Parece assustador, mas às vezes essa arquitetura funciona em produção. A complexidade mata a segurança e geralmente mata tudo. Na verdade, para esses casos (estou falando sobre reduzir o custo de propriedade), existe toda uma classe de sistemas - Central Log Management (CLM). Escreve sobre este Gartner , considerando-os subvalorizados. Aqui estão suas recomendações:
- Use os recursos e ferramentas do CLM quando houver restrições de orçamento e equipe, requisitos de monitoramento de segurança e requisitos de caso de uso específicos.
- Implemente o CLM para estender a coleta e análise de logs quando uma solução SIEM for muito cara ou complexa.
- Invista em ferramentas CLM com armazenamento eficiente, recuperação rápida e visualização flexível para aprimorar a investigação / análise de incidentes de segurança e o suporte à busca de ameaças.
- Certifique-se de que os fatores e considerações aplicáveis sejam considerados antes de implementar uma solução CLM.
Neste artigo, vamos falar sobre as diferenças nas abordagens de licenciamento, lidar com CLM e falar sobre um sistema específico desta classe - Quest InTrust . Detalhes sob o corte.
No início deste artigo, falei sobre uma nova abordagem para o licenciamento do Splunk. Os tipos de licenciamento podem ser comparados às taxas de aluguel de automóveis. Digamos que o modelo CPU seja um carro com baixo consumo de combustível, quilometragem ilimitada e gasolina. Você pode ir a qualquer lugar sem restrições de distância, mas não pode ir muito rápido e, portanto, dirigir muitos quilômetros por dia. O licenciamento baseado em dados é semelhante a um carro esporte com um modelo de pagamento por milhagem. Você pode se acumular em longas distâncias, mas terá que pagar mais por exceder o limite de quilometragem diária.
Para se beneficiar do uso do licenciamento baseado em carga, você precisa ter a menor proporção possível de núcleos de CPU para baixar GB de dados. Na prática, isso significa algo como:
- .
- .
- ( CPU ).
A coisa mais problemática aqui são os dados normalizados. Se você deseja que o SIEM seja um agregador de todos os logs em uma organização, é necessário um grande esforço de análise e pós-processamento. Não se esqueça de que você também precisa pensar em uma arquitetura que não desmorone com a carga, ou seja, servidores adicionais serão necessários e, portanto, processadores adicionais.
O licenciamento por volume é baseado na quantidade de dados que é enviada para as mandíbulas SIEM. Fontes de dados adicionais são puníveis com o rublo (ou outra moeda) e isso faz você pensar sobre o que você realmente não deseja coletar. Para enganar esse modelo de licenciamento, você pode morder os dados antes que sejam injetados no sistema SIEM. Um exemplo dessa normalização de pré-injeção é Elastic Stack e alguns outros SIEMs comerciais.
Como resultado, vemos que o licenciamento para infraestrutura é eficaz quando você precisa coletar apenas determinados dados com pré-processamento mínimo, e o licenciamento por volume não permite que você colete tudo. A busca por uma solução intermediária solicita os seguintes critérios:
- Simplificação da agregação e normalização de dados.
- Filtra o ruído e os dados menos importantes.
- Fornecendo recursos de análise.
- Envio de dados filtrados e normalizados para SIEM
Como resultado, os sistemas SIEM de destino não precisam gastar energia adicional da CPU no processamento e podem se beneficiar da identificação apenas dos eventos mais importantes, sem reduzir a visibilidade do que está acontecendo.
Idealmente, essa solução de middleware também deve fornecer detecção em tempo real e recursos de resposta que podem ser usados para mitigar o impacto de ações potencialmente prejudiciais e agregar todo o fluxo de eventos em uma fatia de dados simples e conveniente para o SIEM. Bem, então o SIEM pode ser usado para criar agregações, correlações e processos de notificação adicionais.
Essa solução intermediária muito misteriosa nada mais é do que o CLM que mencionei no início do artigo. É assim que o Gartner o vê:
Agora você pode tentar descobrir como a InTrust está em conformidade com as recomendações do Gartner:
- , .
- .
- — , CLM, BI- .
- ( ).
O Quest InTrust usa seu próprio sistema de armazenamento com compactação de dados de até 40: 1 e altas taxas de desduplicação, o que reduz a sobrecarga de armazenamento para sistemas CLM e SIEM.
Console de pesquisa de segurança de TI com pesquisa semelhante ao google
Um módulo especializado com a interface da web IT Security Search (ITSS) pode se conectar a dados de eventos no repositório InTrust e fornece uma interface simples para pesquisar ameaças. A interface é simplificada a ponto de funcionar como o Google para dados de log de eventos. O ITSS usa cronogramas para resultados de consulta, pode combinar e agrupar campos de eventos e é eficaz para ajudá-lo a encontrar ameaças.
O InTrust enriquece os eventos do Windows com SIDs, nomes de arquivos e SIDs. O InTrust também normaliza eventos para um esquema W6 simples (Quem, O quê, Onde, Quando, Quem e De onde - quem, o quê, onde, quando, quem e de onde) para que os dados de fontes diferentes (eventos nativos do Windows, logs do Linux ou syslog) pode ser visto em um único formato e em um único console de pesquisa.
O InTrust oferece suporte a recursos de alerta e detecção em tempo real e ações de resposta que podem ser usados como um sistema semelhante a EDR para minimizar os danos causados por atividades suspeitas. As regras de segurança integradas detectam, mas não se limitam às seguintes ameaças:
- Aplicação de senha.
- Kerberoasting.
- Atividade suspeita do PowerShell, como a execução de Mimikatz.
- Processos como o ransomware LokerGoga são suspeitos.
- Criptografia usando logs CA4FS.
- Logins com uma conta privilegiada em estações de trabalho.
- Ataques de adivinhação de senha.
- Uso suspeito de grupos de usuários locais.
Agora vou mostrar algumas capturas de tela do próprio InTrust, para que eu possa ter uma impressão de suas capacidades.
Filtros predefinidos para procurar vulnerabilidades potenciais
Exemplo de um conjunto de filtros para coletar dados brutos
Um exemplo de uso de expressões regulares para criar uma reação a um evento
Exemplo de regra de pesquisa de vulnerabilidade do PowerShell
A base de conhecimento integrada com uma descrição das vulnerabilidades
InTrust é uma ferramenta poderosa que pode ser usada tanto como uma solução independente quanto como parte de um sistema SIEM, conforme descrito acima. Provavelmente, a principal vantagem desta solução é que você pode começar a usá-la logo após a instalação. O InTrust tem uma grande biblioteca de regras para detectar ameaças e responder a elas (por exemplo, bloquear um usuário).
No artigo, não falei sobre integrações em caixas. Mas logo após a instalação, você pode configurar o envio de eventos para Splunk, IBM QRadar, Microfocus Arcsight ou por meio de um webhook para qualquer outro sistema. Abaixo está um exemplo de uma interface Kibana com eventos do InTrust. O Elastic Stack já possui integração e se você estiver usando a versão gratuita do Elastic InTrust pode ser usado como ferramenta para detectar ameaças, realizar alertas proativos e enviar notificações.
Esperançosamente, o artigo deu uma introdução mínima a este produto. Estamos prontos para fornecer o InTrust para um teste ou para conduzir um projeto piloto. O aplicativo pode ser deixado no formulário de feedback em nosso site.
Leia nossos outros artigos sobre segurança da informação:
Identificando um ataque de ransomware, obtendo acesso a um controlador de domínio e tentando resistir a esses ataques
O que é útil obter dos logs de uma estação de trabalho Windows (artigo popular)
Rastreando o ciclo de vida de usuários sem alicate e fita
E quem fez isso? Automatizamos a auditoria de segurança da informação
Assine nossa página no Facebook , publicamos notas curtas e links interessantes lá.