述的,InTrust 是一個功能強大的工具,可以用作獨立解決方案或 SIEM 系統的一部分。 也許這個解決方案的主要優點是您可以在安裝後立即開始使用它,因為InTrust 擁有龐大的規則庫,用於偵測威脅並對其做出回應(例如,阻止使用者)。
在文章中我沒有談論盒裝整合。 但安裝後,您可以立即設定將事件傳送至 Splunk、IBM QRadar、Microfocus Arcsight,或透過 Webhook 傳送至任何其他系統。 以下是包含來自 InTrust 事件的 Kibana 介面範例。 已經與 Elastic Stack 集成,如果您使用 Elastic 的免費版本,InTrust 可以用作識別威脅、執行主動警報和發送通知的工具。
我希望這篇文章能讓您對這個產品有一個最基本的了解。 我們已準備好向您提供 InTrust 進行測試或進行試點專案。 申請可以留在 在我們的網站上。
閱讀我們有關資訊安全的其他文章:
(熱門文章)
來源: www.habr.com