Günortanız xeyir, əvvəlki yazılarımızda ELK Stack-in işi ilə tanış olmuşduq. İndi isə bu sistemlərdən istifadə zamanı informasiya təhlükəsizliyi üzrə mütəxəssisin həyata keçirə biləcəyi imkanları müzakirə edək. Elasticsearch-a hansı loglar daxil edilə bilər və daxil edilməlidir. İdarə panellərini qurmaqla hansı statistikanın əldə oluna biləcəyini və bunda hər hansı bir qazancın olub olmadığını nəzərdən keçirək. ELK yığınından istifadə edərək informasiya təhlükəsizliyi proseslərinin avtomatlaşdırılmasını necə həyata keçirə bilərsiniz. Sistemin arxitekturasını tərtib edək. Ümumilikdə, bütün funksionallığın həyata keçirilməsi çox böyük və çətin bir işdir, buna görə həllə ayrıca bir ad verildi - TS Total Sight.
Hal-hazırda, informasiya təhlükəsizliyi insidentlərini bir məntiqi yerdə birləşdirən və təhlil edən həllər sürətlə populyarlıq qazanır, nəticədə mütəxəssis statistik məlumatları və təşkilatda informasiya təhlükəsizliyinin vəziyyətini yaxşılaşdırmaq üçün fəaliyyət sərhədini alır. ELK yığınından istifadə edərkən özümüzə bu tapşırığı qoyduq və nəticədə əsas funksionallığı 4 bölməyə ayırdıq:
- Statistika və vizuallaşdırma;
- İnformasiya təhlükəsizliyi insidentlərinin aşkar edilməsi;
- Hadisələrin prioritetləşdirilməsi;
- İnformasiya təhlükəsizliyi proseslərinin avtomatlaşdırılması.
Sonra, hər birini ayrı-ayrılıqda daha ətraflı nəzərdən keçirəcəyik.
İnformasiya təhlükəsizliyi insidentlərinin aşkarlanması
Bizim vəziyyətimizdə elasticsearch-dan istifadənin əsas vəzifəsi yalnız məlumat təhlükəsizliyi insidentlərini toplamaqdır. Siz istənilən təhlükəsizlik vasitələrindən informasiya təhlükəsizliyi insidentlərini toplaya bilərsiniz, əgər onlar ən azı qeydlərin göndərilməsinin bəzi rejimlərini dəstəkləyirlərsə, standart faylda syslog və ya scp saxlanmasıdır.
Siz logların yönləndirilməsini konfiqurasiya etməlisiniz:
- İstənilən NGFW alətləri (Check Point, Fortinet);
- Hər hansı zəiflik skanerləri (PT Scanner, OpenVas);
- Veb Tətbiq Firewall (PT AF);
- şəbəkə axını analizatorları (Flowmon, Cisco StealthWatch);
- AD server.
Logstash-da qeydlərin və konfiqurasiya fayllarının göndərilməsini konfiqurasiya etdikdən sonra müxtəlif təhlükəsizlik alətlərindən gələn hadisələrlə əlaqələndirə və müqayisə edə bilərsiniz. Bunu etmək üçün, müəyyən bir cihazla əlaqəli bütün hadisələri saxlayacağımız indekslərdən istifadə etmək rahatdır. Başqa sözlə, bir indeks bir cihazda baş verən bütün hadisələrdir. Bu paylama 2 yolla həyata keçirilə bilər.
Ilk seçimi Bu, Logstash konfiqurasiyasını konfiqurasiya etmək üçündür. Bunu etmək üçün müəyyən sahələr üçün jurnalı fərqli tipli ayrı bir vahidə kopyalamalısınız. Və sonra gələcəkdə bu növü istifadə edin. Nümunədə, qeydlər Check Point firewallının IPS bıçağından klonlanır.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
Bu cür hadisələri qeyd sahələrindən asılı olaraq ayrı bir indeksdə saxlamaq üçün, məsələn, Təyinat IP hücum imzaları kimi. Bənzər bir tikinti istifadə edə bilərsiniz:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
Və bu yolla siz bütün hadisələri indeksdə saxlaya bilərsiniz, məsələn, IP ünvanı və ya maşının domen adı ilə. Bu halda onu indeksdə saxlayırıq "smartdefense-%{dst}", imza təyinatının IP ünvanı ilə.
Bununla belə, müxtəlif məhsullarda fərqli log sahələri olacaq ki, bu da xaosa və lazımsız yaddaş istehlakına səbəb olacaq. Və burada ya Logstash konfiqurasiya parametrlərindəki sahələri əvvəlcədən hazırlanmışlarla diqqətlə əvəz etməli olacaqsınız, bu da bütün növ hadisələr üçün eyni olacaq, bu da çətin bir işdir.
İkinci icra variantı - bu, real vaxt rejimində elastik verilənlər bazasına daxil olacaq, lazımi hadisələri çıxaracaq və onları yeni bir indeksdə saxlayacaq bir skript və ya proses yazmaqdır, bu çətin bir işdir, lakin loglarla istədiyiniz kimi işləməyə imkan verir, və digər təhlükəsizlik avadanlıqlarından gələn hadisələrlə birbaşa əlaqə saxlayın. Bu seçim, loglarla işi işiniz üçün maksimum rahatlıqla ən faydalı olacaq şəkildə konfiqurasiya etməyə imkan verir, lakin burada problem bunu həyata keçirə biləcək bir mütəxəssis tapmaqda yaranır.
Və əlbəttə ki, ən vacib sual, və nəyi əlaqələndirmək və aşkar etmək olar??
Burada bir neçə variant ola bilər və bu, infrastrukturunuzda hansı təhlükəsizlik vasitələrindən istifadə olunduğundan asılıdır, bir neçə misal:
- NGFW həlli və zəiflik skaneri olanlar üçün ən bariz və mənim fikrimcə ən maraqlı seçimdir. Bu, IPS qeydləri və zəifliyin skan nəticələrinin müqayisəsidir. Hücum IPS sistemi tərəfindən aşkar edilibsə (blok edilməyibsə) və bu boşluq skan nəticələrinə əsasən son maşında bağlanmayıbsa, zəiflikdən istifadə olunma ehtimalı yüksək olduğundan fit çalmaq lazımdır. .
- Bir maşından müxtəlif yerlərə çoxsaylı giriş cəhdləri zərərli fəaliyyəti simvollaşdıra bilər.
- Çox sayda potensial təhlükəli saytları ziyarət etdiyinə görə istifadəçi virus fayllarını yükləyir.
Statistika və vizuallaşdırma
ELK Stack-ə ehtiyac duyulan ən açıq və başa düşülən şey qeydlərin saxlanması və vizuallaşdırılmasıdır, Logstash istifadə edərək müxtəlif cihazlardan logları necə yarada biləcəyiniz göstərildi. Qeydlər Elasticsearch-ə keçdikdən sonra siz də qeyd olunan panelləri qura bilərsiniz , vizuallaşdırma vasitəsilə sizə lazım olan məlumat və statistika ilə.
Nümunələr:
- Ən kritik hadisələrlə Təhlükənin qarşısının alınması hadisələri üçün idarə paneli. Burada hansı IPS imzalarının aşkar edildiyini və coğrafi olaraq haradan gəldiyini əks etdirə bilərsiniz.
- Məlumat sızdırıla bilən ən kritik tətbiqlərin istifadəsi üzrə idarə paneli.
- İstənilən təhlükəsizlik skanerindən nəticələri skan edin.
- İstifadəçi tərəfindən Active Directory-dən qeydlər.
- VPN əlaqə tablosu.
Bu halda, əgər siz tablosunu bir neçə saniyədən bir yeniləmək üçün konfiqurasiya etsəniz, hadisələrin real vaxt rejimində monitorinqi üçün kifayət qədər rahat sistem əldə edə bilərsiniz, bundan sonra panelləri ayrıca bir yerə yerləşdirsəniz, informasiya təhlükəsizliyi insidentlərinə ən sürətli reaksiya üçün istifadə edilə bilər. ekran.
Hadisənin prioritetləşdirilməsi
Böyük infrastruktur şəraitində insidentlərin sayı miqyasdan aşağı düşə bilər və mütəxəssislərin bütün hadisələrlə vaxtında məşğul olmağa vaxtı olmayacaq. Bu halda, ilk növbədə, yalnız böyük təhlükə yaradan hadisələri qeyd etmək lazımdır. Buna görə də, sistem infrastrukturunuzla əlaqədar olaraq insidentləri onların şiddətinə əsasən prioritetləşdirməlidir. Bu hadisələr üçün e-poçt və ya teleqram xəbərdarlığı qurmaq məsləhətdir. Prioritetləşdirmə vizuallaşdırmanı qurmaqla standart Kibana alətlərindən istifadə etməklə həyata keçirilə bilər. Ancaq bildirişlərlə bu daha çətindir; standart olaraq, bu funksionallıq Elasticsearch-in əsas versiyasına daxil edilmir, yalnız pullu versiyada. Buna görə də, ya pullu versiyanı satın alın, ya da yenidən e-poçt və ya teleqram vasitəsilə mütəxəssisləri real vaxtda xəbərdar edəcək bir proses yazın.
İnformasiya təhlükəsizliyi proseslərinin avtomatlaşdırılması
Ən maraqlı hissələrdən biri də informasiya təhlükəsizliyi insidentləri üçün tədbirlərin avtomatlaşdırılmasıdır. Əvvəllər biz bu funksiyanı Splunk üçün tətbiq etmişdik, burada bir az daha çox oxuya bilərsiniz . Əsas ideya ondan ibarətdir ki, IPS siyasəti heç vaxt sınaqdan keçirilmir və optimallaşdırılmır, baxmayaraq ki, bəzi hallarda bu, informasiya təhlükəsizliyi proseslərinin mühüm hissəsidir. Məsələn, NGFW-nin həyata keçirilməsindən və IPS-ni optimallaşdırmaq üçün tədbirlərin olmamasından bir il sonra siz Detect hərəkəti ilə çox sayda imza toplayacaqsınız, bloklanmayacaq, bu da təşkilatda informasiya təhlükəsizliyinin vəziyyətini xeyli azaldır. Aşağıda avtomatlaşdırıla bilən bəzi nümunələr verilmişdir:
- IPS imzasının Algıla-dan Qarşısının alınmasına ötürülməsi. Əgər Prevent kritik imzalar üçün işləmirsə, bu, sıradan çıxıb və mühafizə sistemində ciddi boşluqdur. Siyasətdəki hərəkəti belə imzalara dəyişdiririk. Bu funksiya NGFW cihazının REST API funksionallığına malik olduğu halda həyata keçirilə bilər. Bu, yalnız proqramlaşdırma bacarıqlarınız olduqda mümkündür; Elastcisearch-dən lazımi məlumatları çıxarmalı və NGFW idarəetmə serverinə API sorğuları göndərməlisiniz.
- Bir IP ünvanından şəbəkə trafikində birdən çox imza aşkar edilibsə və ya bloklanıbsa, o zaman bu IP ünvanını Firewall siyasətində bir müddət bloklamaq mənasızdır. Tətbiq həm də REST API-dən istifadə etməkdən ibarətdir.
- Zəiflik skaneri ilə host skanını həyata keçirin, əgər bu hostun çoxlu sayda IPS imzası və ya digər təhlükəsizlik alətləri varsa; əgər bu OpenVasdırsa, onda siz ssh vasitəsilə təhlükəsizlik skanerinə qoşulacaq skript yaza və skan edə bilərsiniz.
TS Total Sight
Ümumilikdə, bütün funksionallığın həyata keçirilməsi çox böyük və çətin bir işdir. Proqramlaşdırma bacarıqlarına malik olmadan, istehsalda istifadə üçün kifayət edə biləcək minimum funksionallığı konfiqurasiya edə bilərsiniz. Ancaq bütün funksionallıqla maraqlanırsınızsa, TS Total Sight-a diqqət yetirə bilərsiniz. Ətraflı məlumatı səhifəmizdə tapa bilərsiniz . Nəticədə, bütün əməliyyat sxemi və arxitekturası belə görünəcək:
Nəticə
ELK Stack-dən istifadə edərək nələrin həyata keçirilə biləcəyinə baxdıq. Sonrakı məqalələrdə TS Total Sight-ın funksionallığını daha ətraflı nəzərdən keçirəcəyik!
Buna görə də izləmədə qalın (, , , ), .
Mənbə: www.habr.com