I tidligere artikler blev vi lidt fortrolige med elg-stakken og opsætning af Logstash-konfigurationsfilen for log-parseren. I denne artikel vil vi gå videre til det vigtigste fra et analytisk synspunkt, hvad du vil se fra system og hvad alt er skabt til - det er grafer og tabeller kombineret til dashboards. I dag skal vi se nærmere på visualiseringssystemet Kibana, vil vi se på, hvordan man opretter grafer og tabeller, og som et resultat vil vi bygge et simpelt dashboard baseret på logfiler fra Check Points firewall.
Det første skridt i arbejdet med kibana er at skabe indeksmønster, logisk set er dette en base af indekser forenet efter et bestemt princip. Selvfølgelig er dette udelukkende en indstilling for at gøre Kibana mere bekvemt at søge efter information på tværs af alle indekser på samme tid. Det indstilles ved at matche en streng, sig "checkpoint-*" og navnet på indekset. For eksempel ville "checkpoint-2019.12.05" passe til mønsteret, men "checkpoint" eksisterer ikke længere. Det er værd at nævne separat, at det i søgning er umuligt at søge efter information om forskellige indeksmønstre på samme tid; lidt senere i de efterfølgende artikler vil vi se, at API-anmodninger foretages enten ved navn på indekset eller kun af én linje af mønsteret, billedet er klikbart:
Herefter tjekker vi i Discover-menuen, at alle logfiler er indekseret og den korrekte parser er konfigureret. Hvis der findes uoverensstemmelser, for eksempel ved at ændre datatypen fra en streng til et heltal, skal du redigere Logstash-konfigurationsfilen, som et resultat, vil nye logfiler blive skrevet korrekt. For at de gamle logfiler kan tage den ønskede form før ændringen, hjælper kun genindekseringsprocessen; i efterfølgende artikler vil denne operation blive diskuteret mere detaljeret. Lad os sørge for at alt er i orden, billedet er klikbart:
Loggene er på plads, hvilket betyder, at vi kan begynde at bygge dashboards. Baseret på analyserne af dashboards fra sikkerhedsprodukter kan du forstå status for informationssikkerhed i en organisation, tydeligt se sårbarheder i den nuværende politik og efterfølgende udvikle måder at eliminere dem på. Lad os bygge et lille dashboard ved hjælp af flere visualiseringsværktøjer. Dashboardet vil bestå af 5 komponenter:
- tabel til beregning af det samlede antal træstammer efter klinger
- tabel over kritiske IPS-signaturer
- cirkeldiagram for trusselsforebyggende begivenheder
- diagram over de mest populære besøgte websteder
- diagram over brugen af de farligste applikationer
For at oprette visualiseringsfigurer skal du gå til menuen Visualiser, og vælg den ønskede figur, som vi vil bygge! Lad os gå i rækkefølge.
Tabel til beregning af det samlede antal træstammer pr. vinge
For at gøre dette skal du vælge en figur datatabel, falder vi ind i udstyret til at lave grafer, til venstre er figurens indstillinger, til højre er hvordan det vil se ud i de aktuelle indstillinger. Først vil jeg demonstrere, hvordan det færdige bord vil se ud, derefter gennemgår vi indstillingerne, billedet er klikbart:
Mere detaljerede indstillinger af figuren, billedet er klikbart:
Lad os se på indstillingerne.
Oprindeligt konfigureret målinger, dette er den værdi, som alle felter vil blive aggregeret med. Metrics beregnes baseret på værdier, der på den ene eller anden måde er udtrukket fra dokumenter. Værdierne udvindes normalt fra af felter dokument, men kan også genereres ved hjælp af scripts. I dette tilfælde sætter vi ind Aggregation: Greve (samlet antal logs).
Herefter opdeler vi tabellen i segmenter (felter), som metrikken vil blive beregnet efter. Denne funktion udføres af Buckets-indstillingen, som igen består af 2 indstillingsmuligheder:
- opdele rækker - tilføje kolonner og efterfølgende opdele tabellen i rækker
- split tabel - opdeling i flere tabeller baseret på værdierne af et bestemt felt.
В spande du kan tilføje flere divisioner for at oprette flere kolonner eller tabeller, begrænsningerne her er ret logiske. I aggregering kan du vælge, hvilken metode der skal bruges til at opdele i segmenter: ipv4-interval, datointerval, vilkår osv. Det mest interessante valg er netop Betingelser и Væsentlige vilkår, opdeling i segmenter udføres i henhold til værdierne af et specifikt indeksfelt, forskellen mellem dem ligger i antallet af returnerede værdier og deres visning. Da vi ønsker at opdele tabellen med navnet på knivene, vælger vi feltet - produkt.søgeord og indstil størrelsen til 25 returnerede værdier.
I stedet for strenge bruger elasticsearch 2 datatyper - tekst и søgeord. Hvis du ønsker at udføre en fuldtekstsøgning, bør du bruge teksttypen, en meget praktisk ting, når du skriver din søgetjeneste, for eksempel når du leder efter en omtale af et ord i en bestemt feltværdi (tekst). Hvis du kun ønsker et eksakt match, bør du bruge søgeordstypen. Nøgleordsdatatypen skal også bruges til felter, der kræver sortering eller aggregering, det vil sige i vores tilfælde.
Som et resultat tæller Elasticsearch antallet af logfiler for en bestemt tid, aggregeret af værdien i produktfeltet. I Custom Label indstiller vi navnet på den kolonne, der skal vises i tabellen, indstiller den tid, vi indsamler logfiler for, begynder at gengive - Kibana sender en anmodning til elasticsearch, venter på et svar og visualiserer derefter de modtagne data. Bordet er klar!
Cirkeldiagram for trusselsforebyggende begivenheder
Af særlig interesse er informationen om, hvor mange reaktioner der er i procent opdage и forhindre om informationssikkerhedshændelser i den gældende sikkerhedspolitik. Et cirkeldiagram fungerer godt til denne situation. Vælg i Visualiser - Lagkagediagram. Også i metrikken indstiller vi aggregering efter antallet af logfiler. I buckets sætter vi Vilkår => handling.
Alt ser ud til at være korrekt, men resultatet viser værdier for alle blade; du skal kun filtrere efter de blade, der fungerer inden for rammerne af Threat Prevention. Derfor har vi bestemt sat det op filtrere for kun at søge efter information på blade, der er ansvarlige for informationssikkerhedshændelser - produkt: ("Anti-Bot" ELLER "Ny Anti-Virus" ELLER "DDoS Protector" ELLER "SmartDefense" ELLER "Trusselsemulering"). Billedet er klikbart:
Og mere detaljerede indstillinger, billedet er klikbart:
IPS begivenhedstabel
Dernæst er det meget vigtigt ud fra et informationssikkerhedssynspunkt at se og kontrollere begivenheder på bladet. IPS и TrusselsemuleringDet er ikke blokeret nuværende politik, for efterfølgende enten at ændre signaturen for at forhindre, eller hvis trafikken er gyldig, skal du ikke kontrollere signaturen. Vi opretter tabellen på samme måde som i det første eksempel, med den eneste forskel, at vi opretter flere kolonner: beskyttelse.søgeord, alvorlighed.søgeord, produkt.søgeord, oprindelsesnavn.søgeord. Sørg for at opsætte et filter for kun at søge efter information på blade, der er ansvarlige for informationssikkerhedshændelser - produkt: ("SmartDefense" ELLER "Trusselsemulering"). Billedet er klikbart:
Mere detaljerede indstillinger, billedet er klikbart:
Diagrammer for de mest populære besøgte websteder
For at gøre dette skal du oprette en figur - Lodret bjælke. Vi bruger også tæller (Y-aksen) som en metrik, og på X-aksen vil vi bruge navnet på besøgte websteder som værdier – "appi_name". Der er et lille trick her: Hvis du kører indstillingerne i den aktuelle version, vil alle websteder blive markeret på kortet med samme farve, for at gøre dem flerfarvede bruger vi en ekstra indstilling - "opdelt serie", som giver dig mulighed for at opdele en færdig kolonne i flere flere værdier, afhængigt af det valgte felt selvfølgelig! Netop denne opdeling kan enten bruges som én flerfarvet kolonne i henhold til værdier i stablet tilstand, eller i normal tilstand for at oprette flere kolonner i henhold til en bestemt værdi på X-aksen. I dette tilfælde bruger vi her samme værdi som på X-aksen, dette gør det muligt at gøre alle kolonner flerfarvede; de vil blive angivet med farver øverst til højre. I det filter, vi indstiller - produkt: "URL-filtrering" for kun at se information om besøgte websteder, er billedet klikbart:
Indstillinger:
Diagram over brugen af de farligste applikationer
For at gøre dette skal du oprette en figur - Lodret bjælke. Vi bruger også count (Y-aksen) som metrik, og på X-aksen vil vi bruge navnet på de anvendte applikationer - "appi_name" som værdier. Den vigtigste er filterindstillingen - produkt: "Application Control" OG app_risk: (4 OR 5 OR 3 ) OG handling: "accepter". Vi filtrerer logfilerne efter applikationskontrolbladet, idet vi kun tager de websteder, der er kategoriseret som kritiske, høje, mellemrisikosider, og kun hvis adgang til disse websteder er tilladt. Billedet er klikbart:
Indstillinger, klikbare:
Dashboard
Visning og oprettelse af dashboards er i et separat menupunkt - Hovedmenu. Alt er enkelt her, et nyt dashboard er oprettet, visualisering er tilføjet til det, placeret på sin plads og det er det!
Vi opretter et dashboard, hvor du kan forstå den grundlæggende situation for informationssikkerhedstilstanden i en organisation, selvfølgelig kun på Check Point-niveau, billedet er klikbart:
Baseret på disse grafer kan vi forstå, hvilke kritiske signaturer der ikke er blokeret på firewallen, hvor brugerne går hen, og hvilke de farligste applikationer de bruger.
Konklusion
Vi så på mulighederne for grundlæggende visualisering i Kibana og byggede et dashboard, men dette er kun en lille del. Videre i kurset vil vi særskilt se på opsætning af kort, arbejde med elasticsearch-systemet, stifte bekendtskab med API-anmodninger, automatisering og meget mere!
Så følg med (, , , ), .
Kilde: www.habr.com