في المقالات السابقة تعرفنا قليلاً على Elk Stack وإعداد ملف التكوين Logstash لمحلل السجل، وفي هذه المقالة سننتقل إلى أهم شيء من وجهة نظر تحليلية، وهو ما تريد انظر من النظام وما تم إنشاء كل شيء من أجله - هذه عبارة عن رسوم بيانية وجداول مدمجة فيها لوحات المعلومات. اليوم سوف نلقي نظرة فاحصة على نظام التصور Kibana، سننظر في كيفية إنشاء الرسوم البيانية والجداول، ونتيجة لذلك سنقوم ببناء لوحة تحكم بسيطة تعتمد على السجلات من جدار الحماية Check Point.
الخطوة الأولى في العمل مع kibana هي الإنشاء نمط الفهرسومن المنطقي أن هذه قاعدة من المؤشرات الموحدة وفق مبدأ معين. بالطبع، هذا مجرد إعداد لجعل Kibana يبحث بشكل أكثر سهولة عن المعلومات عبر جميع الفهارس في نفس الوقت. يتم تعيينه عن طريق مطابقة سلسلة، مثل "نقطة تفتيش-*" واسم الفهرس. على سبيل المثال، قد تناسب "نقطة التفتيش-2019.12.05" هذا النمط، ولكن ببساطة "نقطة التفتيش" لم تعد موجودة. تجدر الإشارة بشكل منفصل إلى أنه في البحث، من المستحيل البحث عن معلومات حول أنماط فهرس مختلفة في نفس الوقت؛ وبعد ذلك بقليل في المقالات اللاحقة، سنرى أن طلبات واجهة برمجة التطبيقات (API) يتم إجراؤها إما عن طريق اسم الفهرس، أو عن طريق واحد فقط خط النموذج، الصورة قابلة للنقر:
بعد ذلك، نتحقق في قائمة Discover من فهرسة جميع السجلات وتكوين المحلل اللغوي الصحيح. إذا تم العثور على أي تناقضات، على سبيل المثال، تغيير نوع البيانات من سلسلة إلى عدد صحيح، فأنت بحاجة إلى تحرير ملف تكوين Logstash، ونتيجة لذلك، سيتم كتابة السجلات الجديدة بشكل صحيح. لكي تأخذ السجلات القديمة النموذج المطلوب قبل التغيير، فإن عملية إعادة الفهرسة فقط هي التي تساعد، وفي المقالات اللاحقة ستتم مناقشة هذه العملية بمزيد من التفصيل. دعونا نتأكد من أن كل شيء على ما يرام، وأن الصورة قابلة للنقر:
السجلات موجودة، مما يعني أنه يمكننا البدء في إنشاء لوحات المعلومات. استنادًا إلى تحليلات لوحات المعلومات الخاصة بمنتجات الأمان، يمكنك فهم حالة أمن المعلومات في المؤسسة، ورؤية نقاط الضعف في السياسة الحالية بوضوح، ومن ثم تطوير طرق للقضاء عليها. دعونا نبني لوحة تحكم صغيرة باستخدام العديد من أدوات التصور. ستتكون لوحة القيادة من 5 مكونات:
- جدول لحساب العدد الإجمالي للسجلات حسب الشفرات
- جدول لتوقيعات IPS الهامة
- مخطط دائري لأحداث منع التهديدات
- مخطط للمواقع الأكثر زيارة
- مخطط حول استخدام التطبيقات الأكثر خطورة
لإنشاء أرقام التصور، عليك الذهاب إلى القائمة تصور، وحدد الشكل المطلوب الذي نريد بناءه! دعنا نذهب بالترتيب.
جدول لحساب العدد الإجمالي للسجلات حسب الشفرة
للقيام بذلك، حدد الشكل بيانات الجدول، نقع في المعدات اللازمة لإنشاء الرسوم البيانية، على اليسار إعدادات الشكل، على اليمين كيف سيبدو في الإعدادات الحالية. أولاً، سأوضح كيف سيبدو الجدول النهائي، وبعد ذلك سنمر عبر الإعدادات، الصورة قابلة للنقر عليها:
إعدادات أكثر تفصيلاً للشكل، الصورة قابلة للنقر:
دعونا نلقي نظرة على الإعدادات.
تم تكوينه في البداية المقاييس، هذه هي القيمة التي سيتم من خلالها تجميع كافة الحقول. يتم حساب المقاييس بناءً على القيم المستخرجة بطريقة أو بأخرى من المستندات. عادة ما يتم استخراج القيم من من الحقول المستند، ولكن يمكن أيضًا إنشاؤه باستخدام البرامج النصية. في هذه الحالة نضع الجمع: العدد (العدد الإجمالي للسجلات).
بعد ذلك، نقوم بتقسيم الجدول إلى شرائح (حقول) سيتم من خلالها حساب المقياس. يتم تنفيذ هذه الوظيفة عن طريق إعداد الجرافات، والذي يتكون بدوره من خيارين للإعدادات:
- تقسيم الصفوف - إضافة أعمدة ثم تقسيم الجدول إلى صفوف
- جدول الانقسام - التقسيم إلى عدة جداول بناءً على قيم حقل معين.
В دلاء يمكنك إضافة عدة أقسام لإنشاء عدة أعمدة أو جداول، والقيود هنا منطقية إلى حد ما. في التجميع، يمكنك اختيار الطريقة التي سيتم استخدامها للتقسيم إلى شرائح: نطاق IPv4، والنطاق الزمني، والشروط، وما إلى ذلك. الخيار الأكثر إثارة للاهتمام هو على وجه التحديد الشروط и شروط هامةيتم التقسيم إلى أجزاء وفقًا لقيم حقل فهرس معين، والفرق بينهما يكمن في عدد القيم التي يتم إرجاعها وعرضها. وبما أننا نريد تقسيم الجدول حسب اسم الشفرات، فإننا نختار الحقل - كلمات المنتج وقم بتعيين الحجم على 25 قيمة تم إرجاعها.
بدلاً من السلاسل، يستخدم Elasticsearch نوعين من البيانات - نص и الكلمة. إذا كنت تريد إجراء بحث عن النص الكامل، فيجب عليك استخدام نوع النص، وهو أمر مناسب جدًا عند كتابة خدمة البحث الخاصة بك، على سبيل المثال، البحث عن إشارة لكلمة ما في قيمة حقل معينة (نص). إذا كنت تريد المطابقة التامة فقط، فيجب عليك استخدام نوع الكلمة الرئيسية. أيضًا، يجب استخدام نوع بيانات الكلمة الرئيسية للحقول التي تتطلب الفرز أو التجميع، وهذا هو الحال في حالتنا.
ونتيجة لذلك، تقوم Elasticsearch بحساب عدد السجلات لفترة معينة، مجمعة حسب القيمة الموجودة في حقل المنتج. في التسمية المخصصة، نقوم بتعيين اسم العمود الذي سيتم عرضه في الجدول، ونحدد الوقت الذي نجمع فيه السجلات، ونبدأ في العرض - يرسل Kibana طلبًا إلى Elasticsearch، وينتظر الرد ثم يعرض البيانات المستلمة. الطاولة جاهزة!
مخطط دائري لأحداث منع التهديدات
من المثير للاهتمام بشكل خاص المعلومات المتعلقة بعدد ردود الفعل الموجودة كنسبة مئوية بكشف أو и منع حول حوادث أمن المعلومات في السياسة الأمنية الحالية. المخطط الدائري يعمل بشكل جيد في هذه الحالة. حدد في التصور - مخطط دائري. أيضًا في المقياس قمنا بتعيين التجميع حسب عدد السجلات. في الدلاء نضع الشروط => الإجراء.
يبدو أن كل شيء صحيح، لكن النتيجة تظهر قيمًا لجميع الشفرات، ما عليك سوى التصفية حسب تلك الشفرات التي تعمل ضمن إطار منع التهديدات. ولذلك، قمنا بإعداده بالتأكيد تحديد للبحث عن المعلومات فقط على الشفرات المسؤولة عن حوادث أمن المعلومات - المنتج: ("Anti-Bot" أو "New Anti-Virus" أو "DDoS Protector" أو "SmartDefense" أو "محاكاة التهديدات"). الصورة قابلة للنقر:
والمزيد من الإعدادات التفصيلية، الصورة قابلة للنقر:
جدول أحداث IPS
بعد ذلك، من المهم جدًا من وجهة نظر أمن المعلومات عرض الأحداث على الشفرة والتحقق منها. IPS и مضاهاة التهديدأن لا يتم حظرها السياسة الحالية، من أجل تغيير التوقيع لاحقًا لمنعه، أو إذا كانت حركة المرور صالحة، فلا تتحقق من التوقيع. نقوم بإنشاء الجدول بنفس الطريقة كما في المثال الأول، مع الاختلاف الوحيد الذي نقوم به بإنشاء عدة أعمدة: Protections.keyword، خطيرة.keyword، Product.keyword، Originsicname.keyword. تأكد من إعداد عامل تصفية للبحث عن المعلومات فقط على الشفرات المسؤولة عن حوادث أمن المعلومات - المنتج: ("SmartDefense" أو "محاكاة التهديدات"). الصورة قابلة للنقر:
إعدادات أكثر تفصيلاً، الصورة قابلة للنقر:
الرسوم البيانية للمواقع الأكثر شعبية التي تمت زيارتها
للقيام بذلك، قم بإنشاء شخصية - شريط عمودي. نستخدم أيضًا العد (المحور Y) كمقياس، وعلى المحور X سنستخدم اسم المواقع التي تمت زيارتها كقيم – "appi_name". هناك خدعة صغيرة هنا: إذا قمت بتشغيل الإعدادات في الإصدار الحالي، فسيتم وضع علامة على جميع المواقع على الرسم البياني بنفس اللون، من أجل جعلها متعددة الألوان، نستخدم إعدادًا إضافيًا - "سلسلة مقسمة"، والذي يسمح لك بتقسيم العمود الجاهز إلى عدة قيم أخرى، اعتمادًا على الحقل المحدد بالطبع! يمكن استخدام هذا القسم إما كعمود واحد متعدد الألوان وفقًا للقيم في الوضع المكدس، أو في الوضع العادي لإنشاء عدة أعمدة وفقًا لقيمة معينة على المحور X. في هذه الحالة، هنا نستخدم نفس القيمة الموجودة على المحور X، وهذا يجعل من الممكن جعل جميع الأعمدة متعددة الألوان، وسيتم الإشارة إليها بالألوان في أعلى اليمين. في الفلتر قمنا بتعيين - المنتج: "تصفية URL" لرؤية المعلومات فقط على المواقع التي تمت زيارتها، تكون الصورة قابلة للنقر:
إعدادات:
رسم تخطيطي لاستخدام التطبيقات الأكثر خطورة
للقيام بذلك، قم بإنشاء شخصية - شريط عمودي. نستخدم أيضًا العدد (المحور Y) كمقياس، وعلى المحور X سنستخدم اسم التطبيقات المستخدمة - "appi_name" كقيم. الأهم هو إعداد الفلتر - المنتج: "التحكم في التطبيق" وapp_risk: (4 أو 5 أو 3) والإجراء: "قبول". نقوم بتصفية السجلات بواسطة شفرة التحكم في التطبيق، مع الأخذ فقط تلك المواقع المصنفة على أنها مواقع حرجة وعالية ومتوسطة المخاطر وفقط إذا كان الوصول إلى هذه المواقع مسموحًا به. الصورة قابلة للنقر:
الإعدادات القابلة للنقر:
لوحة القيادة
عرض وإنشاء لوحات المعلومات موجود في عنصر قائمة منفصل - لوحة المعلومات. كل شيء بسيط هنا، يتم إنشاء لوحة معلومات جديدة، ويتم إضافة التصور إليها، ووضعها في مكانها، وهذا كل شيء!
نحن نقوم بإنشاء لوحة معلومات يمكنك من خلالها فهم الوضع الأساسي لحالة أمن المعلومات في المؤسسة، بالطبع، فقط على مستوى نقطة التفتيش، تكون الصورة قابلة للنقر عليها:
بناءً على هذه الرسوم البيانية، يمكننا فهم التوقيعات المهمة التي لا يتم حظرها على جدار الحماية، والأماكن التي يذهب إليها المستخدمون، وما هي أخطر التطبيقات التي يستخدمونها.
اختتام
لقد نظرنا إلى إمكانيات التصور الأساسي في Kibana وقمنا ببناء لوحة معلومات، ولكن هذا ليس سوى جزء صغير. علاوة على ذلك، سننظر بشكل منفصل في إعداد الخرائط، والعمل مع نظام Elasticsearch، والتعرف على طلبات API، والأتمتة وغير ذلك الكثير!
ابقي على اتصال, , , ), .
المصدر: www.habr.com