◻️ 🤲🏼 🏞️ SIEMシステムの所有コストを削減する方法と、中央ログ管理（CLM）が必要な理由 🌋 👩🏼‍🎤 🗨️

少し前に、Splunkは別のライセンスモデルを追加しました-インフラストラクチャベースのライセンス（現在は3つあります）。 Splunkサーバーの下のCPUコアの数をカウントします。 Elastic Stackのライセンスと非常によく似ており、Elasticsearchノードの数をカウントします。 SIEMシステムは伝統的に安くはなく、通常、多額の支払いと多額の支払いのどちらかを選択する価値があります。しかし、あなたの創意工夫を使えば、同様の構造を組み立てることができます。

不気味に見えますが、このアーキテクチャが本番環境で機能する場合があります。複雑さはセキュリティを殺し、一般的にすべてを殺します。実際、そのような場合（所有コストの削減について話している）には、システムのクラス全体、つまり中央ログ管理（CLM）があります。彼らが過小評価されていると考えて、このガートナーについて書いています。推奨事項は次のとおりです。

予算と人員の制約、セキュリティ監視要件、および特定のユースケース要件がある場合は、CLM機能とツールを使用します。
SIEMソリューションが高すぎるか複雑な場合は、CLMを実装してログの収集と分析を拡張します。
効率的なストレージ、高速検索、柔軟な視覚化を備えたCLMツールに投資して、セキュリティインシデントの調査/分析と脅威検索のサポートを改善します。
CLMソリューションを実装する前に、該当する要素と考慮事項が考慮されていることを確認してください。

この記事では、ライセンスアプローチの違いについて説明し、CLMを扱い、このクラスの特定のシステムであるQuestInTrustについて説明します。カットの下の詳細。

この記事の冒頭で、Splunkライセンスへの新しいアプローチについて話しました。ライセンスの種類は、車のレンタル料金と比較できます。 CPUモデルが無制限の走行距離とガソリンを備えた燃料効率の良い車であるとしましょう。距離制限なしでどこにでも行くことができますが、あまり速く行くことができないため、1日に何キロも運転できます。データベースのライセンスは、マイレージごとの支払いモデルを備えたスポーツカーに似ています。あなたは有名に長距離を積み重ねることができますが、あなたは一日の走行距離制限を超えるためにもっとお金を払わなければなりません。

負荷ベースのライセンスを使用するメリットを得るには、GBのデータをダウンロードするためのCPUコアの比率を可能な限り小さくする必要があります。実際には、これは次のような意味です。

.
.
( CPU ).

ここで最も問題となるのは、正規化されたデータです。 SIEMを組織内のすべてのログのアグリゲーターにしたい場合は、膨大な量の解析と後処理の作業が必要になります。負荷から離れないアーキテクチャについても考える必要があることを忘れないでください。追加のサーバーが必要になるため、追加のプロセッサーが必要になります。

ボリュームライセンスは、SIEMジョーに送信されるデータの量に基づいています。追加のデータソースはルーブル（または他の通貨）によって罰せられるため、実際には収集したくないものについて考えることができます。このライセンスモデルをだますために、SIEMシステムに挿入される前にデータを噛むことができます。注入前のこのような正規化の一例は、ElasticStackおよびその他の商用SIEMです。

その結果、インフラストラクチャのライセンスは、最小限の前処理で特定のデータのみを収集する必要がある場合に効果的であり、ボリュームごとのライセンスではすべてを収集することはできません。中間ソリューションを検索すると、次の基準が求められます。

データの集約と正規化の簡素化。
ノイズと最も重要度の低いデータをフィルタリングします。
分析機能を提供します。
フィルタリングおよび正規化されたデータをSIEMに送信する

その結果、ターゲットSIEMシステムは、処理に追加のCPUパワーを費やす必要がなく、何が起こっているのかを可視化することなく、最も重要なイベントのみを識別することで利益を得ることができます。

理想的には、このようなミドルウェアソリューションは、潜在的に有害なアクションの影響を軽減し、イベントのフロー全体をSIEMへの便利でシンプルなデータスライスに集約するために使用できるリアルタイムの検出および応答機能も提供する必要があります。そうですね、SIEMを使用して、追加の集計、相関、および通知プロセスを作成できます。

その非常に神秘的な中間ソリューションは、記事の冒頭で述べたCLMにすぎません。これはGartnerがそれを見る方法です：

これで、InTrustがGartnerの推奨事項にどのように準拠しているかを理解することができます。

, .
.
— , CLM, BI- .
( ).

Quest InTrustは、最大40：1のデータ圧縮と高い重複排除率を備えた独自のストレージシステムを使用します。これにより、CLMおよびSIEMシステムのストレージオーバーヘッドが削減されます。

googleのような検索を備えたITセキュリティ検索コンソール

ITセキュリティ検索（ITSS）Webインターフェイスを備えた専用モジュールは、InTrustリポジトリ内のイベントデータに接続でき、脅威を検索するためのシンプルなインターフェイスを提供します。インターフェイスは、イベントログデータに対してGoogleのように機能するように簡素化されています。 ITSSは、クエリ結果にタイムラインを使用し、イベントフィールドを組み合わせてグループ化することができ、脅威を見つけるのに効果的です。

InTrustは、SID、ファイル名、およびSIDを使用してWindowsイベントを強化します。InTrustはまた、イベントを単純なW6スキーマ（Who、What、Where、When、Whom、Where From-who、what、where、when、who、where）に正規化して、さまざまなソース（ネイティブWindowsイベント、Linuxログまたはsyslog）からのデータを作成します。単一の形式と単一の検索コンソールで表示できます。

InTrustは、EDRのようなシステムとして使用できるリアルタイムのアラート、検出、および応答機能をサポートして、疑わしいアクティビティによって引き起こされる損傷を最小限に抑えます。組み込みのセキュリティルールは、次の脅威を検出しますが、これらに限定されません。

パスワードスプレー。
カーベロアスト。
Mimikatzの実行など、疑わしいPowerShellアクティビティ。
LokerGogaランサムウェアなどのプロセスは疑わしいです。
CA4FSログを使用した暗号化。
ワークステーションで特権アカウントを使用してログインします。
パスワード推測攻撃。
ローカルユーザーグループの疑わしい使用。

次に、InTrust自体のスクリーンショットをいくつか示して、その機能の印象をつかむことができます。

潜在的な脆弱性を検索するための事前定義されたフィルター

生データを収集するための一連のフィルターの例

通常の式を使用してイベントへの反応を作成する例

PowerShell脆弱性検索ルールの例

脆弱性の説明を含む組み込みのナレッジベース

InTrustは、前述のように、独立したソリューションとしてもSIEMシステムの一部としても使用できる強力なツールです。おそらく、このソリューションの主な利点は、インストール後すぐに使用を開始できることです。 InTrustには、脅威とそれらに対する反応を検出するためのルールの大規模なライブラリがあります（たとえば、ユーザーのブロック）。

この記事では、ボックス化された統合については説明しませんでした。ただし、インストール直後に、Splunk、IBM QRadar、Microfocus Arcsightに、またはWebhookを介して他のシステムにイベントを送信するように構成できます。以下は、InTrustからのイベントを使用したKibanaインターフェイスの例です。 Elastic Stackにはすでに統合されており、無料バージョンのElasticを使用している場合は、脅威を検出し、プロアクティブなアラートを実行し、通知を送信するためのツールとしてInTrustを使用できます。

うまくいけば、記事はこの製品の最小限の紹介を与えました。テストまたはパイロットプロジェクトを実施するために、InTrustを提供する準備が整いました。アプリケーションは、当社のWebサイトのフィードバックフォームに残すことができます。

情報セキュリティに関する他の記事を読んでください。

ランサムウェア攻撃を特定し、ドメインコントローラーにアクセスして、これらの攻撃に抵抗しようとする

Windowsワークステーションのログから取得するのに役立つもの（人気の記事）

プライヤーやテープを使用せずにユーザーのライフサイクルを追跡する

誰がそれを行いましたか？情報セキュリティ監査を自動化しますFacebookのページを

購読し、短いメモと興味深いリンクを公開します。

SIEMシステムの所有コストを削減する方法と、中央ログ管理（CLM）が必要な理由

More articles: