V předchozích článcích jsme se trochu seznámili s elk stackem a nastavením konfiguračního souboru Logstash pro analyzátor protokolů. V tomto článku přejdeme k tomu nejdůležitějšímu z analytického hlediska, k tomu, co chcete vidět z systému a k čemu vše bylo vytvořeno - to jsou grafy a tabulky sloučené do přístrojové desky. Dnes se blíže podíváme na vizualizační systém Kibana, podíváme se na to, jak vytvářet grafy a tabulky, a jako výsledek vytvoříme jednoduchý řídicí panel založený na protokolech z firewallu Check Point.
Prvním krokem při práci s kibanou je tvoření indexový vzor, logicky jde o základ indexů sjednocených podle určitého principu. Samozřejmě se jedná čistě o nastavení, aby Kibana pohodlněji vyhledávala informace napříč všemi indexy současně. Nastavuje se porovnáním řetězce, řekněte „checkpoint-*“ a názvem indexu. Například „kontrolní bod-2019.12.05“ by odpovídal vzoru, ale jednoduše „kontrolní bod“ již neexistuje. Samostatně stojí za zmínku, že při vyhledávání není možné vyhledávat informace o různých vzorech indexů současně; o něco později v následujících článcích uvidíme, že požadavky API jsou vytvářeny buď jménem indexu, nebo pouze jedním řádek vzoru, na obrázek lze kliknout:
Poté v nabídce Discover zkontrolujeme, zda jsou všechny protokoly indexovány a je nakonfigurován správný analyzátor. Pokud jsou zjištěny nějaké nesrovnalosti, například změna datového typu z řetězce na celé číslo, je třeba upravit konfigurační soubor Logstash, v důsledku toho se nové protokoly zapíší správně. Aby staré logy získaly před změnou požadovanou podobu, pomůže pouze proces reindexace, v dalších článcích bude tato operace probrána podrobněji. Ujistíme se, že je vše v pořádku, obrázek je klikací:
Protokoly jsou na svém místě, což znamená, že můžeme začít stavět řídicí panely. Na základě analýzy řídicích panelů z bezpečnostních produktů můžete porozumět stavu informační bezpečnosti v organizaci, jasně vidět zranitelnosti v aktuální politice a následně vyvinout způsoby, jak je odstranit. Pojďme vytvořit malý řídicí panel pomocí několika vizualizačních nástrojů. Palubní deska se bude skládat z 5 komponent:
- tabulka pro výpočet celkového počtu kmenů podle čepelí
- tabulka kritických IPS signatur
- koláčový graf pro události prevence hrozeb
- žebříček nejnavštěvovanějších stránek
- graf používání nejnebezpečnějších aplikací
Chcete-li vytvořit vizualizační obrázky, musíte přejít do nabídky Vizualizujtea vyberte požadovanou postavu, kterou chceme postavit! Jdeme popořadě.
Tabulka pro výpočet celkového počtu kmenů podle čepele
Chcete-li to provést, vyberte obrázek Tabulka dat, spadáme do vybavení pro vytváření grafů, vlevo je nastavení obrázku, vpravo jak bude vypadat v aktuálním nastavení. Nejprve předvedu, jak bude hotová tabulka vypadat, poté si projdeme nastavení, obrázek je klikací:
Podrobnější nastavení figurky, obrázek je rozklikávací:
Podívejme se na nastavení.
Zpočátku nakonfigurováno metriky, toto je hodnota, podle které budou všechna pole agregována. Metriky se počítají na základě hodnot extrahovaných tak či onak z dokumentů. Hodnoty jsou obvykle extrahovány z pole dokument, ale lze je také generovat pomocí skriptů. V tomto případě jsme vložili Agregace: Počet (celkový počet logů).
Poté tabulku rozdělíme na segmenty (pole), podle kterých se bude metrika počítat. Tato funkce se provádí nastavením Buckets, které se skládá ze 2 možností nastavení:
- split rows - přidání sloupců a následné rozdělení tabulky do řádků
- rozdělená tabulka - rozdělení do několika tabulek na základě hodnot konkrétního pole.
В kbelíky můžete přidat několik dělení a vytvořit několik sloupců nebo tabulek, omezení jsou zde spíše logická. V agregaci si můžete vybrat, která metoda bude použita k rozdělení do segmentů: rozsah ipv4, časové období, výrazy atd. Nejzajímavější volba je přesně Podmínky и Významné podmínky, rozdělení do segmentů se provádí podle hodnot konkrétního indexového pole, rozdíl mezi nimi spočívá v počtu vrácených hodnot a jejich zobrazení. Protože chceme tabulku rozdělit podle názvu lopatek, vybereme pole - produkt.klíčové slovo a nastavte velikost na 25 vrácených hodnot.
Namísto řetězců používá elasticsearch 2 datové typy - (souhrnně „Stránka (Stránky)“), a naše postupy pro shromažďování, využívání, uchovávání, ochranu a zpřístupnění takových informací. Tyto zásady platí pro informace, které shromažďujeme na těchto stránkách nebo v e-mailu, textových a jiných elektronických zprávách mezi vámi a těmito stránkami. Rovněž popisují vaše možnosti týkající se využívání vašich osobních údajů, přístupu k nim a jejich opravě. и Klíčové slovo. Pokud chcete provádět fulltextové vyhledávání, měli byste použít typ textu, což je velmi pohodlná věc při psaní vyhledávací služby, například při hledání zmínky o slovu v konkrétní hodnotě pole (text). Pokud chcete pouze přesnou shodu, měli byste použít typ klíčového slova. Také datový typ klíčového slova by měl být použit pro pole, která vyžadují třídění nebo agregaci, tedy v našem případě.
Výsledkem je, že Elasticsearch počítá počet protokolů za určitou dobu agregovaný podle hodnoty v poli produktu. V Custom Label nastavíme název sloupce, který se bude v tabulce zobrazovat, nastavíme dobu, po kterou sbíráme logy, spustíme renderování – Kibana odešle požadavek do elasticsearch, čeká na odpověď a následně vizualizuje přijatá data. Stůl je připraven!
Koláčový graf pro události prevence hrozeb
Zvláště zajímavá je informace o procentuálním počtu reakcí odhalit и zabránit o incidentech informační bezpečnosti v aktuální bezpečnostní politice. Výsečový graf pro tuto situaci funguje dobře. Vyberte ve vizualizaci - Koláčový graf. Také v metrice nastavujeme agregaci podle počtu logů. Do kýblů vložíme Podmínky => akce.
Vše se zdá být v pořádku, ale výsledek ukazuje hodnoty pro všechny čepele, je třeba filtrovat pouze podle čepelí, které fungují v rámci Threat Prevention. Proto jsme to určitě založili filtrovat za účelem vyhledávání informací pouze o blade serverech odpovědných za incidenty zabezpečení informací - produkt: („Anti-Bot“ NEBO „Nový antivirus“ NEBO „DDoS Protector“ NEBO „SmartDefense“ NEBO „Emulace hrozeb“). Na obrázek se dá kliknout:
A podrobnější nastavení, obrázek je klikací:
Tabulka událostí IPS
Další, velmi důležité z hlediska informační bezpečnosti je prohlížení a kontrola událostí na blade. IPS и Emulace hrozebŽe nejsou blokovány aktuální politiku, abyste následně buď změnili podpis, aby se zabránilo, nebo pokud je provoz platný, podpis nekontrolujte. Tabulku vytvoříme stejně jako v prvním příkladu, jen s tím rozdílem, že vytvoříme několik sloupců: ochrany.klíčové slovo, závažnost.klíčové slovo, produkt.klíčové slovo, původní název.klíčové slovo. Ujistěte se, že máte nastaven filtr, abyste mohli hledat informace pouze o blade serverech odpovědných za incidenty zabezpečení informací – produkt: („SmartDefense“ NEBO „Emulace hrozeb“). Na obrázek se dá kliknout:
Podrobnější nastavení, obrázek je rozklikávací:
Grafy pro nejoblíbenější navštěvované stránky
Chcete-li to provést, vytvořte postavu - Vertikální pruh. Jako metriku používáme také počet (osa Y) a na ose X použijeme jako hodnoty název navštívených stránek – „appi_name“. Zde je malý trik: pokud spustíte nastavení v aktuální verzi, všechny weby budou v grafu označeny stejnou barvou, aby byly vícebarevné, používáme další nastavení - „rozdělená série“, což umožňuje rozdělit hotový sloupec na několik dalších hodnot, samozřejmě v závislosti na zvoleném poli! Samotné toto rozdělení lze použít buď jako jeden vícebarevný sloupec podle hodnot ve skládaném režimu, nebo v normálním režimu pro vytvoření několika sloupců podle určité hodnoty na ose X. V tomto případě zde použijeme stejná hodnota jako na ose X, to umožňuje, aby byly všechny sloupce vícebarevné, budou označeny barvami vpravo nahoře. Ve filtru, který jsme nastavili - produkt: „Filtrování URL“, abychom viděli informace pouze o navštívených stránkách, na obrázek lze kliknout:
Nastavení:
Diagram o používání nejnebezpečnějších aplikací
Chcete-li to provést, vytvořte postavu - Vertical Bar. Jako metriku používáme také počet (osa Y) a na ose X použijeme jako hodnoty název použitých aplikací – „appi_name“. Nejdůležitější je nastavení filtru - produkt: “Application Control” AND app_risk: (4 NEBO 5 NEBO 3 ) A akce: “accept”. Protokoly filtrujeme podle aplikačního ovládacího listu, přičemž bereme pouze ty weby, které jsou kategorizovány jako kritické, vysoce a středně rizikové, a pouze v případě, že je k těmto webům povolen přístup. Na obrázek se dá kliknout:
Nastavení, kliknuto:
Přístrojová deska
Prohlížení a vytváření dashboardů je v samostatné položce nabídky - Hlavní obrazovka. Vše je zde jednoduché, vytvoří se nový dashboard, přidá se k němu vizualizace, umístí se na své místo a je to!
Vytváříme dashboard, pomocí kterého pochopíte základní situaci stavu informační bezpečnosti v organizaci, samozřejmě pouze na úrovni Check Point, obrázek je klikací:
Na základě těchto grafů můžeme pochopit, které kritické signatury nejsou na firewallu blokovány, kam uživatelé chodí a jaké nejnebezpečnější aplikace používají.
Závěr
Podívali jsme se na možnosti základní vizualizace v Kibaně a postavili jsme dashboard, ale to je jen malá část. Dále se v kurzu samostatně podíváme na nastavení map, práci se systémem elasticsearch, seznámení s API požadavky, automatizaci a mnoho dalšího!
Takže zůstaňte naladěni (, , , ), .
Zdroj: www.habr.com