Əvvəlki məqalələrdə biz sığın yığını və log analizatoru üçün Logstash konfiqurasiya faylının qurulması ilə bir az tanış olduq.Bu yazıda analitik nöqteyi-nəzərdən ən vacib məsələyə keçəcəyik ki, nə etmək istəyirsiniz? sistemdən və hər şeyin nə üçün yaradıldığını görün - bunlar birləşdirilmiş qrafiklər və cədvəllərdir idarə panelləri. Bu gün biz vizuallaşdırma sisteminə daha yaxından nəzər salacağıq Kibana, biz qrafiklərin və cədvəllərin necə yaradılacağını nəzərdən keçirəcəyik və nəticədə Check Point firewall-dan qeydlər əsasında sadə tablosunu quracağıq.
Kibana ilə işləməyin ilk addımı yaratmaqdır indeks nümunəsi, məntiqi olaraq, bu, müəyyən bir prinsipə uyğun olaraq birləşdirilmiş indekslərin bazasıdır. Əlbəttə ki, bu, Kibana'nın eyni anda bütün indekslər üzrə məlumatı daha rahat axtarmasını təmin edən bir parametrdir. O, sətirə uyğunlaşdırılmaqla təyin edilir, “yoxlama nöqtəsi-*” və indeksin adını söyləyin. Məsələn, “checkpoint-2019.12.05” nümunəyə uyğun gəlir, lakin sadəcə olaraq “yoxlama nöqtəsi” artıq mövcud deyil. Ayrı-ayrılıqda qeyd etmək lazımdır ki, axtarışda eyni vaxtda müxtəlif indeks nümunələri üzrə məlumat axtarmaq mümkün deyil, bir az sonra sonrakı məqalələrdə API sorğularının ya indeksin adı ilə, ya da sadəcə biri tərəfindən edildiyini görəcəyik. naxış xətti, şəkil tıklanabilir:
Bundan sonra, Discover menyusunda bütün qeydlərin indeksləşdirildiyini və düzgün təhlilçinin konfiqurasiya edildiyini yoxlayırıq. Hər hansı bir uyğunsuzluq aşkar edilərsə, məsələn, məlumat növünün sətirdən tam ədədə dəyişdirilməsi, Logstash konfiqurasiya faylını redaktə etməlisiniz, nəticədə yeni qeydlər düzgün yazılacaqdır. Dəyişiklikdən əvvəl köhnə jurnalların istədiyiniz formanı alması üçün yalnız yenidən indeksləşdirmə prosesi kömək edir, sonrakı məqalələrdə bu əməliyyat daha ətraflı müzakirə olunacaq. Hər şeyin qaydasında olduğundan əmin olaq, şəkil tıklanabilir:
Günlüklər yerindədir, bu o deməkdir ki, tablolar yaratmağa başlaya bilərik. Təhlükəsizlik məhsullarından idarə panellərinin analitikasına əsaslanaraq, siz təşkilatda informasiya təhlükəsizliyinin vəziyyətini başa düşə, mövcud siyasətdə zəiflikləri aydın görə bilərsiniz və sonradan onların aradan qaldırılması yollarını inkişaf etdirə bilərsiniz. Gəlin bir neçə vizuallaşdırma alətindən istifadə edərək kiçik tablosunu yaradaq. Panel 5 komponentdən ibarət olacaq:
- bıçaqlar üzrə logların ümumi sayını hesablamaq üçün cədvəl
- kritik IPS imzaları üzrə cədvəl
- Təhlükənin qarşısının alınması hadisələri üçün pasta diaqramı
- ən populyar ziyarət edilən saytların cədvəli
- ən təhlükəli proqramların istifadəsi üzrə diaqram
Vizual fiqurlar yaratmaq üçün menyuya getmək lazımdır görselleştirin, və qurmaq istədiyimiz rəqəmi seçin! Gəlin qaydada gedək.
Bıçaqla logların ümumi sayını hesablamaq üçün cədvəl
Bunu etmək üçün bir rəqəm seçin Məlumat Cədvəli, biz qrafiklər yaratmaq üçün avadanlıqlara düşürük, solda rəqəmin parametrləri, sağda cari parametrlərdə necə görünəcəyi. Əvvəlcə hazır cədvəlin necə görünəcəyini nümayiş etdirəcəyəm, bundan sonra parametrlərdən keçəcəyik, şəkil tıklanabilir:
Şəklin daha ətraflı parametrləri, şəkil tıklanabilir:
Parametrlərə baxaq.
Əvvəlcə konfiqurasiya edilmişdir ölçülər, bu, bütün sahələrin birləşdiriləcəyi dəyərdir. Metriklər sənədlərdən bu və ya digər şəkildə çıxarılan dəyərlər əsasında hesablanır. Dəyərlər adətən ondan çıxarılır sahələr sənəddir, lakin skriptlərdən istifadə etməklə də yaradıla bilər. Bu vəziyyətdə qoyuruq Toplama: saymaq (kütlələrin ümumi sayı).
Bundan sonra cədvəli metrikanın hesablanacağı seqmentlərə (sahələrə) bölürük. Bu funksiya, öz növbəsində 2 parametr variantından ibarət olan Buckets parametri tərəfindən yerinə yetirilir:
- sətirləri bölmək - sütunların əlavə edilməsi və sonradan cədvəlin sətirlərə bölünməsi
- bölünmüş cədvəl - müəyyən bir sahənin dəyərlərinə əsasən bir neçə cədvələ bölmə.
В kovalar bir neçə sütun və ya cədvəl yaratmaq üçün bir neçə bölmə əlavə edə bilərsiniz, buradakı məhdudiyyətlər olduqca məntiqlidir. Ümumiləşdirmə zamanı seqmentlərə bölmək üçün hansı metoddan istifadə olunacağını seçə bilərsiniz: ipv4 diapazonu, tarix diapazonu, Şərtlər və s. Ən maraqlı seçim dəqiqdir Qaydalar и Əhəmiyyətli Şərtlər, seqmentlərə bölünmə müəyyən bir indeks sahəsinin dəyərlərinə görə həyata keçirilir, aralarındakı fərq qaytarılan dəyərlərin sayında və onların göstərilməsindədir. Cədvəli bıçaqların adı ilə bölmək istədiyimiz üçün sahəni seçirik - məhsul.açar söz və ölçüsünü 25 qaytarılmış dəyərə təyin edin.
Sətirlərin əvəzinə elasticsearch 2 məlumat növündən istifadə edir - mətn и söz. Tam mətnli axtarış aparmaq istəyirsinizsə, axtarış xidmətinizi yazarkən çox rahat olan mətn növündən istifadə etməlisiniz, məsələn, müəyyən bir sahə dəyərində (mətn) sözün qeydini axtarmaq. Yalnız dəqiq uyğunluq istəyirsinizsə, açar söz növündən istifadə etməlisiniz. Həmçinin, açar söz data növü çeşidləmə və ya aqreqasiya tələb edən sahələr üçün istifadə edilməlidir, yəni bizim vəziyyətimizdə.
Nəticə olaraq, Elasticsearch məhsul sahəsindəki dəyərə uyğun olaraq müəyyən bir müddət üçün qeydlərin sayını hesablayır. Custom Label-də biz cədvəldə göstəriləcək sütunun adını təyin edirik, jurnalları toplayacağımız vaxtı təyin edirik, göstərməyə başlayırıq - Kibana elasticsearch-a sorğu göndərir, cavab gözləyir və sonra alınan məlumatları vizuallaşdırır. Masa hazırdır!
Təhlükənin qarşısının alınması hadisələri üçün pasta diaqramı
Xüsusilə faizlə reaksiyaların neçə olması barədə məlumat maraq doğurur aşkar и qarşısını almaq mövcud təhlükəsizlik siyasətində informasiya təhlükəsizliyi insidentləri haqqında. Bir pasta diaqramı bu vəziyyət üçün yaxşı işləyir. Vizuallaşdırmada seçin - Pasta sxemi. Həmçinin metrikada qeydlərin sayına görə aqreqasiya təyin edirik. Vedrələrdə Şərtlər => fəaliyyət qoyuruq.
Hər şey düzgün görünür, lakin nəticə bütün bıçaqlar üçün dəyərləri göstərir; yalnız Təhlükənin qarşısının alınması çərçivəsində işləyən bıçaqlara görə süzgəcdən keçirməlisiniz. Buna görə də biz onu mütləq qurmuşuq filtre yalnız məlumat təhlükəsizliyi insidentlərinə cavabdeh olan bıçaqlar haqqında məlumat axtarmaq üçün - məhsul: (“Anti-Bot” VEYA “Yeni Anti-Virus” VEYA “DDoS Protector” VEYA “SmartDefense” və ya “Təhlükə Emulyasiyası”). Şəkil tıklanabilir:
Və daha ətraflı parametrlər, şəkil tıklanabilir:
IPS Hadisə Cədvəli
Sonra, informasiya təhlükəsizliyi baxımından çox vacib olan şey, bıçaqdakı hadisələrə baxmaq və yoxlamaqdır. IPS и Təhdid EmulyasiyasıO blok edilmir Mövcud siyasət, sonradan qarşısını almaq üçün imzanı dəyişdirmək və ya trafik etibarlıdırsa, imzanı yoxlamayın. Cədvəli birinci misaldakı kimi yaradırıq, yeganə fərqlə ki, biz bir neçə sütun yaradırıq: qoruma.açar söz, ciddilik.açar söz, məhsul.açar söz, mənşəli ad.açar söz. Yalnız məlumat təhlükəsizliyi insidentlərinə cavabdeh olan bıçaqlar haqqında məlumat axtarmaq üçün filtr qurmağınızdan əmin olun - məhsul: (“SmartDefense” VEYA “Threat Emulation”). Şəkil tıklanabilir:
Daha ətraflı parametrlər, şəkil tıklanabilir:
Ən çox ziyarət edilən saytlar üçün qrafiklər
Bunu etmək üçün bir rəqəm yaradın - Şaquli bar. Biz həmçinin metrik olaraq count (Y oxu) istifadə edirik və X oxunda ziyarət edilən saytların adını dəyərlər kimi istifadə edəcəyik – “appi_name”. Burada bir az hiylə var: parametrləri cari versiyada işlətsəniz, bütün saytlar diaqramda eyni rənglə qeyd olunacaq, onları çox rəngli etmək üçün əlavə bir parametrdən istifadə edirik - "split seriyası", bu, əlbəttə ki, seçilmiş sahədən asılı olaraq hazır sütunu daha bir neçə dəyərə bölməyə imkan verir! Bu bölmə ya yığılmış rejimdə dəyərlərə görə bir çox rəngli sütun kimi istifadə edilə bilər, ya da X oxunda müəyyən bir dəyərə görə bir neçə sütun yaratmaq üçün normal rejimdə istifadə edilə bilər. X oxundakı ilə eyni dəyər, bu, bütün sütunları çoxrəngli etməyə imkan verir, onlar yuxarı sağda rənglərlə göstəriləcək. Biz təyin etdiyimiz filtrdə - məhsul: "URL Filtrləmə" yalnız ziyarət edilən saytlarda məlumatları görmək üçün şəkil tıklanabilir:
Ayarlar:
Ən təhlükəli proqramların istifadəsi üzrə diaqram
Bunu etmək üçün bir rəqəm yaradın - Vertical Bar. Biz həmçinin metrik olaraq count (Y oxu) istifadə edirik və X oxunda istifadə olunan proqramların adından - “appi_name” dəyərlərindən istifadə edəcəyik. Ən vacibi filtr parametridir - məhsul: “Tətbiqlərə Nəzarət” VƏ tətbiq_risk: (4 VEYA 5 VƏ YA 3 ) VƏ hərəkət: “qəbul et”. Biz yalnız Kritik, Yüksək, Orta riskli saytlar kateqoriyasına daxil olan saytları və yalnız bu saytlara girişə icazə verildiyi halda qeydləri Tətbiq nəzarət çubuğu ilə süzürük. Şəkil tıklanabilir:
Parametrlər, tıklanabilir:
İdarə paneli
Panellərə baxmaq və yaratmaq ayrıca menyu elementindədir - İdarə paneli . Burada hər şey sadədir, yeni idarə paneli yaradılır, ona vizuallaşdırma əlavə olunur, öz yerinə yerləşdirilir və budur!
Bir təşkilatda informasiya təhlükəsizliyi vəziyyətinin əsas vəziyyətini başa düşə biləcəyiniz bir tablo yaradırıq, əlbəttə ki, yalnız Check Point səviyyəsində şəkil tıklanabilir:
Bu qrafiklərə əsasən, firewallda hansı kritik imzaların bloklanmadığını, istifadəçilərin hara getdiyini və hansı ən təhlükəli proqramlardan istifadə etdiyini anlaya bilərik.
Nəticə
Biz Kibana-da əsas vizuallaşdırma imkanlarına baxdıq və tablosunu yaratdıq, lakin bu, yalnız kiçik bir hissədir. Bundan sonra kursda xəritələrin qurulması, elasticsearch sistemi ilə işləmək, API sorğuları ilə tanış olmaq, avtomatlaşdırma və daha çox şeylərə ayrıca baxacağıq!
Buna görə də izləmədə qalın (, , , ), .
Mənbə: www.habr.com