ProHoster > Blog > Verwaltung > TS Total Sight. Tool zur Ereigniserfassung, Vorfallanalyse und Automatisierung der Bedrohungsreaktion

TS Total Sight. Tool zur Ereigniserfassung, Vorfallanalyse und Automatisierung der Bedrohungsreaktion

TS Total Sight. Tool zur Ereigniserfassung, Vorfallanalyse und Automatisierung der Bedrohungsreaktion

Guten Tag, in früheren Artikeln haben wir uns mit der Arbeit des ELK Stack vertraut gemacht. Und jetzt besprechen wir die Möglichkeiten, die ein Informationssicherheitsspezialist durch den Einsatz dieser Systeme realisieren kann. Welche Protokolle können und sollten zu Elasticsearch hinzugefügt werden? Überlegen wir, welche Statistiken durch die Einrichtung von Dashboards gewonnen werden können und ob sich daraus ein Gewinn ergibt. Wie kann ich die Automatisierung von Informationssicherheitsprozessen mithilfe des ELK-Stacks implementieren? Lassen Sie uns die Architektur des Systems erstellen. Zusammenfassend lässt sich sagen, dass die Implementierung aller Funktionen eine sehr große und schwierige Aufgabe ist, weshalb der Lösung ein eigener Name gegeben wurde – TS Total Sight.

Derzeit erfreuen sich Lösungen, die Informationssicherheitsvorfälle an einem logischen Ort konsolidieren und analysieren, immer größerer Beliebtheit. Dadurch erhält ein Spezialist Statistiken und eine Handlungsgrundlage zur Verbesserung des Zustands der Informationssicherheit in einer Organisation. Wir haben uns bei der Verwendung des ELK-Stacks eine solche Aufgabe gestellt und daher die Hauptfunktionalität in 4 Abschnitten herausgegriffen:

  1. Statistik und Visualisierung;
  2. Erkennung von IS-Vorfällen;
  3. Priorisierung von Vorfällen;
  4. Automatisierung von Informationssicherheitsprozessen.

Schauen wir uns jeden einzelnen genauer an.

Erkennung von Informationssicherheitsvorfällen

Die Hauptaufgabe bei der Verwendung von Elasticsearch besteht in unserem Fall darin, nur Vorfälle im Bereich der Informationssicherheit zu erfassen. Sie können Informationssicherheitsvorfälle von jedem Schutzmittel aus erfassen, wenn es mindestens einige Protokollübertragungsmodi unterstützt. Der Standardmodus ist Syslog oder SCP-Speichern in einer Datei.

Sie können Standardbeispiele für Schutztools nennen und nicht nur, wo Sie die Weiterleitung von Protokollen konfigurieren sollten:

  1. Alle NGFW-Mittel (Check Point, Fortinet);
  2. Alle Schwachstellenscanner (PT Scanner, OpenVas);
  3. Web Application Firewall (PTAF);
  4. Netflow-Analysatoren (Flowmon, Cisco StealthWatch);
  5. AD-Server.

Sobald Sie Logstash für den Versand von Protokollen und Konfigurationsdateien eingerichtet haben, können Sie Vorfälle, die von verschiedenen Sicherheitstools stammen, korrelieren und mit ihnen vergleichen. Zu diesem Zweck ist es praktisch, Indizes zu verwenden, in denen wir alle Vorfälle im Zusammenhang mit einem bestimmten Gerät speichern. Mit anderen Worten: Ein Index umfasst alle Vorfälle für ein Gerät. Diese Verteilung kann auf zwei Arten implementiert werden.

ersten Ausführungsform besteht darin, die Logstash-Konfiguration zu konfigurieren. Dazu müssen Sie das Protokoll für bestimmte Felder in eine separate Einheit mit einem anderen Typ duplizieren. Und dann später diesen Typ verwenden. Das Beispiel klont Protokolle vom IPS-Blade der Check Point-Firewall.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Um solche Ereignisse in einem separaten Index zu speichern, hängen die Felder der Protokolle beispielsweise von der Ziel-IP der Angriffssignatur ab. Sie können eine ähnliche Konstruktion verwenden:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Und auf diese Weise können Sie alle Vorfälle im Index speichern, beispielsweise nach IP-Adresse oder nach dem Domänennamen der Maschine. In diesem Fall speichern wir im Index „smartdefense-%{dst}“, durch die IP-Adresse des Signaturziels.

Verschiedene Produkte verfügen jedoch über unterschiedliche Protokollfelder, was zu Chaos und Speicherverschwendung führt. Und hier ist es notwendig, entweder die Felder in den Logstash-Konfigurationseinstellungen sorgfältig durch vorgefertigte zu ersetzen, die für alle Arten von Vorfällen gleich sind, was ebenfalls eine schwierige Aufgabe ist.

Zweite Implementierungsoption - Hierbei handelt es sich um das Schreiben eines Skripts oder Prozesses, der in Echtzeit auf die elastische Basis zugreift, die erforderlichen Vorfälle abruft und sie in einem neuen Index speichert. Dies ist eine schwierige Aufgabe, ermöglicht Ihnen jedoch, nach Belieben mit den Protokollen zu arbeiten und korrelieren direkt mit Vorfällen anderer Sicherheitstools. Mit dieser Option können Sie die Arbeit mit Protokollen mit maximaler Flexibilität so sinnvoll wie möglich an Ihren Fall anpassen. Hier besteht jedoch das Problem, einen Spezialisten zu finden, der dies umsetzen kann.

Und natürlich die wichtigste Frage was korreliert und erkannt werden kann?

Hier gibt es möglicherweise mehrere Optionen, und je nachdem, welche Sicherheitstools in Ihrer Infrastruktur verwendet werden, hier ein paar Beispiele:

  1. Die naheliegendste und aus meiner Sicht interessanteste Option für diejenigen, die über eine NGFW-Lösung und einen Schwachstellenscanner verfügen. Dies ist ein Vergleich von IPS-Protokollen und Ergebnissen von Schwachstellenscans. Wenn vom IPS-System ein Angriff erkannt (nicht blockiert) wurde und diese Schwachstelle aufgrund der Ergebnisse des Scans nicht auf dem Endgerät geschlossen wurde, müssen alle Pipes gesprengt werden, da die Wahrscheinlichkeit hoch ist, dass die Schwachstelle vorhanden war ausgebeutet.
  2. Viele Anmeldeversuche von einem Computer an verschiedenen Orten können ein Symbol für böswillige Aktivitäten sein.
  3. Herunterladen von Virendateien durch den Benutzer aufgrund des Besuchs einer großen Anzahl potenziell gefährlicher Websites.

Statistik und Visualisierung

Der offensichtlichste und verständlichste Zweck des ELK-Stacks ist die Speicherung und Visualisierung von Protokollen. in früheren Artikeln Es wurde gezeigt, wie man mit Logstash Protokolle von verschiedenen Geräten abrufen kann. Nachdem die Protokolle an Elasticsearch gesendet wurden, können Sie Dashboards einrichten, die ebenfalls erwähnt wurden in früheren Artikeln, mit den Informationen und Statistiken, die Sie durch Visualisierung benötigen.

Beispiele:

  1. Dashboard der Bedrohungspräventionsereignisse mit den kritischsten Ereignissen. Hier können Sie widerspiegeln, welche IPS-Signaturen erkannt wurden und woher sie geografisch stammen.

    TS Total Sight. Tool zur Ereigniserfassung, Vorfallanalyse und Automatisierung der Bedrohungsreaktion

  2. Dashboard zur Nutzung der kritischsten Anwendungen, bei denen Informationen verloren gehen können.

    TS Total Sight. Tool zur Ereigniserfassung, Vorfallanalyse und Automatisierung der Bedrohungsreaktion

  3. Scan-Ergebnisse von jedem Sicherheitsscanner.

    TS Total Sight. Tool zur Ereigniserfassung, Vorfallanalyse und Automatisierung der Bedrohungsreaktion

  4. Protokolle aus Active Directory nach Benutzern.

    TS Total Sight. Tool zur Ereigniserfassung, Vorfallanalyse und Automatisierung der Bedrohungsreaktion

  5. VPN-Verbindungs-Dashboard.

Wenn Sie in diesem Fall Dashboards so einrichten, dass sie alle paar Sekunden aktualisiert werden, erhalten Sie ein recht praktisches System zur Überwachung von Ereignissen in Echtzeit, mit dem Sie dann so schnell wie möglich auf Vorfälle im Bereich der Informationssicherheit reagieren können, wenn Sie Dashboards einrichten separater Bildschirm.

Priorisierung von Vorfällen

Bei einer großen Infrastruktur kann die Anzahl der Vorfälle außerhalb des Maßstabs liegen und Spezialisten haben nicht die Zeit, alle Vorfälle rechtzeitig zu analysieren. In diesem Fall müssen zunächst nur die Vorfälle herausgegriffen werden, die eine große Bedrohung darstellen. Daher muss das System Vorfälle entsprechend ihrer Schwere in Bezug auf Ihre Infrastruktur priorisieren. Es ist ratsam, eine Benachrichtigung per E-Mail oder Telegramm über diese Ereignisse einzurichten. Die Priorisierung kann mit regulären Kibana-Tools implementiert werden, indem eine Visualisierung eingerichtet wird. Bei einer Benachrichtigung ist es jedoch schwieriger, da diese Funktionalität standardmäßig nicht in der Basisversion von Elasticsearch enthalten ist, sondern nur in der kostenpflichtigen Version. Kaufen Sie daher entweder eine kostenpflichtige Version oder schreiben Sie wiederum selbst einen Prozess, der Spezialisten in Echtzeit per Post oder Telegramm benachrichtigt.

Automatisierung von Informationssicherheitsprozessen

Und einer der interessantesten Aspekte ist die Automatisierung von Maßnahmen bei Informationssicherheitsvorfällen. Zuvor haben wir diese Funktionalität für Splunk implementiert, hier können Sie etwas mehr lesen Artikel. Die Grundidee besteht darin, dass die IPS-Richtlinie niemals getestet oder optimiert wird, obwohl sie in einigen Fällen ein wesentlicher Bestandteil von Informationssicherheitsprozessen ist. Beispielsweise werden Sie ein Jahr nach der Implementierung von NGFW und dem Fehlen von Maßnahmen zur Optimierung von IPS mit der Aktion „Erkennen“ eine große Anzahl von Signaturen ansammeln, die nicht blockiert werden, was den Stand der Informationssicherheit in der Organisation erheblich verringert. Hier sind einige Beispiele dafür, was automatisiert werden kann:

  1. Umstellung der IPS-Signatur von „Erkennen“ auf „Verhindern“. Wenn Prevent bei kritischen Signaturen nicht funktioniert, liegt ein Defekt und eine schwerwiegende Verletzung des Schutzsystems vor. Wir ändern die Aktion in der Richtlinie auf solche Signaturen. Diese Funktionalität kann implementiert werden, wenn das NGFW-Gerät über die REST-API-Funktionalität verfügt. Dies ist nur möglich, wenn Sie über Programmierkenntnisse verfügen. Sie müssen die erforderlichen Informationen aus Elastcisearch abrufen und API-Anfragen an den NGFW-Steuerungsserver ausführen.
  2. Wenn im Netzwerkverkehr von einer IP-Adresse viele Signaturen erkannt oder blockiert wurden, ist es sinnvoll, diese IP-Adresse in der Firewall-Richtlinie für einige Zeit zu blockieren. Die Implementierung besteht ebenfalls aus der Verwendung der REST-API.
  3. Starten Sie einen Host-Scan mit einem Schwachstellenscanner, wenn dieser Host über eine große Anzahl von Signaturen für IPS oder andere Sicherheitstools verfügt. Wenn es sich um OpenVas handelt, können Sie ein Skript schreiben, das über SSH eine Verbindung zum Sicherheitsscanner herstellt und den Scan ausführt.

TS Total Sight. Tool zur Ereigniserfassung, Vorfallanalyse und Automatisierung der Bedrohungsreaktion

TS Total Sight

Zusammenfassend ist die Implementierung aller Funktionen eine sehr große und schwierige Aufgabe. Ohne Programmierkenntnisse können Sie die Mindestfunktionalität einrichten, die für den produktiven Einsatz ausreichen kann. Wenn Sie jedoch an der gesamten Funktionalität interessiert sind, können Sie auf TS Total Sight achten. Weitere Details finden Sie auf unserer Webseite. Infolgedessen wird das gesamte Arbeits- und Architekturschema wie folgt aussehen:

TS Total Sight. Tool zur Ereigniserfassung, Vorfallanalyse und Automatisierung der Bedrohungsreaktion

Abschluss

Wir haben uns angeschaut, was mit dem ELK Stack umgesetzt werden kann. In den folgenden Artikeln werden wir die Funktionalität von TS Total Sight gesondert genauer betrachten!

Also bleibt gespanntTelegram, Facebook, VK, TS-Lösungsblog), Yandex.Den.

Source: habr.com

Kommentar hinzufügen