مساء الخير، تعرفنا في المقالات السابقة على عمل ELK Stack. والآن دعونا نناقش الإمكانيات التي يمكن أن يحققها متخصص أمن المعلومات في استخدام هذه الأنظمة. ما هي السجلات التي يمكن ويجب إدخالها في Elasticsearch. دعونا نفكر في الإحصائيات التي يمكن الحصول عليها من خلال إعداد لوحات المعلومات وما إذا كان هناك أي ربح في هذا. كيف يمكنك تنفيذ أتمتة عمليات أمن المعلومات باستخدام مكدس ELK. دعونا نرسم بنية النظام. في المجموع، يعد تنفيذ جميع الوظائف مهمة كبيرة وصعبة للغاية، لذلك تم إعطاء الحل اسمًا منفصلاً - TS Total Sight.
في الوقت الحالي، تكتسب الحلول التي تعمل على دمج وتحليل حوادث أمن المعلومات في مكان منطقي واحد شعبية سريعة، ونتيجة لذلك، يتلقى المتخصص إحصائيات وحدود عمل لتحسين حالة أمن المعلومات في المنظمة. لقد حددنا لأنفسنا هذه المهمة باستخدام مكدس ELK، ونتيجة لذلك قمنا بتقسيم الوظيفة الرئيسية إلى 4 أقسام:
- الإحصائيات والتصور.
- الكشف عن حوادث أمن المعلومات.
- تحديد أولويات الحوادث؛
- أتمتة عمليات أمن المعلومات.
وبعد ذلك، سوف نلقي نظرة فاحصة على كل منها على حدة.
الكشف عن حوادث أمن المعلومات
المهمة الرئيسية لاستخدام Elasticsearch في حالتنا هي جمع حوادث أمن المعلومات فقط. يمكنك جمع حوادث أمن المعلومات من أي وسيلة أمنية إذا كانت تدعم على الأقل بعض أوضاع إرسال السجلات، والمعيار هو سجل النظام أو حفظ scp في ملف.
يمكنك تقديم أمثلة قياسية لأدوات الأمان والمزيد، حيث يجب عليك تكوين إعادة توجيه السجلات:
- أي أدوات NGFW (Check Point، Fortinet)؛
- أي ماسحات ضوئية للثغرات الأمنية (PT Scanner، OpenVas)؛
- جدار حماية تطبيقات الويب (PT AF)؛
- محللات netflow (Flowmon، Cisco StealthWatch)؛
- خادم إعلان.
بمجرد قيامك بتكوين إرسال السجلات وملفات التكوين في Logstash، يمكنك ربط ومقارنة الحوادث القادمة من أدوات الأمان المختلفة. للقيام بذلك، من الملائم استخدام الفهارس التي سنقوم فيها بتخزين جميع الحوادث المتعلقة بجهاز معين. وبعبارة أخرى، فهرس واحد هو كل الحوادث لجهاز واحد. يمكن تنفيذ هذا التوزيع بطريقتين.
الخيار الأول هذا لتكوين تكوين Logstash. للقيام بذلك، تحتاج إلى تكرار السجل لحقول معينة في وحدة منفصلة بنوع مختلف. ثم استخدم هذا النوع في المستقبل. في المثال، يتم استنساخ السجلات من النصل IPS لجدار الحماية Check Point.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
من أجل حفظ مثل هذه الأحداث في فهرس منفصل اعتمادًا على حقول السجل، على سبيل المثال، مثل توقيعات هجوم Destination IP. يمكنك استخدام بناء مماثل:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
وبهذه الطريقة، يمكنك حفظ جميع الأحداث في فهرس، على سبيل المثال، عن طريق عنوان IP، أو عن طريق اسم المجال الخاص بالجهاز. في هذه الحالة، نقوم بحفظه في الفهرس "smartdefense-%{dst}"، عن طريق عنوان IP لوجهة التوقيع.
ومع ذلك، ستحتوي المنتجات المختلفة على حقول سجل مختلفة، مما سيؤدي إلى حدوث فوضى واستهلاك غير ضروري للذاكرة. وهنا سيتعين عليك إما استبدال الحقول الموجودة في إعدادات تكوين Logstash بعناية بأخرى مصممة مسبقًا، والتي ستكون هي نفسها لجميع أنواع الحوادث، وهي أيضًا مهمة صعبة.
خيار التنفيذ الثاني - هذا هو كتابة برنامج نصي أو عملية من شأنها الوصول إلى قاعدة البيانات المرنة في الوقت الحقيقي، وسحب الأحداث الضرورية، وحفظها في فهرس جديد، وهذه مهمة صعبة، ولكنها تسمح لك بالعمل مع السجلات كما يحلو لك، وترتبط مباشرة بالحوادث الصادرة عن المعدات الأمنية الأخرى. يتيح لك هذا الخيار تكوين العمل باستخدام السجلات ليكون مفيدًا للغاية لحالتك بأقصى قدر من المرونة، ولكن هنا تنشأ المشكلة في العثور على متخصص يمكنه تنفيذ ذلك.
وطبعا السؤال الأهم وما الذي يمكن ربطه والكشف عنه؟?
قد يكون هناك عدة خيارات هنا، ويعتمد ذلك على أدوات الأمان المستخدمة في البنية التحتية لديك، إليك بعض الأمثلة:
- الخيار الأكثر وضوحًا، ومن وجهة نظري، الخيار الأكثر إثارة للاهتمام لأولئك الذين لديهم حل NGFW وماسح ضوئي للثغرات الأمنية. هذه مقارنة بين سجلات IPS ونتائج فحص الثغرات الأمنية. إذا تم اكتشاف هجوم (لم يتم حظره) بواسطة نظام IPS، ولم يتم إغلاق هذه الثغرة الأمنية على الجهاز النهائي بناءً على نتائج المسح، فمن الضروري إطلاق الصافرة، نظرًا لوجود احتمال كبير باستغلال الثغرة الأمنية .
- قد ترمز العديد من محاولات تسجيل الدخول من جهاز واحد إلى أماكن مختلفة إلى نشاط ضار.
- يقوم المستخدم بتنزيل ملفات الفيروسات بسبب زيارة عدد كبير من المواقع التي يحتمل أن تكون خطرة.
الإحصائيات والتصور
الشيء الأكثر وضوحًا وفهمًا الذي يحتاج إليه ELK Stack هو تخزين السجلات وتصورها،
الأمثلة على ذلك:
- لوحة معلومات لأحداث منع التهديدات مع الأحداث الأكثر أهمية. يمكنك هنا تحديد توقيعات IPS التي تم اكتشافها ومن أين أتت جغرافيًا.
- لوحة معلومات حول استخدام التطبيقات الأكثر أهمية والتي يمكن تسريب المعلومات عنها.
- نتائج المسح من أي ماسح ضوئي أمني.
- سجلات من Active Directory من قبل المستخدم.
- لوحة تحكم اتصال VPN.
في هذه الحالة، إذا قمت بتكوين لوحات المعلومات للتحديث كل بضع ثوانٍ، فيمكنك الحصول على نظام مناسب إلى حد ما لمراقبة الأحداث في الوقت الفعلي، والذي يمكن استخدامه بعد ذلك للاستجابة لحوادث أمن المعلومات في أسرع وقت ممكن إذا قمت بوضع لوحات المعلومات على شاشة منفصلة.
تحديد أولويات الحوادث
في ظروف البنية التحتية الكبيرة، قد يتجاوز عدد الحوادث النطاق، ولن يكون لدى المتخصصين الوقت الكافي للتعامل مع جميع الحوادث في الوقت المناسب. في هذه الحالة، من الضروري، أولا وقبل كل شيء، تسليط الضوء فقط على تلك الحوادث التي تشكل تهديدا كبيرا. ولذلك، يجب على النظام تحديد أولويات الحوادث بناءً على خطورتها فيما يتعلق بالبنية الأساسية لديك. يُنصح بإعداد بريد إلكتروني أو تنبيه برقية لهذه الأحداث. يمكن تنفيذ تحديد الأولويات باستخدام أدوات Kibana القياسية من خلال إعداد التصور. ولكن مع الإشعارات يكون الأمر أكثر صعوبة؛ بشكل افتراضي، لا يتم تضمين هذه الوظيفة في الإصدار الأساسي من Elasticsearch، فقط في الإصدار المدفوع. لذلك، إما شراء نسخة مدفوعة، أو كتابة عملية بنفسك، والتي سيتم إخطار المتخصصين في الوقت الفعلي عن طريق البريد الإلكتروني أو البرق.
أتمتة عمليات أمن المعلومات
وأحد الأجزاء الأكثر إثارة للاهتمام هو أتمتة الإجراءات الخاصة بحوادث أمن المعلومات. لقد قمنا سابقًا بتنفيذ هذه الوظيفة لـ Splunk، يمكنك قراءة المزيد في هذا
- نقل توقيع IPS من الكشف إلى المنع. إذا لم يعمل برنامج "المنع" مع التوقيعات المهمة، فهذا يعد خللًا وفجوة خطيرة في نظام الحماية. نقوم بتغيير الإجراء في السياسة إلى مثل هذه التوقيعات. يمكن تنفيذ هذه الوظيفة إذا كان جهاز NGFW مزودًا بوظيفة REST API. هذا ممكن فقط إذا كانت لديك مهارات البرمجة، فأنت بحاجة إلى استخراج المعلومات الضرورية من Elastcisearch وتقديم طلبات API إلى خادم إدارة NGFW.
- إذا تم اكتشاف توقيعات متعددة أو حظرها في حركة مرور الشبكة من عنوان IP واحد، فمن المنطقي حظر عنوان IP هذا لفترة من الوقت في سياسة جدار الحماية. يتكون التنفيذ أيضًا من استخدام REST API.
- قم بإجراء فحص المضيف باستخدام ماسح الثغرات الأمنية، إذا كان هذا المضيف لديه عدد كبير من توقيعات IPS أو أدوات الأمان الأخرى؛ إذا كان OpenVas، فيمكنك كتابة برنامج نصي يتصل عبر ssh بفحص الأمان وبدء المسح.
TS إجمالي البصر
في المجموع، يعد تنفيذ جميع الوظائف مهمة كبيرة وصعبة للغاية. بدون مهارات البرمجة، يمكنك تكوين الحد الأدنى من الوظائف، والتي قد تكون كافية للاستخدام في الإنتاج. ولكن إذا كنت مهتمًا بجميع الوظائف، فيمكنك الانتباه إلى TS Total Sight. يمكنك العثور على مزيد من التفاصيل على موقعنا
اختتام
لقد نظرنا إلى ما يمكن تنفيذه باستخدام ELK Stack. في المقالات اللاحقة، سننظر بشكل منفصل في وظيفة TS Total Sight بمزيد من التفاصيل!
ابقي على اتصال
المصدر: www.habr.com