Cribl Search: tyrimų optimizavimas be SIEM sąnaudų

Tradicinės analitikos architektūros pasiekė savo ribą dėl eksponentinio mašininio srauto augimo, kurį dar labiau didina dirbtinio intelekto algoritmų veikimas. Saugumo operacijų centrų (Security Operations Center, SOC) ir IT padalinių specialistai nuolat susiduria su vėlavimais, bandydami sujungti fragmentuotą kontekstą iš debesijos aplinkų, duomenų ežerų ir vietinių sistemų masyvų. Archyvinių logų atkūrimo procesas reikalauja reikšmingų infrastruktūrinių pastangų, o centralizuotų telemetrijos valdymo platformų licencijos išsemia skirtus biudžetus. Dėl to pailgėjęs aptikimo ir atkūrimo laikas (MTTR) virsta tiesiogine finansine rizika verslui.

Esminė „Cribl“ inovacija yra paskirstytos paieškos modelis, kuriame skaičiavimo priemonės priartinamos prie informacijos masyvų, o ne atvirkščiai. Užuot kūrusi sudėtingus maršrutus telemetrijai sujungti į vieną saugyklą, platforma užklausas vykdo tiesiogiai galiniuose jos maršruto taškuose. Tokia architektūra leidžia analizuoti įvykius iškart po jų gavimo arba dirbti su ramybės būsenoje esančiais duomenimis. Kadangi nereikia visiškai perkelti duomenų ar jų iš anksto indeksuoti, panaikinami dirbtiniai analitikos apimties apribojimai.

Sprendimo galimybės apima visus darbo su duomenimis etapus. Dirbtinio intelekto algoritmai užtikrina automatizuotą logų išskaidymą, pagreitindami normalizavimą be būtinybės rankiniu būdu kurti sudėtingas taisykles. Tuo pat metu visi tyrimų etapai sujungiami interaktyvioje darbo erdvėje „Notebooks“, kur analitikai viename lange gali derinti grafikus, pastabas ir paieškos rezultatus. Siekiant sumažinti rutiną, konfigūruojami foniniai patikrinimai: sistema automatiškai skenuoja tendencijas ir, aptikusi anomalijas, generuoja įspėjimus, taip išlaisvindama komandą nuo nuolatinės stebėsenos.

„Cribl Search“ diegimas leidžia organizacijoms dirbti su logų masyvais, kurių apdorojimas anksčiau buvo laikomas ekonomiškai netikslingu. Vienos tarptautinės „Fortune 1000“ sąrašo korporacijos patirtis rodo, kad tinklo matomumas reikšmingai padidėja gavus prieigą prie „tamsiųjų duomenų“ be papildomų jų saugojimo SIEM sistemoje išlaidų. Galimybė tyrimus atlikti dešimt kartų greičiau pasiekiama dėl momentinio užklausų vykdymo be išankstinio aplinkos paruošimo. Tokių darbo apkrovų perkėlimas iš pasenusių įrankių leidžia optimizuoti turimus organizacijos išteklius.

Atvira sprendimo architektūra užtikrina suderinamumą su esamais logavimo įrankiais, saugyklomis ir saugumo sistemomis, nereikalaujant iš esmės pertvarkyti komandų darbo logikos. Pradinis konfigūravimas trunka vos kelias minutes, po kurių specialistai gauna visavertę prieigą prie duomenų masyvų. Nepriklausomai nuo darbuotojų techninės patirties, intuityvi sąsaja padeda išvengti sudėtingos sintaksės, remdamasi dirbtiniu intelektu užuominoms ir santraukų generavimui. Tai paverčia platformą patogiu atspirties tašku tiek IT administratoriams, tiek patyrusiems incidentų auditoriams.

Telemetrijos valdymas jos sukūrimo vietoje tampa kritiniu reikalavimu siekiant užtikrinti šiuolaikinio verslo kibernetinį atsparumą ir finansinį efektyvumą. Perėjimas prie paskirstytos logų paieškos leidžia organizacijoms pagreitinti incidentų tyrimus ir atsisakyti paslėptų tradicinių saugojimo sistemų mastelio plėtros kaštų. Skaidrios analitikos gavimas be perteklinių infrastruktūros išlaidų formuoja šiuolaikišką ir veiksmingą požiūrį į informacijos saugumą.

„iIT Distribution“ veikia kaip oficialus „Cribl“ sprendimų distributorius ir užtikrina visą partnerių projektų įgyvendinimo bei palaikymo ciklą. iITD ekspertų komanda teikia profesionalias konsultacijas įmonėms, tiesiogiai dalyvauja infrastruktūros projektavime ir siūlo techninę pagalbą visuose telemetrijos apimčių valdymo sistemų integracijos etapuose.