Mewn erthyglau yn y gorffennol, cawsom ychydig yn gyfarwydd â'r pentwr elk a sefydlu'r ffeil ffurfweddu Logstash ar gyfer y parser log, yn yr erthygl hon byddwn yn symud ymlaen at y pwysicaf o safbwynt dadansoddeg, yr hyn yr ydych am ei weld y system ac ar gyfer yr hyn y cafodd popeth ei greu - mae'r rhain yn graffiau a thablau wedi'u cyfuno i mewn dangosfyrddau. Heddiw, byddwn yn edrych yn agosach ar y system ddelweddu Kibana, byddwn yn ystyried sut i greu graffiau, tablau, ac o ganlyniad byddwn yn adeiladu dangosfwrdd syml yn seiliedig ar logiau o wal dân Check Point.
Y cam cyntaf wrth weithio gyda kibana yw creu patrwm mynegai, yn rhesymegol, dyma sylfaen mynegeion sengl yn ôl egwyddor benodol. Wrth gwrs, dim ond gosodiad yw hwn i Kibana chwilio'n fwy cyfleus am wybodaeth ar bob mynegai ar yr un pryd. Fe'i gosodir trwy gymharu'r llinyn, dywedwch "pwynt gwirio-*" ac enw'r mynegai. Er enghraifft, bydd “checkpoint-2019.12.05” yn cyd-fynd â'r patrwm, ond yn syml, nid yw “pwynt gwirio” yno mwyach. Ar wahân, mae'n werth nodi ei bod yn amhosibl chwilio am wybodaeth am wahanol batrymau mynegai ar yr un pryd yn y chwiliad, ychydig yn ddiweddarach mewn erthyglau dilynol byddwn yn gweld bod ceisiadau API yn cael eu gwneud naill ai yn ôl enw'r mynegai, neu dim ond wrth un llinell o'r patrwm, gellir clicio ar y llun:
Ar ôl hynny, rydym yn gwirio yn y ddewislen Darganfod bod yr holl logiau wedi'u mynegeio, a bod y parser cywir wedi'i ffurfweddu. Os canfyddir unrhyw anghysondebau, er enghraifft, newid y math o ddata o linyn i gyfanrif, mae angen i chi olygu'r ffeil ffurfweddu Logstash, o ganlyniad, bydd logiau newydd yn cael eu hysgrifennu'n gywir. Er mwyn i'r hen logiau gymryd y ffurf a ddymunir cyn y newid, dim ond y broses ail-fynegi sy'n helpu, mewn erthyglau dilynol bydd y llawdriniaeth hon yn cael ei hystyried yn fwy manwl. Sicrhewch fod popeth mewn trefn, mae modd clicio ar y llun:
Mae'r boncyffion yn eu lle, felly gallwch chi ddechrau adeiladu dangosfyrddau. Yn seiliedig ar ddadansoddeg dangosfwrdd o gynhyrchion diogelwch, gallwch ddeall cyflwr diogelwch gwybodaeth yn y sefydliad, gweld yn weledol y gwendidau yn y polisi cyfredol, a datblygu ffyrdd o'u dileu yn y dyfodol. Gadewch i ni adeiladu dangosfwrdd bach gan ddefnyddio nifer o offer delweddu. Bydd y dangosfwrdd yn cynnwys 5 cydran:
- tabl ar gyfer cyfrifo cyfanswm nifer y boncyffion fesul llafnau
- Tabl llofnod critigol IPS
- siart cylch yn ôl digwyddiadau Atal Bygythiad
- siart yn ôl y rhan fwyaf o wefannau yr ymwelwyd â nhw
- siart ar y defnydd o'r cymwysiadau mwyaf peryglus
I greu siapiau delweddu, mae angen i chi fynd i'r ddewislen Dangoswch, a dewiswch y siâp rydych chi am ei adeiladu! Gadewch i ni fynd mewn trefn.
Tabl ar gyfer cyfrifo cyfanswm nifer y boncyffion yn ôl llafnau
I wneud hyn, rydym yn dewis ffigur Tabl Data, rydym yn disgyn i mewn i'r snap-in ar gyfer creu siartiau, mae'r gosodiadau ffigur yn cael eu rhoi i lawr ar y chwith, sut y bydd yn edrych yn y gosodiadau presennol ar y dde. Yn gyntaf, byddaf yn dangos sut olwg fydd ar y tabl gorffenedig, ar ôl hynny byddwn yn mynd trwy'r gosodiadau, gellir clicio ar y llun:
Gosodiadau manylach o'r ffigwr, gellir clicio ar y llun:
Gadewch i ni edrych ar y gosodiadau.
Wedi'i ffurfweddu i ddechrau metrigau, dyma'r gwerth a ddefnyddir i agregu pob maes. Cyfrifir metrigau yn seiliedig ar werthoedd a dynnwyd mewn un ffordd neu'r llall o ddogfennau. Fel arfer cymerir gwerthoedd o caeau dogfen, ond gellir ei chynhyrchu hefyd gan ddefnyddio sgriptiau. Yn yr achos hwn, rydym yn rhoi i mewn Cydgasglu: Cyfrif (cyfanswm nifer y logiau).
Ar ôl hynny, rydym yn rhannu'r tabl yn segmentau (meysydd), y bydd y metrig yn cael ei gyfrifo yn ei erbyn. Perfformir y swyddogaeth hon gan y gosodiad Buckets, sydd yn ei dro yn cynnwys 2 opsiwn gosod:
- rhesi hollti - ychwanegu colofnau ac yna rhannu'r tabl yn rhesi
- tabl hollti - rhannu'n sawl tabl yn ôl gwerthoedd maes penodol.
В bwcedi gallwch ychwanegu sawl rhaniad i greu sawl colofn neu dabl, mae'r cyfyngiadau yma braidd yn rhesymegol. Gyda'i gilydd, gallwch ddewis sut y bydd rhannu'n segmentau yn digwydd: ystod ipv4, ystod dyddiad, Telerau, ac ati. Mae'r dewis mwyaf diddorol yn union Telerau и Termau Arwyddocaol, mae segmentiad yn cael ei berfformio gan werthoedd maes mynegai penodol, y gwahaniaeth rhyngddynt yw nifer y gwerthoedd a ddychwelwyd, a'u harddangosiad. Gan ein bod am rannu'r bwrdd ag enw'r llafnau, dewiswch y maes - cynnyrch.allweddair a gosodwch y maint i 25 o werthoedd dychwelyd.
Yn lle tannau, mae elasticsearch yn defnyddio 2 fath o ddata − testun и keyword. Os ydych chi am wneud chwiliad testun llawn, dylech ddefnyddio'r math o destun, peth defnyddiol iawn i'w wneud wrth ysgrifennu eich gwasanaeth chwilio, fel chwilio am ddigwyddiad gair mewn gwerth maes penodol (testun). Os mai dim ond cyfatebiad union yr ydych ei eisiau, dylech ddefnyddio'r math o allweddair. Hefyd, dylid defnyddio'r math o ddata allweddair ar gyfer meysydd sydd angen eu didoli neu eu hagregu, hynny yw, yn ein hachos ni.
O ganlyniad, mae Elasticsearch yn cyfrif nifer y logiau am amser penodol, wedi'u hagregu gan y gwerth yn y maes cynnyrch. Yn y Label Custom, rydyn ni'n gosod enw'r golofn a fydd yn cael ei harddangos yn y tabl, yn gosod yr amser rydyn ni'n casglu logiau ar ei gyfer, yn dechrau tynnu llun - mae Kibana yn anfon cais i chwilio am elastig, yn aros am ymateb, ac yna'n delweddu'r data a dderbyniwyd . Mae'r bwrdd yn barod!
Siart Cylch Atal Bygythiad
O ddiddordeb arbennig yw'r wybodaeth, a faint yn gyffredinol yng nghanran yr adweithiau canfod и atal ar gyfer digwyddiadau diogelwch gwybodaeth yn y polisi diogelwch cyfredol. Mae siart cylch yn gweithio'n dda ar gyfer yr achos hwn. Dewiswch yn Visualize - Siart cylch. Hefyd yn y metrig rydym yn gosod y cyfanred yn ôl nifer y logiau. Mewn bwcedi rydyn ni'n rhoi Termau => gweithredu.
Mae'n ymddangos bod popeth yn gywir, ond o ganlyniad, dangosir gwerthoedd ar gyfer pob llafn, dim ond ar gyfer y llafnau hynny sy'n gweithio fel rhan o Atal Bygythiad y mae angen i chi hidlo. Felly, rhaid inni osod hidlydd er mwyn chwilio am wybodaeth yn unig ar lafnau sy'n gyfrifol am ddigwyddiadau diogelwch gwybodaeth - cynnyrch: ("Gwrth-Bot" NEU "Gwrth-Firws Newydd" NEU "DDoS Amddiffynnydd" NEU "SmartDefense" NEU "Efelychu Bygythiad"). Gellir clicio ar y llun:
A gosodiadau mwy manwl, gellir clicio ar y llun:
Tabl yn ôl digwyddiadau IPS
Ymhellach, mae'n bwysig iawn o safbwynt diogelwch gwybodaeth i weld a gwirio digwyddiadau gan llafn Gwasanaeth Hunaniaeth a Phasbortau и Efelychiad Bygythiad, которые yn cael eu rhwystro polisi cyfredol er mwyn naill ai drosglwyddo'r llofnod wedyn i atal, neu os yw'r traffig yn ddilys, peidiwch â gwirio'r llofnod. Rydyn ni'n creu'r tabl yn yr un ffordd ag ar gyfer yr enghraifft gyntaf, dim ond gyda'r gwahaniaeth rydyn ni'n creu sawl colofn: protections.keyword, severity.keyword, product.keyword, originsicname.keyword. Byddwch yn siwr i sefydlu hidlydd er mwyn chwilio am wybodaeth yn unig ar y llafnau sy'n gyfrifol am ddigwyddiadau diogelwch gwybodaeth - cynnyrch: ("SmartDefense" NEU "Efelychu Bygythiad"). Gellir clicio ar y llun:
Gosodiadau manylach, gellir clicio ar y llun:
Siartiau ar gyfer y safleoedd mwyaf poblogaidd yr ymwelwyd â nhw
I wneud hyn, rydym yn creu ffigur - Bar fertigol. Rydym hefyd yn defnyddio'r metrig cyfrif (echel Y), ac ar yr echel X, byddwn yn defnyddio enw'r safleoedd yr ymwelwyd â nhw - “appi_name” fel gwerthoedd. Mae yna ychydig o tric yma, os ydych chi'n rhedeg y gosodiadau yn y fersiwn gyfredol, yna bydd pob gwefan yn cael ei farcio ar y siart gydag un lliw, er mwyn eu gwneud yn aml-liw, rydyn ni'n defnyddio gosodiad ychwanegol - "cyfres hollti", sy'n eich galluogi i rannu colofn a baratowyd eisoes yn sawl gwerth arall, yn dibynnu ar y maes a ddewiswyd wrth gwrs! Gellir defnyddio'r union raniad hwn naill ai fel un golofn amryliw yn ôl gwerthoedd yn y modd pentyrru, neu yn y modd arferol er mwyn creu sawl colofn gan werth penodol o'r echelin X. Yn yr achos hwn, dyma ni'n defnyddio'r un gwerth o ran yr echelin X, mae hyn yn ei gwneud hi'n bosibl gwneud pob colofn yn aml-liw, ar y dde oddi uchod byddant yn cael eu nodi gan liwiau. Yn yr hidlydd, set - cynnyrch: "Hidlo URL" er mwyn gweld gwybodaeth ar wefannau yr ymwelwyd â nhw yn unig, mae modd clicio ar y llun:
Gosodiadau:
Siart ar y defnydd o'r cymwysiadau mwyaf peryglus
I wneud hyn, creu siâp - Bar Fertigol. Rydym hefyd yn defnyddio'r cyfrif metrig (echel Y), ac ar yr echelin X byddwn yn defnyddio enw'r cymwysiadau a ddefnyddir - “appi_name” fel gwerthoedd. Y pwysicaf yw'r gosodiad hidlo - cynnyrch: "Rheoli Cymhwysiad" A app_risk: (4 NEU 5 NEU 3 ) A cham gweithredu: "derbyn". Rydym yn hidlo'r boncyffion gan lafn rheoli'r Cais, yn cymryd dim ond y safleoedd hynny sydd wedi'u categoreiddio fel safleoedd sydd â risg o Ddifrifol, Uchel, Canolig, a dim ond os caniateir mynediad i'r safleoedd hyn. Gellir clicio ar y llun:
Gosodiadau, clicadwy:
Dangosfwrdd
Mae gwylio a chreu dangosfyrddau mewn eitem dewislen ar wahân - dangosfwrdd. Mae popeth yn syml yma, mae dangosfwrdd newydd yn cael ei greu, delweddu yn cael ei ychwanegu ato, ei roi yn ei le a dyna ni!
Rydym yn creu dangosfwrdd lle bydd yn bosibl deall sefyllfa sylfaenol cyflwr diogelwch gwybodaeth yn y sefydliad, wrth gwrs, dim ond ar lefel y Pwynt Gwirio, gellir clicio ar y llun:
Yn seiliedig ar y graffiau hyn, gallwn ddeall pa lofnodion hanfodol nad ydynt wedi'u rhwystro ar y wal dân, i ble mae defnyddwyr yn mynd, beth yw'r cymwysiadau mwyaf peryglus y maent yn eu defnyddio.
Casgliad
Fe wnaethom edrych ar y galluoedd delweddu sylfaenol yn Kibana ac adeiladu dangosfwrdd, ond rhan fach yn unig yw hwn. Ymhellach yn y cwrs, byddwn yn ystyried sefydlu mapiau ar wahân, gan weithio gyda'r system elasticsearch, dod yn gyfarwydd â cheisiadau API, awtomeiddio, a llawer mwy!
Felly cadwch diwnio, , , ), .
Ffynhonnell: hab.com