ProHoster > Блог > Pagdumala > 3. Elastic stack: pagtuki sa security logs. Mga dashboard

3. Elastic stack: pagtuki sa security logs. Mga dashboard

3. Elastic stack: pagtuki sa security logs. Mga dashboard

Sa nangaging mga artikulo, medyo nasinati namo ang elk stack ug nag-set up sa Logstash configuration file para sa log parser.Niining artikuloha, mopadayon kami sa pinakaimportante nga butang gikan sa analytical nga punto sa panglantaw, unsay gusto nimo tan-awa gikan sa sistema ug alang sa unsa ang tanan gibuhat - kini mga graph ug mga lamesa nga gihiusa mga dashboard. Karon atong tan-awon pag-ayo ang visualization system Kibana, atong tan-awon kon unsaon paghimo og mga graph ug mga lamesa, ug isip resulta magtukod kita og usa ka yano nga dashboard base sa mga troso gikan sa Check Point firewall.

Ang unang lakang sa pagtrabaho uban sa kibana mao ang paghimo sumbanan sa indeks, lohikal, kini usa ka sukaranan sa mga indeks nga gihiusa sumala sa usa ka piho nga prinsipyo. Siyempre, kini usa ra ka kahimtang aron mahimo ang Kibana nga labi ka dali nga pagpangita alang sa kasayuran sa tanan nga mga indeks sa parehas nga oras. Gitakda kini pinaagi sa pagpares sa usa ka pisi, isulti ang "checkpoint-*" ug ang ngalan sa indeks. Pananglitan, ang "checkpoint-2019.12.05" mohaum sa pattern, apan yano nga "checkpoint" wala na. Angayan nga hisgutan nga gilain nga sa pagpangita imposible nga makapangita alang sa kasayuran sa lainlaing mga pattern sa indeks sa parehas nga oras; sa ulahi sa sunod nga mga artikulo atong makita nga ang mga hangyo sa API gihimo pinaagi sa ngalan sa indeks, o sa usa lang. linya sa sumbanan, ang hulagway ma-click:

3. Elastic stack: pagtuki sa security logs. Mga dashboard

Pagkahuman niini, among susihon sa menu sa Discover nga ang tanan nga mga troso gi-index ug ang husto nga parser gi-configure. Kung makit-an ang bisan unsang mga panagsumpaki, pananglitan, ang pagbag-o sa tipo sa datos gikan sa usa ka hilo ngadto sa usa ka integer, kinahanglan nimo nga i-edit ang file sa pag-configure sa Logstash, ingon usa ka sangputanan, ang mga bag-ong log isulat sa husto. Aron ang daan nga mga troso makakuha sa gitinguha nga porma sa wala pa ang pagbag-o, ang proseso sa pag-reindex lamang ang makatabang; sa sunod nga mga artikulo kini nga operasyon hisgutan sa mas detalyado. Atong siguroon nga ang tanan naa sa kahusay, ang hulagway ma-click:

3. Elastic stack: pagtuki sa security logs. Mga dashboard

Ang mga troso naa sa lugar, nga nagpasabut nga mahimo naton magsugod sa paghimo og mga dashboard. Base sa analitika sa mga dashboard gikan sa mga produkto sa seguridad, masabtan nimo ang kahimtang sa kasiguruhan sa impormasyon sa usa ka organisasyon, tin-aw nga makita ang mga kahuyangan sa kasamtangang polisiya, ug pagkahuman makahimo ka og mga paagi sa pagwagtang niini. Magbuhat ta og gamay nga dashboard gamit ang daghang mga gamit sa visualization. Ang dashboard naglangkob sa 5 nga mga sangkap:

  1. lamesa alang sa pagkalkulo sa kinatibuk-ang gidaghanon sa mga troso pinaagi sa mga blades
  2. lamesa sa kritikal nga mga pirma sa IPS
  3. tsart sa pie para sa mga panghitabo sa Paglikay sa Panghulga
  4. tsart sa labing inila nga gibisita nga mga site
  5. tsart sa paggamit sa labing peligroso nga mga aplikasyon

Aron makahimo og mga numero sa visualization, kinahanglan ka nga moadto sa menu Handurawa, ug pilia ang gitinguha nga numero nga gusto namong tukuron! Magsunod-sunod ta.

Talaan alang sa pagkalkulo sa kinatibuk-ang gidaghanon sa mga troso pinaagi sa blade

Aron mahimo kini, pagpili og usa ka numero Talaan nga Data, nahulog kami sa mga ekipo alang sa paghimo og mga graph, sa wala ang mga setting sa numero, sa tuo mao ang kung unsa ang hitsura niini sa mga setting karon. Una, akong ipakita kung unsa ang hitsura sa nahuman nga lamesa, pagkahuman kita moagi sa mga setting, ang litrato ma-click:

3. Elastic stack: pagtuki sa security logs. Mga dashboard

Ang mas detalyado nga mga setting sa numero, ang hulagway ma-click:

3. Elastic stack: pagtuki sa security logs. Mga dashboard

Atong tan-awon ang mga setting.

Sa sinugdan gi-configure metrics, mao kini ang bili diin ang tanan nga mga natad mahimong aggregate. Ang mga sukatan gikalkula base sa mga kantidad nga nakuha sa usa ka paagi o lain gikan sa mga dokumento. Ang mga kantidad kasagarang gikuha gikan sa sa mga kaumahan dokumento, apan mahimo usab nga mamugna gamit ang mga script. Sa niini nga kaso atong gibutang sa Aggregation: Ihap (kinatibuk-ang gidaghanon sa mga troso).

Pagkahuman niini, among bahinon ang lamesa sa mga bahin (mga natad) diin ang metric makalkulo. Kini nga function gihimo sa mga balde nga setting, nga sa baylo naglangkob sa 2 nga mga kapilian sa setting:

  1. gibahin nga mga laray - pagdugang mga kolum ug pagkahuman gibahin ang lamesa sa mga laray
  2. split table - pagbahin sa daghang mga lamesa base sa mga kantidad sa usa ka piho nga uma.

В Balde mahimo nimong idugang ang daghang mga dibisyon aron makahimo daghang mga kolum o lamesa, ang mga pagdili dinhi labi ka makatarunganon. Sa aggregation, makapili ka kung unsang paagiha ang gamiton sa pagbahin sa mga bahin: ipv4 range, date range, Terms, etc. Ang labing makapaikag nga pagpili mao ang tukma Termino и Importante nga mga Termino, ang pagbahinbahin sa mga bahin gihimo sumala sa mga kantidad sa usa ka piho nga natad sa indeks, ang kalainan tali kanila naa sa gidaghanon sa gibalik nga mga kantidad, ug ang ilang pagpakita. Tungod kay gusto namon bahinon ang lamesa sa ngalan sa mga blades, gipili namon ang uma - produkto.keyword ug itakda ang gidak-on sa 25 nga gibalik nga mga kantidad.

Imbis nga mga string, ang elasticsearch naggamit sa 2 nga tipo sa datos - teksto и keyword. Kung gusto nimo nga maghimo usa ka bug-os nga pagpangita sa teksto, kinahanglan nimo gamiton ang tipo sa teksto, usa ka kombenyente kaayo nga butang kung isulat ang imong serbisyo sa pagpangita, pananglitan, nangita usa ka paghisgot sa usa ka pulong sa usa ka piho nga kantidad sa uma (teksto). Kung gusto lang nimo ang eksaktong tugma, kinahanglan nimo gamiton ang tipo sa keyword. Usab, ang tipo sa datos sa keyword kinahanglan gamiton alang sa mga natad nga nanginahanglan paghan-ay o panagsama, kana, sa among kaso.

Ingon usa ka sangputanan, ang Elasticsearch nag-ihap sa gidaghanon sa mga troso alang sa usa ka piho nga oras, nga giipon sa kantidad sa natad sa produkto. Sa Custom Label, gibutang namon ang ngalan sa kolum nga ipakita sa lamesa, gitakda ang oras kung diin among gikolekta ang mga troso, pagsugod sa paghubad - Nagpadala si Kibana og hangyo sa elasticsearch, naghulat alang sa tubag ug dayon makita ang nadawat nga datos. Andam na ang lamesa!

Pie nga tsart para sa mga panghitabo sa Paglikay sa Panghulga

Ang partikular nga interes mao ang impormasyon bahin sa kung pila ang mga reaksyon nga adunay usa ka porsyento makita и pagpugong sa mga insidente sa seguridad sa impormasyon sa kasamtangang polisiya sa seguridad. Ang usa ka pie chart maayo alang niini nga sitwasyon. Pagpili sa Visualize - Tsart sa pie. Usab sa metric atong gibutang ang aggregation pinaagi sa gidaghanon sa mga troso. Sa mga balde atong ibutang ang Mga Termino => aksyon.

Ang tanan ingon og tama, apan ang resulta nagpakita sa mga kantidad alang sa tanan nga mga blades; kinahanglan nimo nga i-filter lamang ang mga blades nga nagtrabaho sulod sa balangkas sa Threat Prevention. Busa, gipahimutang gyud namo kini strainer aron makapangita ug impormasyon lamang sa mga blades nga responsable sa mga insidente sa seguridad sa impormasyon - produkto: (“Anti-Bot” O “Bag-ong Anti-Virus” O “DDoS Protector” O “SmartDefense” O “Threat Emulation”). Ang hulagway ma-click:

3. Elastic stack: pagtuki sa security logs. Mga dashboard

Ug mas detalyado nga mga setting, ang hulagway ma-click:

3. Elastic stack: pagtuki sa security logs. Mga dashboard

Talaan sa Panghitabo sa IPS

Sunod, importante kaayo gikan sa punto sa panglantaw sa seguridad sa impormasyon mao ang pagtan-aw ug pagsusi sa mga panghitabo sa blade. IPS и Pagsundog sa Panghulga, которые dili gibabagan kasamtangan nga palisiya, aron sa sunod nga pagbag-o sa pirma aron mapugngan, o kung ang trapiko balido, ayaw pagsusi sa pirma. Gihimo namo ang lamesa sa samang paagi sama sa una nga pananglitan, nga ang bugtong kalainan nga naghimo kami og daghang mga kolum: protections.keyword, severity.keyword, product.keyword, originsicname.keyword. Siguruha nga magbutang usa ka filter aron makapangita sa kasayuran lamang sa mga blades nga responsable sa mga insidente sa seguridad sa impormasyon - produkto: ("SmartDefense" O "Threat Emulation"). Ang hulagway ma-click:

3. Elastic stack: pagtuki sa security logs. Mga dashboard

Mas detalyado nga mga setting, ang litrato ma-click:

3. Elastic stack: pagtuki sa security logs. Mga dashboard

Mga tsart alang sa labing inila nga gibisita nga mga site

Aron mahimo kini, paghimo usa ka numero - Bertikal nga Bar. Gigamit usab namo ang ihap (Y axis) isip metric, ug sa X axis among gamiton ang ngalan sa gibisita nga mga site isip mga bili - "appi_name". Adunay gamay nga limbong dinhi: kung gipadagan nimo ang mga setting sa karon nga bersyon, nan ang tanan nga mga site markahan sa tsart nga parehas nga kolor, aron mahimo silang daghang kolor gigamit namon ang usa ka dugang nga setting - "split series", nga nagtugot kanimo sa pagbahin sa usa ka andam nga hinimo nga kolum sa daghang mga kantidad, depende sa napili nga natad siyempre! Kini nga dibisyon mahimo’g magamit ingon usa ka daghang kolor nga kolum sumala sa mga kantidad sa stacked mode, o sa normal nga mode aron makahimo daghang mga kolum sumala sa usa ka piho nga kantidad sa X axis. Sa kini nga kaso, gigamit namon ang parehas nga kantidad sa X axis, kini nagpaposible sa paghimo sa tanan nga mga kolum nga multi-kolor; kini ipakita sa mga kolor sa tuo nga tuo. Sa filter nga among gitakda - produkto: "Pagsala sa URL" aron makita lang ang impormasyon sa gibisita nga mga site, ang hulagway ma-click:

3. Elastic stack: pagtuki sa security logs. Mga dashboard

Mga setting:

3. Elastic stack: pagtuki sa security logs. Mga dashboard

Diagram sa paggamit sa labing delikado nga mga aplikasyon

Aron mahimo kini, paghimo usa ka numero - Vertical Bar. Gigamit usab namo ang ihap (Y axis) isip metric, ug sa X axis among gamiton ang ngalan sa mga aplikasyon nga gigamit - "appi_name" isip mga kantidad. Ang labing importante mao ang filter setting - produkto: "Application Control" UG app_risk: (4 O 5 O 3 ) UG aksyon: "dawat". Among gisala ang mga log pinaagi sa Application control blade, nga gikuha lamang ang mga site nga gi-categorize isip mga site nga adunay usa ka Kritikal, Taas, Medium nga risgo, ug kung gitugotan lamang ang pag-access niini nga mga site. Ang hulagway ma-click:

3. Elastic stack: pagtuki sa security logs. Mga dashboard

Mga setting, ma-click:

3. Elastic stack: pagtuki sa security logs. Mga dashboard

Dashboard

Ang pagtan-aw ug paghimo og mga dashboard naa sa bulag nga menu item - dashboard. Ang tanan yano dinhi, usa ka bag-ong dashboard ang gihimo, ang visualization gidugang niini, gibutang sa iyang lugar ug mao kana!

Naghimo kami usa ka dashboard diin masabtan nimo ang sukaranan nga kahimtang sa kahimtang sa seguridad sa kasayuran sa usa ka organisasyon, siyempre, sa lebel sa Check Point, ang litrato ma-click:

3. Elastic stack: pagtuki sa security logs. Mga dashboard

Base sa kini nga mga graph, atong masabtan kung unsang mga kritikal nga pirma ang wala gibabagan sa firewall, kung diin moadto ang mga tiggamit, ug kung unsa ang labing peligro nga mga aplikasyon nga ilang gigamit.

konklusyon

Among gitan-aw ang mga kapabilidad sa batakang paghanduraw sa Kibana ug nagtukod ug dashboard, apan kini gamay ra nga bahin. Dugang pa sa kurso nga gilain namon nga tan-awon ang pag-set up sa mga mapa, pagtrabaho kauban ang elasticsearch system, pag-ila sa mga hangyo sa API, automation ug daghan pa!

Busa padayon nga tutok (telegrama, Facebook, VK, TS Solution Blog), Yandex.Zen.

Source: www.habr.com

Idugang sa usa ka comment