In vorige artikels het ons 'n bietjie vertroud geraak met die elandstapel en die opstel van die Logstash-konfigurasielêer vir die log-ontleder. In hierdie artikel gaan ons oor na die belangrikste ding vanuit 'n analitiese oogpunt, wat jy wil hê sien uit die stelsel en waarvoor alles geskep is - dit is grafieke en tabelle wat in gekombineer is dashboards. Vandag gaan ons die visualiseringstelsel van nader bekyk kibana, sal ons kyk hoe om grafieke en tabelle te skep, en as gevolg daarvan sal ons 'n eenvoudige dashboard bou gebaseer op logs van die Check Point-brandmuur.
Die eerste stap in die werk met kibana is om te skep indeks patroon, logies gesproke is dit 'n basis van indekse verenig volgens 'n sekere beginsel. Natuurlik is dit bloot 'n instelling om Kibana meer gerieflik te maak om inligting oor alle indekse op dieselfde tyd te soek. Dit word gestel deur 'n string te pas, sê "kontrolepunt-*" en die naam van die indeks. Byvoorbeeld, "kontrolepunt-2019.12.05" sal by die patroon pas, maar eenvoudig "kontrolepunt" bestaan nie meer nie. Dit is die moeite werd om afsonderlik te noem dat in soektog dit onmoontlik is om inligting oor verskillende indekspatrone op dieselfde tyd te soek; 'n bietjie later in die daaropvolgende artikels sal ons sien dat API-versoeke óf deur die naam van die indeks óf net deur een gemaak word lyn van die patroon, die prentjie is klikbaar:
Hierna kyk ons in die Ontdek-kieslys dat alle logs geïndekseer is en die korrekte ontleder gekonfigureer is. As enige teenstrydighede gevind word, byvoorbeeld die verandering van die datatipe van 'n string na 'n heelgetal, moet u die Logstash-konfigurasielêer wysig, gevolglik sal nuwe logs korrek geskryf word. Om die ou logs die verlangde vorm voor die verandering aan te neem, help slegs die herindekseringsproses; in daaropvolgende artikels sal hierdie bewerking in meer besonderhede bespreek word. Kom ons maak seker dat alles in orde is, die prentjie is klikbaar:
Die logs is in plek, wat beteken dat ons dashboards kan begin bou. Op grond van die ontleding van kontroleskerms van sekuriteitsprodukte, kan jy die stand van inligtingsekuriteit in 'n organisasie verstaan, kwesbaarhede in die huidige beleid duidelik sien, en vervolgens maniere ontwikkel om dit uit te skakel. Kom ons bou 'n klein dashboard met behulp van verskeie visualiseringsinstrumente. Die paneelbord sal uit 5 komponente bestaan:
- tabel vir die berekening van die totale aantal stompe volgens lemme
- tabel oor kritieke IPS-handtekeninge
- sirkelgrafiek vir bedreigingsvoorkoming-gebeure
- grafiek van die gewildste besoekte webwerwe
- grafiek oor die gebruik van die gevaarlikste toepassings
Om visualiseringsyfers te skep, moet jy na die spyskaart gaan visualiseer, en kies die gewenste figuur wat ons wil bou! Kom ons gaan in volgorde.
Tabel vir die berekening van die totale aantal stompe per lem
Om dit te doen, kies 'n figuur Datatabel, ons val in die toerusting vir die skep van grafieke, aan die linkerkant is die figuur se instellings, aan die regterkant is hoe dit sal lyk in die huidige instellings. Eerstens sal ek demonstreer hoe die voltooide tabel sal lyk, daarna gaan ons deur die instellings, die prentjie is klikbaar:
Meer gedetailleerde instellings van die figuur, die prentjie is klikbaar:
Kom ons kyk na die instellings.
Aanvanklik gekonfigureer metrieke, dit is die waarde waarmee alle velde saamgevoeg sal word. Metrieke word bereken op grond van waardes wat op een of ander manier uit dokumente onttrek is. Die waardes word gewoonlik onttrek uit velde dokument, maar kan ook met skrifte gegenereer word. In hierdie geval sit ons in Samevoeging: Tel (totale aantal logs).
Hierna verdeel ons die tabel in segmente (velde) waarmee die metrieke bereken sal word. Hierdie funksie word uitgevoer deur die Emmers-instelling, wat op sy beurt uit 2 instellingsopsies bestaan:
- verdeel rye - voeg kolomme by en verdeel die tabel vervolgens in rye
- verdeel tabel - verdeling in verskeie tabelle gebaseer op die waardes van 'n spesifieke veld.
В emmers jy kan verskeie afdelings byvoeg om verskeie kolomme of tabelle te skep, die beperkings hier is nogal logies. In samevoeging kan u kies watter metode gebruik sal word om in segmente te verdeel: ipv4-reeks, datumreeks, bepalings, ens. Die interessantste keuse is presies terme и Beduidende bepalings, verdeling in segmente word uitgevoer volgens die waardes van 'n spesifieke indeksveld, die verskil tussen hulle lê in die aantal teruggekeerde waardes en hul vertoning. Aangesien ons die tabel deur die naam van die lemme wil verdeel, kies ons die veld - produk.sleutelwoord en stel die grootte op 25 teruggekeerde waardes.
In plaas van snare, gebruik elasticsearch 2 datatipes - teks и navraag. As jy 'n voltekssoektog wil uitvoer, moet jy die tekstipe gebruik, 'n baie gerieflike ding wanneer jy jou soekdiens skryf, byvoorbeeld, op soek na 'n vermelding van 'n woord in 'n spesifieke veldwaarde (teks). As jy net 'n presiese passing wil hê, moet jy die sleutelwoordtipe gebruik. Die sleutelwoorddatatipe moet ook gebruik word vir velde wat sortering of samevoeging vereis, dit wil sê in ons geval.
As gevolg hiervan tel Elasticsearch die aantal logs vir 'n sekere tyd, saamgevoeg deur die waarde in die produkveld. In Custom Label stel ons die naam van die kolom wat in die tabel vertoon sal word, stel die tyd in waarvoor ons logs versamel, begin lewering - Kibana stuur 'n versoek na elasticsearch, wag vir 'n antwoord en visualiseer dan die ontvangde data. Die tafel is gereed!
Sirkelgrafiek vir bedreigingsvoorkoming-gebeure
Van besondere belang is die inligting oor hoeveel reaksies daar as 'n persentasie is spoor и voorkom oor inligtingsekuriteitsvoorvalle in die huidige sekuriteitsbeleid. 'n Sirkeldiagram werk goed vir hierdie situasie. Kies in Visualiseer - Sirkelgrafiek. Ook in die metrieke stel ons samevoeging volgens die aantal logs. In emmers plaas ons Terme => aksie.
Alles blyk korrek te wees, maar die resultaat toon waardes vir alle lemme; jy hoef net te filtreer deur die lemme wat binne die raamwerk van Bedreigingsvoorkoming werk. Daarom het ons dit beslis opgestel die filter ten einde inligting te soek slegs op lemme wat verantwoordelik is vir inligtingsekuriteitsinsidente - produk: ("Anti-Bot" OF "Nuwe Anti-Virus" OF "DDoS Protector" OF "SmartDefense" OF "Bedreigingsemulasie"). Die prentjie is klikbaar:
En meer gedetailleerde instellings, die prentjie is klikbaar:
IPS Gebeurtenis Tabel
Volgende, baie belangrik vanuit 'n inligtingsekuriteitsoogpunt is om gebeurtenisse op die lem te bekyk en na te gaan. IPS и BedreigingsemulasieWat geblokkeer word nie huidige beleid, om daarna óf die handtekening te verander om te voorkom, óf as die verkeer geldig is, moenie die handtekening nagaan nie. Ons skep die tabel op dieselfde manier as vir die eerste voorbeeld, met die enigste verskil dat ons verskeie kolomme skep: protections.keyword, severity.keyword, product.keyword, originsicname.keyword. Maak seker dat u 'n filter opstel om slegs inligting te soek op lemme wat verantwoordelik is vir inligtingsekuriteitsinsidente - produk: ("SmartDefense" OF "Threat Emulation"). Die prentjie is klikbaar:
Meer gedetailleerde instellings, die prentjie is klikbaar:
Grafieke vir die gewildste besoekte werwe
Om dit te doen, skep 'n figuur - Vertikale staaf. Ons gebruik ook telling (Y-as) as 'n metriek, en op die X-as sal ons die naam van besoekte werwe as waardes gebruik - "appi_name". Daar is 'n klein truuk hier: as u die instellings in die huidige weergawe uitvoer, sal alle webwerwe met dieselfde kleur op die grafiek gemerk word, om hulle veelkleurig te maak, gebruik ons 'n bykomende instelling - "verdeel reeks", wat jou toelaat om 'n klaargemaakte kolom in verskeie meer waardes te verdeel, afhangende van die geselekteerde veld natuurlik! Hierdie einste verdeling kan óf gebruik word as een veelkleurige kolom volgens waardes in gestapelde modus, óf in normale modus om verskeie kolomme volgens 'n sekere waarde op die X-as te skep. In hierdie geval gebruik ons hier die dieselfde waarde as op die X-as, dit maak dit moontlik om alle kolomme veelkleurig te maak; hulle sal met kleure regs bo aangedui word. In die filter wat ons stel - produk: "URL Filtering" om inligting slegs op besoekte werwe te sien, is die prentjie klikbaar:
Instellings:
Diagram oor die gebruik van die gevaarlikste toepassings
Om dit te doen, skep 'n figuur - Vertikale balk. Ons gebruik ook telling (Y-as) as 'n metriek, en op die X-as sal ons die naam van die toepassings gebruik - "appi_name" as waardes. Die belangrikste is die filterinstelling - produk: “Application Control” EN app_risk: (4 OF 5 OF 3 ) EN aksie: “aanvaar”. Ons filtreer die logs volgens die toepassingsbeheerblad, en neem slegs daardie werwe wat gekategoriseer is as Kritieke, Hoë, Mediumrisiko-webwerwe en slegs as toegang tot hierdie werwe toegelaat word. Die prentjie is klikbaar:
Instellings, klikbaar:
Dashboard
Bekyk en skep dashboards is in 'n aparte kieslys-item - Dashboard. Alles is eenvoudig hier, 'n nuwe dashboard word geskep, visualisering word daarby gevoeg, op sy plek geplaas en dit is dit!
Ons skep 'n dashboard waarmee u die basiese situasie van die toestand van inligtingsekuriteit in 'n organisasie kan verstaan, natuurlik, slegs op die Check Point-vlak, is die prentjie klikbaar:
Op grond van hierdie grafieke kan ons verstaan watter kritieke handtekeninge nie op die firewall geblokkeer word nie, waarheen gebruikers gaan en wat die gevaarlikste toepassings hulle gebruik.
Gevolgtrekking
Ons het na die vermoëns van basiese visualisering in Kibana gekyk en 'n dashboard gebou, maar dit is slegs 'n klein deel. Verder in die kursus gaan ons afsonderlik kyk na die opstel van kaarte, werk met die elastiese soekstelsel, kennis maak met API-versoeke, outomatisering en nog baie meer!
So bly ingeskakel, , , ), .
Bron: will.com