Stealthwatch سیسکو و بهینه‌سازی SIEM

Stealthwatch سیسکو و بهینه‌سازی SIEM

Stealthwatch سیسکو و بهینه‌سازی SIEM

با ادغام Stealthwatch و استقرار SIEM خود، در زمان و هزینه صرفه‌جویی کنید.

مقدمه: Stealthwatch و SIEM ها

Stealthwatch چیست؟

Cisco Stealthwatch دید گسترده‌ای را برای شرکت فراهم می‌کند و می‌تواند به شما کمک کند، بینش بیشتری نسبت به فعالیت‌هایی که در شبکه رخ می‌دهد، به دست آورید. Stealthwatch از آنالیزهای امنیتی پیشرفته برای شناسایی و پاسخ به تهدیدات به صورت Real-Time استفاده می‌کند و به طور مداوم فعالیت شبکه را برای ایجاد یک خط پایه رفتار عادی شبکه، تحلیل می‌کند. این ابزار می‌تواند به شما کمک کند تا رفتارهای مربوط به بدافزار Zero-Day، تهدیدات خودی، تهدیدات پیشرفته مداوم (APT)، تلاش‌های حملات  (DDoS) و سایر انواع حمله را قبل از اینکه فرصتی برای خراب کردن شبکه شما داشته باشد، شناسایی کنید. برخلاف سایر راه‌حل‌های نظارت بر امنیت، Stealthwatch  نه تنها ترافیک ورودی و خروجی از شبکه بلکه ترافیک داخلی جنبه جانبی یا شرق غربی را نیز نظارت می‌کند تا سوءاستفاده از شبکه و تهدیدات احتمالی داخلی را نیز شناسایی نماید.

Stealthwatch مدل‌های استقرار مختلفی را در محل به عنوان یک وسیله سخت‌افزاری یا یک ماشین مجازی تحت عنوان Stealthwatch Enterprise ارائه می‌دهد. همچنین به عنوان یک راه‌حل SaaS اقتباس شده از Cloud ، تحت عنوان Stealthwatch Cloud نیز ارائه می‌شود.

مؤلفه‌های اصلی تشکیل‌دهنده Stealthwatch Enterprise عبارتند از کنسول مدیریت و جمع‌کننده جریان؛ سنسورهای جریان و سایر مؤلفه‌ها بسته به همبندی و زیرساختی که مورد بررسی قرار می‌گیرد، اختیاری هستند. به کارگیری این مؤلفه‌ها در کنار یکدیگر، یک دید و تحلیل منحصر به فرد از ترافیک شبکه ارائه می‌دهد و می‌تواند تشخیص تهدید به صورت Real-Time ، واکنش حوادث، عملکرد شبکه و برنامه‌ریزی ظرفیت را بهبود بخشد.

شکل ۱: داشبورد Stealthwatch Enterprise

SIEM ها چطور کار می کنند؟

وقتی اطلاعات امنیتی ساکن و مدیریت رویدادها (SIEM) در حال حاضر در سازمان پیاده‌سازی شده است، ممکن است یک شخص از ارزش راه‌حلی مانند Stealthwatch تعجب کند. واقعیت این است که Stealthwatch استقرار SIEM شما را تکمیل می‌کند. فناوری SIEM در واقع syslog را از میان دارایی‌های شبکه ردیابی می‌کند و هشدارها و زنگ‌های مربوط به ابزارهای مبتنی بر امضا را صادر می‌کند. Stealthwatch برای به دست آوردن تصویر کامل به ترافیک فراداده، مانند NetFlow یا IPFIX نگاه می‌کند و قادر است ناهنجاری‌های مبتنی بر رفتار را شناسایی کند. همچنین از ابزارهای تحلیلی استفاده می‌کند تا تعداد زیاد رویدادهای امنیتی را به تعداد کمی هشدارهای حیاتی کاهش دهد تا تیم امنیتی شما نیاز نداشته باشد که به صورت دستی تمامی داده‌ها را وارسی نماید. Stealthwatch همچنین می‌تواند برای ادغام با SIEM به منظور ارسال هشدار و سایر اطلاعات، تنظیم شود تا مشتریان بتوانند محیط موردنظر خود را برای تشخیص و پاسخ به تهدیدات پیشرفته انتخاب نمایند.

علاوه بر کاهش زمانی که صرف شناسایی و بررسی تهدید از ماه‌ها به ساعت‌ها می‌شود، مزیت دیگری نیز وجود دارد که مشتریانی که دارای Stealthwatch و SIEM ادغام شده هستند، تجربه می‌کنند. و این مزیت مربوط به بهینه‌سازی داده‌های ارسال شده به SIEM است.

بیایید بگوییم که شبکه شما با نرخ متوسط ​​۱ ترابایت در روز با مجوز سالانه به تولید تله‌متری می‌پردازد. ارسال داده به طور مستقیم به SIEM ممکن است هزینه‌ای معادل ۶۰۰هزار دلار در سال داشته باشد که بیشتر این داده‌ها نیز پردازش نشده و تکراری هستند. اگر Stealthwatch را در این جریان تله‌متری قرار دهید، در این مثال شاهد کاهش جریان تقریبی ۸۰٪ در کاهش هزینه از ۶۰۰هزار دلار به فقط ۹۹ هزار دلار هستید! در حالی‌که نتایج شما ممکن است متفاوت باشد، ریاضیات همچنان پا برجاست. هرچه میزان تولید جریان شما بیشتر باشد، هزینه‌ای که بدین ترتیب صرفه‌جویی می‌شود، بیشتر خواهد بود.

مساله

سیستم‌های SIEM در معماری‌های امنیتی مدرن به طور فزاینده‌ای حیاتی شده‌اند. SIEM به عنوان یک ثروت گسترده و غالباً لفظی از داده ها، وارد سازمان شده و آنها را ترک می‌کند و به ارائه زمینه و بینش در مورد نحوه دستیابی و به اشتراک‌گذاری داده‌ها کمک می‌کند. با این حال، انتخاب ارائه‌دهنده SIEM همیشه کار ساده‌ای نیست. همانطور که مجموعه کاملی از داده‌هایی که باید برای نظارت بر امنیت استفاده شود، همچنان رو به رشد است، هزینه های عملیاتی برای SIEM هایی که هزینه آنها وابسته به حجم داده است، نیز رو به افزایش است. علاوه بر این، برخی از داده‌ها می‌توانند در چندین نقطه شبکه شما به صورت سریع جایگزین شوند و منجر به هزینه‌های داده تکراری غیرضروری در طولانی مدت شود. اگر می‌خواهید برای داده‌های خود هزینه بپردازید، مطمئناً نمی‌خواهید چندین بار و به صورت غیرضروری این کار را انجام دهید.

راه‌حل

مهمترین مزیت Stealthwatch توانایی آن در کاهش مجموعه داده‌ها بدون از بین رفتن اطلاعات است. Stealthwatch می‌داند که داده‌ها دارای افزونگی هستند و در زمان جمع‌آوری، حذف داده‌های تکراری و دوخت داده‌های لازم برای ارائه کلیه اطلاعات با کمترین مقدار داده را فراهم می‌کند. از آنجایی که کنترل‌کننده جریان Stealthwatch داده‌های تله‌متری را از منابع پروکسی مختلف (Router، Switch، Firewall، End-Point و سایر دستگاه‌های زیرساخت شبکه) دریافت و جمع‌آوری می‌کند، فرآیند حذف داده‌های تکراری را روی آنها انجام می‌دهد، به گونه‌ای که هر جریانی که ممکن است در بیش از یکی از این منابع آورده شده باشد، فقط یک بار حساب شود. سپس داده‌های جریان را برای دید کامل یک تراکنش شبکه به به یکدیگر متصل می‌کند. این امر منجر به نظارت و ذخیره‌سازی مقرون به صرفه دورسنجی موثر برای حتی بزرگترین و پیچیده‌ترین شبکه‌های سازمانی می‌شود.

Stealthwatch به جای پرداخت SIEM بر حسب حجم داده و ریسک پرداخت داده‌های تکراری، می‌تواند در هزینه‌های داده صرفه‌جویی کند و در عین حال قابلیت دید بالا، آنالیز امنیتی و کشف تهدید را نیز فراهم می‌آورد.

دانش

در حالی‌که حجم تله‌متری‌های NetFlow و IPFIX در یک شبکه سازمانی متفاوت است، برخی از ویژگی‌ها و تخمین‌ها وجود دارد که می‌توانیم از آنها برای مدل‌سازی اندازه و با تعمیم، برای مدل‌سازی هزینه‌های کلی، استفاده کنیم. اولین چیزی که می‌دانیم این است که بسته به  hop-counts  که برای عبور از شبکه نیاز است، تله‌متری تولید می‌شود که ارتباط را توصیف می‌کند. به عنوان مثال، یک جلسه میان مشتری به سرور، به طور متوسط از ۵ تا ۶ هاپ عبور خواهد کرد – شاید بیشتر، شاید کمتر. هر یک از Router ها یا Switch ها ، رکوردی را صادر می‌کنند که به طور خلاصه شامل کلیه ابرداده‌های قابل مشاهده از جلسه و فقط در یک جهت (به صورت یک طرفه) است.

از آنجایی‌که چندین جلسه در طول این Routerها، Switch‌ها، Firewall ها و غیره قرار دارد، تله‌متری مرتبط با این جلسات با یکدیگر ادغام شده و هر ۶۰ ثانیه منتشر می‌شود. اگر می‌خواستید روزانه یک ترابایت از این تله‌متری‌ حیاتی را به صورت مستقیم به SIEM ارسال کنید، با مجوز سالانه حدود ۶۰۰ هزار دلار برای شما هزینه داشت یا با مجوز دائمی ۱٫۸ میلیون دلار به صورت سالانه هزینه‌بر بود.  این سطح دید به سرعت می‌تواند گران شود. Stealthwatch می‌تواند میان همه این صادرکنندگان تله‌متری و SIEM شما قرار گیرد و بدون کاهش قابلیت بینایی، منجر به صرفه‌جویی در هزینه برای شما شود.

Stealthwatch می‌تواند در هزینه‌های داده صرفه‌جویی کند و در عین حال قابلیت رؤیت سطح بالا، آنالیز امنیتی و شناسایی تهدید را نیز فراهم نماید.

سناریو اول: بهینه‌سازی داده Stealthwatch

در این مثال SIEM  هنوز هم برای یک برنامه فعالیت مورد استفاده در تجزیه و تحلیل خاص خود، نیاز به دورسنجی شبکه دارد. Stealthwatch از اتصال (ترکیب‌سازی مجموعه‌های مختلف تله‌متری) و حذف داده‌های تکراری (دور انداختن رکوردهای تکراری در هنگام جمع‌آوری) پشتیبانی خواهد کرد و به شما صداقت بیشتری در حجم داده‌های کمتر خواهد داد. این امر به طور متوسط منجر به کاهش ۱ به ۶ خواهد شد که ۸۳٫۵٪ جریان کمتری دارد!

شکل ۲: Stealthwatch Enterprise درون برنامه‌ای برای کاهش هزینه‌های سنجش از راه دور

توضیحات شکل ۲:

Optimized Network Telemetry: تله‌متری شبکه بهینه‌شده

Stealthwatch Management Console (SMC): کنسول مدیریتی Stealthwatch

Storage Array: آرایه ذخیره‌سازی

Stealthwatch Flow Collector: جمع‌کننده جریان Stealthwatch

در اینجا، کاربر هنوز هم مایل است تله‌متری جریان شبکه را به SIEM خود وارد کند اما بدون داده‌های تکراری. از آنجایی که فروشندگان SIEM به طور کلی برای ذخیره داده‌ها پول دریافت می‌کنند، کاهش ذکر شده در بالا به معنای صرفه‌جویی ده‌ها هزار دلار در سال برای داده‌هایی است که از نظر ماهیتی، داده‌های تکراری و افزونه هستند.

Stealthwatch قادر است حجم جریانی که به SIEM ارسال می‌شود، تا حدود ۸۰ درصد هزینه‌های ذخیره‌سازی داده SIEM را کاهش دهد.

سناریو دوم: هشدارهای تجزیه و تحلیل امنیتی Stealthwatch

همچنین سناریویی وجود دارد که Stealthwatch جمع‌کننده و نگهدارنده کلیه فعالیت‌های شبکه است و فقط به SIEM با نتایج تحلیلی (تهدیدهای کشف شده) هشدار می‌دهد، بنابراین به کاربر SIEM اجازه می‌دهد تا به منظور تحقیقات عمیق دوباره به Stealthwatch برگردد. در اینجا، API های Stealthwatch برای تبدیل Stealthwatch به یک سرویس کاملاً یکپارچه با SIEM استفاده می‌شوند، زیرا Stealthwatch هم تجزیه و تحلیل رفتاری و هم حسابرسی کلی (معین عام) را برای فعالیت‌های شبکه فراهم می‌کند. برخی از بزرگترین شرکت‌ها به دلیل حجم گسترده‌ای از تله متری شبکه، این نوع استقرار را انتخاب می‌کنند، زیرا تجزیه و تحلیل توسط تیم‌های امنیتی در یک محیط SIEM دشوار است.

شکل ۳: Stealthwatch Enterprise به عنوان معین عام فعالیت شبکه و ادغام شده با SIEM

توضیحات شکل ۳:

Threat Detections and Security Events: شناسایی تهدید و رویدادهای امنیتی

Stealthwatch Management Console (SMC): کنسول مدیریتی Stealthwatch

Storage Array: آرایه ذخیره‌سازی

Stealthwatch Flow Collector: جمع‌کننده جریان Stealthwatch

نتیجه‌گیری

کوه اطلاعاتی که اکنون سازمان شما برای نظارت بر امنیت از آنها استفاده می‌کند، فقط در سال‌های آینده به رشد خود ادامه می‌دهد. خوشبختانه، شما مجبور نیستید SIEM را بر اساس حجم داده بپردازید و بنابراین خود را در معرض خطر پرداخت داده‌های تکراری قرار دهید. Cisco Stealthwatch این امکان را دارد که مجموعه داده‌های شما را بدون هیچ‌گونه از بین رفتن اطلاعات از طریق حذف داده‌های تکراری و اتصال مجدد، کاهش دهد، و تمام اطلاعات مورد نیاز شما را با کمترین میزان داده در اختیارتان قرار ‌دهد. Stealthwatch نه تنها به شما کمک می‌کند تا جریان داده را حدود ۸۰٪ کاهش دهید، بلکه سطح بالایی از بینایی، آنالیز امنیتی و شناسایی تهدید را نیز برای شما فراهم می‌کند.

مراجع

ریاضیات – بر اساس تعرفه‌های عمده فروشنده SIEM

۱۰۰ GB / Day = $60,000 / GB Annually or $180,000 / GB Perpetual

۱ TB / Day = $600,000 / TB Annually or $1,800,000 / TB Perpetual

 

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *