ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > TS Total nga Panan-aw. Koleksyon sa Hitabo, Pagtuki sa Insidente, ug Himan sa Automation sa Tubag sa Paghulga

TS Total nga Panan-aw. Koleksyon sa Hitabo, Pagtuki sa Insidente, ug Himan sa Automation sa Tubag sa Paghulga

TS Total nga Panan-aw. Koleksyon sa Hitabo, Pagtuki sa Insidente, ug Himan sa Automation sa Tubag sa Paghulga

Maayong hapon, sa miaging mga artikulo nahibal-an namon ang buhat sa ELK Stack. Karon atong hisgutan ang mga posibilidad nga matuman sa usa ka espesyalista sa seguridad sa impormasyon sa paggamit niini nga mga sistema. Unsa nga mga troso ang mahimo ug kinahanglan nga ibutang sa elasticsearch. Atong tagdon kung unsa nga mga estadistika ang makuha pinaagi sa pag-set up sa mga dashboard ug kung adunay ganansya niini. Giunsa nimo pagpatuman ang automation sa mga proseso sa seguridad sa impormasyon gamit ang ELK stack. Himoon nato ang arkitektura sa sistema. Sa kinatibuk-an, ang pagpatuman sa tanan nga pag-andar usa ka dako ug lisud nga buluhaton, mao nga ang solusyon gihatagan usa ka lahi nga ngalan - TS Total Sight.

Sa pagkakaron, ang mga solusyon nga nagkonsolida ug nag-analisa sa mga insidente sa seguridad sa impormasyon sa usa ka lohikal nga dapit paspas nga nahimong popular, isip resulta, ang espesyalista nakadawat og mga estadistika ug usa ka utlanan sa aksyon aron mapaayo ang kahimtang sa seguridad sa impormasyon sa organisasyon. Gipahimutang namo ang among kaugalingon niini nga buluhaton sa paggamit sa ELK stack, ug isip resulta among gibahin ang nag-unang gamit ngadto sa 4 nga mga seksyon:

  1. Estadistika ug visualization;
  2. Pagsusi sa mga insidente sa seguridad sa impormasyon;
  3. Pag-una sa insidente;
  4. Automation sa mga proseso sa seguridad sa impormasyon.

Sunod, atong susihon pag-ayo ang matag usa.

Pagsusi sa mga insidente sa seguridad sa impormasyon

Ang nag-unang tahas sa paggamit sa elasticsearch sa among kaso mao ang pagkolekta lamang sa mga insidente sa seguridad sa impormasyon. Mahimo nimong kolektahon ang mga insidente sa seguridad sa kasayuran gikan sa bisan unsang paagi sa seguridad kung gisuportahan nila ang labing menos pipila nga mga paagi sa pagpadala mga log, ang sukaranan mao ang syslog o scp nga nagtipig sa usa ka file.

Makahatag ka ug standard nga mga pananglitan sa mga himan sa seguridad ug daghan pa, gikan diin kinahanglan nimo nga i-configure ang pagpasa sa mga troso:

  1. Bisan unsang mga himan sa NGFW (Check Point, Fortinet);
  2. Bisan unsang mga vulnerability scanner (PT Scanner, OpenVas);
  3. Web Application Firewall (PT AF);
  4. netflow analyzers (Flowmon, Cisco StealthWatch);
  5. AD server.

Kung na-configure na nimo ang pagpadala sa mga log ug mga file sa pag-configure sa Logstash, mahimo nimong i-correlate ug itandi ang mga insidente nga naggikan sa lainlaing mga himan sa seguridad. Aron mahimo kini, sayon ​​​​ang paggamit sa mga indeks diin among itago ang tanan nga mga insidente nga may kalabutan sa usa ka piho nga aparato. Sa laing pagkasulti, ang usa ka indeks mao ang tanan nga mga insidente sa usa ka aparato. Kini nga pag-apod-apod mahimong ipatuman sa 2 ka paagi.

Ang una nga kapilian Kini aron ma-configure ang Logstash config. Aron mahimo kini, kinahanglan nimo nga doblehon ang log alang sa pipila nga mga natad sa usa ka lahi nga yunit nga adunay lahi nga tipo. Ug unya gamita kini nga tipo sa umaabot. Sa pananglitan, ang mga troso gi-clone gikan sa IPS blade sa Check Point firewall.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Aron matipigan ang ingon nga mga panghitabo sa usa ka lahi nga indeks depende sa mga log field, pananglitan, sama sa Destination IP attack signatures. Mahimo nimong gamiton ang parehas nga pagtukod:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Ug niining paagiha, mahimo nimong i-save ang tanan nga mga insidente sa usa ka indeks, pananglitan, pinaagi sa IP address, o pinaagi sa domain name sa makina. Sa kini nga kaso, gitipigan namon kini sa index "smartdefense-%{dst}", pinaagi sa IP address sa pirma nga destinasyon.

Bisan pa, ang lainlaing mga produkto adunay lainlaing mga log field, nga mosangpot sa kagubot ug wala kinahanglana nga pagkonsumo sa memorya. Ug dinhi kinahanglan nimo nga maampingon nga ilisan ang mga natad sa mga setting sa config sa Logstash nga adunay mga pre-designed, nga parehas alang sa tanan nga mga lahi sa mga insidente, nga usa usab ka lisud nga buluhaton.

Ikaduha nga opsyon sa pagpatuman - kini mao ang pagsulat sa usa ka script o proseso nga maka-access sa pagkamaunat-unat database sa tinuod nga panahon, pagbira sa gikinahanglan nga mga insidente, ug sa pagluwas kanila ngadto sa usa ka bag-o nga index, kini mao ang usa ka lisud nga buluhaton, apan kini nagtugot kaninyo sa pagtrabaho uban sa mga troso sumala sa imong gusto, ug direkta nga makiglambigit sa mga insidente gikan sa uban nga kagamitan sa seguridad. Gitugotan ka niini nga kapilian nga i-configure ang trabaho nga adunay mga troso nga labing mapuslanon alang sa imong kaso nga adunay labing kadali nga pagka-flexible, apan dinhi ang problema mitungha sa pagpangita sa usa ka espesyalista nga makapatuman niini.

Ug siyempre, ang labing hinungdanon nga pangutana, ug unsa ang ma-correlate ug ma-detect??

Mahimong adunay daghang mga kapilian dinhi, ug nagdepende kini kung unsang mga gamit sa seguridad ang gigamit sa imong imprastraktura, pipila ka mga pananglitan:

  1. Ang labing klaro ug, gikan sa akong punto sa panglantaw, ang labing makapaikag nga kapilian alang niadtong adunay NGFW nga solusyon ug usa ka vulnerability scanner. Kini usa ka pagtandi sa mga log sa IPS ug mga resulta sa pag-scan sa pagkahuyang. Kung ang usa ka pag-atake nakit-an (wala gibabagan) sa sistema sa IPS, ug kini nga pagkahuyang wala sirado sa katapusan nga makina base sa mga resulta sa pag-scan, kinahanglan nga huypon ang whistle, tungod kay adunay taas nga posibilidad nga ang pagkahuyang gipahimuslan. .
  2. Daghang mga pagsulay sa pag-login gikan sa usa ka makina ngadto sa lain-laing mga lugar mahimong nagsimbolo sa makadaot nga kalihokan.
  3. Ang user nga nag-download sa mga file sa virus tungod sa pagbisita sa daghang mga potensyal nga peligro nga mga site.

Estadistika ug visualization

Ang labing klaro ug masabtan nga butang nga gikinahanglan sa ELK Stack mao ang pagtipig ug paghanduraw sa mga troso, sa miaging mga artikulo gipakita kung giunsa nimo paghimo ang mga troso gikan sa lainlaing mga aparato gamit ang Logstash. Pagkahuman sa mga troso moadto sa Elasticsearch, mahimo nimong i-set up ang mga dashboard, nga gihisgutan usab sa miaging mga artikulo, uban sa impormasyon ug estadistika nga imong gikinahanglan pinaagi sa visualization.

mga panig-ingnan:

  1. Dashboard alang sa mga panghinabo sa Paglikay sa Panghulga nga adunay labing kritikal nga mga panghitabo. Dinhi mahimo nimong ipakita kung unsang mga pirma sa IPS ang nakit-an ug kung diin kini gikan sa geograpiya.

    TS Total nga Panan-aw. Koleksyon sa Hitabo, Pagtuki sa Insidente, ug Himan sa Automation sa Tubag sa Paghulga

  2. Dashboard sa paggamit sa labing kritikal nga mga aplikasyon diin ang kasayuran mahimong ma-leak.

    TS Total nga Panan-aw. Koleksyon sa Hitabo, Pagtuki sa Insidente, ug Himan sa Automation sa Tubag sa Paghulga

  3. I-scan ang mga resulta gikan sa bisan unsang security scanner.

    TS Total nga Panan-aw. Koleksyon sa Hitabo, Pagtuki sa Insidente, ug Himan sa Automation sa Tubag sa Paghulga

  4. Mga log sa Active Directory sa user.

    TS Total nga Panan-aw. Koleksyon sa Hitabo, Pagtuki sa Insidente, ug Himan sa Automation sa Tubag sa Paghulga

  5. Dashboard sa koneksyon sa VPN.

Sa kini nga kaso, kung imong i-configure ang mga dashboard aron ma-update matag pipila ka segundo, mahimo ka makakuha usa ka medyo kombenyente nga sistema alang sa pag-monitor sa mga panghitabo sa tinuud nga oras, nga mahimo’g magamit alang sa labing paspas nga pagtubag sa mga insidente sa seguridad sa kasayuran kung ibutang nimo ang mga dashboard sa usa ka lahi. screen.

Pag-una sa insidente

Sa mga kondisyon sa dagkong imprastraktura, ang gidaghanon sa mga insidente mahimo nga dili sukod, ug ang mga espesyalista walay panahon sa pag-atubang sa tanan nga mga insidente sa tukmang panahon. Sa kini nga kaso, gikinahanglan, una sa tanan, nga ipasiugda lamang ang mga insidente nga naghatag ug dakong hulga. Busa, ang sistema kinahanglan nga unahon ang mga insidente base sa ilang kagrabe kalabot sa imong imprastraktura. Gisugyot nga magbutang usa ka alerto sa email o telegrama alang sa kini nga mga panghitabo. Ang pag-prioritize mahimong ipatuman gamit ang standard nga mga himan sa Kibana pinaagi sa pag-set up sa visualization. Apan sa mga pahibalo mas lisud; sa default, kini nga pag-andar wala gilakip sa sukaranan nga bersyon sa Elasticsearch, sa bayad nga bersyon lamang. Busa, bisan pagpalit usa ka bayad nga bersyon, o, pag-usab, pagsulat sa usa ka proseso sa imong kaugalingon nga magpahibalo sa mga espesyalista sa tinuud nga oras pinaagi sa email o telegrama.

Automation sa mga proseso sa seguridad sa impormasyon

Ug usa sa labing makapaikag nga mga bahin mao ang automation sa mga aksyon alang sa mga insidente sa seguridad sa kasayuran. Kaniadto, gipatuman namon kini nga pag-andar alang sa Splunk, mahimo nimong mabasa ang labi pa niini artikulo. Ang nag-unang ideya mao nga ang palisiya sa IPS dili gayud masulayan o ma-optimize, bisan pa sa pipila ka mga kaso kini usa ka kritikal nga bahin sa mga proseso sa seguridad sa impormasyon. Pananglitan, usa ka tuig pagkahuman sa pagpatuman sa NGFW ug ang pagkawala sa mga aksyon aron ma-optimize ang IPS, magtigum ka daghang mga pirma nga adunay aksyon nga Detect, nga dili ma-block, nga makapakunhod pag-ayo sa kahimtang sa seguridad sa kasayuran sa organisasyon. Sa ubos mao ang pipila ka mga pananglitan kung unsa ang mahimo nga awtomatiko:

  1. Pagbalhin sa pirma sa IPS gikan sa Detect to Prevent. Kung ang Paglikay dili molihok alang sa mga kritikal nga pirma, nan kini wala sa kahusay ug usa ka seryoso nga gintang sa sistema sa pagpanalipod. Gibag-o namon ang aksyon sa palisiya sa ingon nga mga pirma. Kini nga gamit mahimong ipatuman kung ang NGFW device adunay REST API functionality. Posible lang kini kung ikaw adunay kahanas sa pagprograma; kinahanglan nimo nga makuha ang kinahanglan nga kasayuran gikan sa Elastcisearch ug maghimo mga hangyo sa API sa server sa pagdumala sa NGFW.
  2. Kung daghang mga pirma ang nakit-an o gibabagan sa trapiko sa network gikan sa usa ka IP address, nan makatarunganon nga babagan kini nga IP address sa makadiyot sa palisiya sa Firewall. Ang pagpatuman naglangkob usab sa paggamit sa REST API.
  3. Pagdalagan og host scan nga adunay vulnerability scanner, kung kini nga host adunay daghang mga pirma sa IPS o uban pang mga himan sa seguridad; kung kini mao ang OpenVas, nan mahimo kang magsulat og script nga magkonektar pinaagi sa ssh sa security scanner ug ipadagan ang scan.

TS Total nga Panan-aw. Koleksyon sa Hitabo, Pagtuki sa Insidente, ug Himan sa Automation sa Tubag sa Paghulga

TS Total nga Panan-aw

Sa kinatibuk-an, ang pagpatuman sa tanan nga pagpaandar usa ka dako ug lisud nga buluhaton. Kung wala’y kahanas sa pagprograma, mahimo nimong i-configure ang labing gamay nga pagpaandar, nga mahimo’g igo aron magamit sa produksiyon. Apan kung interesado ka sa tanan nga pag-andar, mahimo nimong hatagan pagtagad ang TS Total Sight. Makita nimo ang dugang nga mga detalye sa among site. Ingon usa ka sangputanan, ang tibuuk nga laraw sa operasyon ug arkitektura ingon niini:

TS Total nga Panan-aw. Koleksyon sa Hitabo, Pagtuki sa Insidente, ug Himan sa Automation sa Tubag sa Paghulga

konklusyon

Gitan-aw namon kung unsa ang mahimong ipatuman gamit ang ELK Stack. Sa sunod nga mga artikulo, gilain namon nga tagdon ang pagpaandar sa TS Total Sight sa mas detalyado!

Busa padayon nga tutok (telegrama, Facebook, VK, TS Solution Blog), Yandex.Zen.

Source: www.habr.com

Idugang sa usa ka comment