በሩሲያ ውስጥ የስፕላንክ ሎግንግ እና ትንታኔ ስርዓት ከሽያጩ መጨረሻ ጋር ተያይዞ ጥያቄው ተነሳ ፣ ይህ መፍትሄ በምን ሊተካ ይችላል? ከተለያዩ መፍትሄዎች ጋር ለመተዋወቅ ጊዜ ካሳለፍኩ በኋላ ለእውነተኛ ሰው መፍትሄ ላይ ወሰንኩ - "ELK ቁልል". ይህ ስርዓት ለማዋቀር ጊዜ ይወስዳል, ነገር ግን በውጤቱ, ስቴቱን ለመተንተን እና በድርጅቱ ውስጥ የመረጃ ደህንነት አደጋዎችን በፍጥነት ምላሽ ለመስጠት በጣም ኃይለኛ ስርዓት ማግኘት ይችላሉ. በዚህ ተከታታይ መጣጥፎች ውስጥ የ ELK ቁልል መሰረታዊ (ወይንም ላይሆን ይችላል) ባህሪያትን እንመለከታለን፣ ሎግዎችን እንዴት መተንተን እንደሚችሉ፣ ግራፎችን እና ዳሽቦርዶችን እንዴት እንደሚገነቡ እና የምዝግብ ማስታወሻዎችን ምሳሌ በመጠቀም ምን አስደሳች ተግባራትን ማከናወን እንደሚቻል እንመረምራለን ። የቼክ ነጥብ ፋየርዎል ወይም OpenVas ደህንነት ስካነር። ለመጀመር ፣ ምን እንደ ሆነ እናስብ - የ ELK ቁልል ፣ እና ምን ምን አካላትን ያካትታል።
"ELK ቁልል" ለሦስት ክፍት ምንጭ ፕሮጀክቶች አጭር ነው. Elasticsearch, Logstash и ኪያና. ከሁሉም ተዛማጅ ፕሮጀክቶች ጋር በ Elastic የተሰራ። Elasticsearch የመረጃ ቋት ፣ ፍለጋ እና የትንታኔ ስርዓት ተግባራትን የሚያጣምር የአጠቃላይ ስርዓቱ ዋና አካል ነው። Logstash ከበርካታ ምንጮች መረጃን በአንድ ጊዜ የሚቀበል፣ ምዝግብ ማስታወሻውን የሚተነተን እና ከዚያም ወደ Elasticsearch ዳታቤዝ የሚልክ የአገልጋይ ወገን ዳታ ማቀነባበሪያ ቧንቧ ነው። ኪባና ተጠቃሚዎች በElasticsearch ውስጥ ገበታዎችን እና ግራፎችን በመጠቀም መረጃን እንዲያዩ ያስችላቸዋል። እንዲሁም የውሂብ ጎታውን በኪባና በኩል ማስተዳደር ይችላሉ። እያንዳንዱን ስርዓት ለየብቻ እንመልከታቸው።
Logstash
Logstash ከተለያዩ ምንጮች የምዝግብ ማስታወሻ ክስተቶችን ለማስኬድ መገልገያ ነው ፣ በመልእክት ውስጥ መስኮችን እና እሴቶቻቸውን መምረጥ የሚችሉበት ፣ እንዲሁም መረጃን ማጣራት እና ማረም ይችላሉ። ከሁሉም ማጭበርበሮች በኋላ Logstash ክስተቶቹን ወደ መጨረሻው የውሂብ ማከማቻ ያዞራል። መገልገያው በውቅረት ፋይሎች ብቻ ነው የተዋቀረው።
የተለመደው የሎግስታሽ ውቅር በርካታ ገቢ የመረጃ ዥረቶችን (ግቤት)፣ ለዚህ መረጃ ብዙ ማጣሪያዎች (ማጣሪያ) እና ብዙ የወጪ ዥረቶች (ውፅዓት) የያዘ ፋይል(ዎች) ነው። በጣም ቀላል በሆነው ስሪት (ምንም የማይሰራ) አንድ ወይም ከዚያ በላይ የማዋቀሪያ ፋይሎችን ይመስላል።
input {
}
filter {
}
output {
}
በINPUT ውስጥ ምዝግብ ማስታወሻዎቹ ወደየትኛው ወደብ እንደሚመጡ እና በየትኛው ፕሮቶኮል ወይም ከየትኛው አቃፊ አዲስ ወይም በቋሚነት የሚገለበጡ ፋይሎችን ለማንበብ እናዋቅራለን። በ FILTER ውስጥ, የምዝግብ ማስታወሻውን እናዘጋጃለን: መስኮችን መተንተን, እሴቶችን ማረም, አዲስ ግቤቶችን ማከል ወይም መሰረዝ. FILTER ከብዙ የአርትዖት አማራጮች ጋር ወደ Logstash የሚመጣው የመልእክት መቆጣጠሪያ መስክ ነው። በውጤቱ ውስጥ ፣ ቀድሞውኑ የተተነተነውን መዝገብ የምንልክበትን ቦታ እናዋቅራለን ፣ እሴት ያላቸው መስኮች የሚላኩባቸው የ JSON ጥያቄን የሚልክ የelasticsearch ከሆነ ፣ ወይም እንደ ማረም አካል ፣ ወደ stdout ማውጣት ወይም ወደ ፋይል መፃፍ ይችላሉ።
ElasticSearch
መጀመሪያ ላይ Elasticsearch የሙሉ ጽሑፍ ፍለጋ መፍትሄ ነው፣ ነገር ግን እንደ ቀላል ልኬት፣ ማባዛት እና ሌሎችም ካሉ ተጨማሪ ምቾቶች ጋር ምርቱ በጣም ምቹ እና ከፍተኛ መጠን ያለው መረጃ ላላቸው ከፍተኛ ጭነት ፕሮጄክቶች ጥሩ መፍትሄ እንዲሆን አድርጎታል። Elasticsearch በሉሴን ሙሉ ጽሁፍ ፍለጋ ላይ የተመሰረተ ግንኙነት የሌለው (NoSQL) JSON ሰነድ ማከማቻ እና የፍለጋ ሞተር ነው። የሃርድዌር መድረክ ጃቫ ቨርቹዋል ማሽን ነው፣ ስለዚህ ስርዓቱ ለመስራት ከፍተኛ መጠን ያለው ሲፒዩ እና ራም ሃብቶችን ይፈልጋል።
እያንዳንዱ ገቢ መልእክት ከሎግስታሽ ጋር ወይም መጠይቁን ኤፒአይ በመጠቀም፣ እንደ “ሰነድ” መረጃ ጠቋሚ ነው - ተዛማጅ SQL ካለው ሠንጠረዥ ጋር ይመሳሰላል። ሁሉም ሰነዶች በ SQL ውስጥ ካለው የውሂብ ጎታ ጋር ተመሳሳይ በሆነ መረጃ ጠቋሚ ውስጥ ተከማችተዋል።
በመረጃ ቋቱ ውስጥ ያለ ሰነድ ምሳሌ፡-
{
"_index": "checkpoint-2019.10.10",
"_type": "_doc",
"_id": "yvNZcWwBygXz5W1aycBy",
"_version": 1,
"_score": null,
"_source": {
"layer_uuid": [
"dae7f01c-4c98-4c3a-a643-bfbb8fcf40f0",
"dbee3718-cf2f-4de0-8681-529cb75be9a6"
],
"outzone": "External",
"layer_name": [
"TSS-Standard Security",
"TSS-Standard Application"
],
"time": "1565269565",
"dst": "103.5.198.210",
"parent_rule": "0",
"host": "10.10.10.250",
"ifname": "eth6",
]
}
ሁሉም ከመረጃ ቋቱ ጋር የሚሰሩት የ REST API በመጠቀም በJSON ጥያቄዎች ላይ የተመሰረተ ነው፣ ይህም ሰነዶችን በመረጃ በማውጣት፣ ወይም አንዳንድ ስታቲስቲክስ በቅርጸት፡ ጥያቄ - መልስ። ለጥያቄዎች ሁሉንም ምላሾች በዓይነ ሕሊናህ ለማየት፣ ኪባና ተጽፏል፣ እሱም የድር አገልግሎት ነው።
ኪያና
ኪባና ከelasticsearch ዳታቤዝ መረጃን እና የጥያቄ ስታቲስቲክስን ለመፈለግ ይፈቅድልዎታል ፣ ግን ብዙ የሚያምሩ ግራፎች እና ዳሽቦርዶች በመልሶቹ ላይ የተገነቡ ናቸው። ስርዓቱ የ elasticsearch ዳታቤዝ አስተዳደር ተግባር አለው ፣ በሚቀጥሉት መጣጥፎች ውስጥ ይህንን አገልግሎት በበለጠ ዝርዝር እንመለከታለን። እና አሁን በቼክ ፖይንት ፋየርዎል እና በ OpenVas ተጋላጭነት ስካነር ላይ የዳሽቦርዶችን ምሳሌ እናሳያለን።
ለCheck Point የዳሽቦርድ ምሳሌ፣ ስዕሉ ጠቅ ሊደረግ የሚችል ነው፡-
የOpenVas ዳሽቦርድ ምሳሌ፣ ስዕሉ ጠቅ ሊደረግ የሚችል ነው፡-
መደምደሚያ
በውስጡ የያዘውን ተመልክተናል። ELK ቁልልከዋና ዋና ምርቶች ጋር ትንሽ ተዋወቅን ፣ ከዚያ በኮርሱ ውስጥ የሎግስታሽ ማዋቀሪያ ፋይልን መፃፍ ፣ በኪባና ላይ ዳሽቦርዶችን ማዘጋጀት ፣ ከኤፒአይ ጥያቄዎች ፣ አውቶማቲክ እና ሌሎችም ጋር መተዋወቅን እናስባለን!
ስለዚህ ተከታተሉት።, , , ), .
ምንጭ: hab.com