ProHoster > Blog > διαχείριση > 3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

Σε προηγούμενα άρθρα εξοικειωθήκαμε λίγο με τη στοίβα elk και τη ρύθμιση του αρχείου διαμόρφωσης Logstash για τον αναλυτή αρχείων καταγραφής. Σε αυτό το άρθρο θα προχωρήσουμε στο πιο σημαντικό πράγμα από αναλυτική άποψη, τι θέλετε να δείτε από το σύστημα και για ποιο σκοπό δημιουργήθηκαν τα πάντα - αυτά είναι γραφήματα και πίνακες συνδυασμένοι σε ταμπλό. Σήμερα θα ρίξουμε μια πιο προσεκτική ματιά στο σύστημα απεικόνισης Kibana, θα εξετάσουμε πώς να δημιουργήσουμε γραφήματα και πίνακες και ως αποτέλεσμα θα δημιουργήσουμε έναν απλό πίνακα εργαλείων που θα βασίζεται σε αρχεία καταγραφής από το τείχος προστασίας Check Point.

Το πρώτο βήμα στη συνεργασία με το kibana είναι η δημιουργία μοτίβο ευρετηρίου, λογικά, αυτή είναι μια βάση δεικτών που ενώνονται σύμφωνα με μια συγκεκριμένη αρχή. Φυσικά, αυτή είναι καθαρά μια ρύθμιση για να κάνει την Kibana πιο βολική να αναζητά πληροφορίες σε όλα τα ευρετήρια ταυτόχρονα. Ορίζεται αντιστοιχίζοντας μια συμβολοσειρά, πείτε "σημείο ελέγχου-*" και το όνομα του ευρετηρίου. Για παράδειγμα, το "σημείο ελέγχου-2019.12.05" θα ταίριαζε στο μοτίβο, αλλά απλώς το "σημείο ελέγχου" δεν υπάρχει πλέον. Αξίζει να αναφέρουμε ξεχωριστά ότι στην αναζήτηση είναι αδύνατο να αναζητήσετε πληροφορίες για διαφορετικά μοτίβα ευρετηρίου ταυτόχρονα. λίγο αργότερα σε επόμενα άρθρα θα δούμε ότι τα αιτήματα API γίνονται είτε με το όνομα του ευρετηρίου, είτε μόνο από μία γραμμή του μοτίβου, η εικόνα μπορεί να κάνει κλικ:

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

Μετά από αυτό, ελέγχουμε στο μενού Discover ότι όλα τα αρχεία καταγραφής έχουν ευρετηριαστεί και ο σωστός αναλυτής έχει ρυθμιστεί. Εάν εντοπιστούν τυχόν ασυνέπειες, για παράδειγμα, αλλαγή του τύπου δεδομένων από συμβολοσειρά σε ακέραιο, πρέπει να επεξεργαστείτε το αρχείο διαμόρφωσης Logstash, ως αποτέλεσμα, τα νέα αρχεία καταγραφής θα γραφτούν σωστά. Για να λάβουν τα παλιά αρχεία καταγραφής την επιθυμητή μορφή πριν από την αλλαγή, βοηθά μόνο η διαδικασία αναπροσαρμογής. σε επόμενα άρθρα αυτή η λειτουργία θα συζητηθεί με περισσότερες λεπτομέρειες. Ας βεβαιωθούμε ότι όλα είναι εντάξει, η εικόνα μπορεί να κάνει κλικ:

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

Τα αρχεία καταγραφής είναι στη θέση τους, πράγμα που σημαίνει ότι μπορούμε να ξεκινήσουμε την κατασκευή πινάκων εργαλείων. Με βάση τις αναλύσεις των πινάκων εργαλείων από προϊόντα ασφαλείας, μπορείτε να κατανοήσετε την κατάσταση της ασφάλειας πληροφοριών σε έναν οργανισμό, να δείτε ξεκάθαρα τρωτά σημεία στην τρέχουσα πολιτική και στη συνέχεια να αναπτύξετε τρόπους εξάλειψής τους. Ας δημιουργήσουμε ένα μικρό ταμπλό χρησιμοποιώντας διάφορα εργαλεία οπτικοποίησης. Το ταμπλό θα αποτελείται από 5 στοιχεία:

  1. πίνακας για τον υπολογισμό του συνολικού αριθμού κορμών ανά λεπίδες
  2. πίνακα για τις κρίσιμες υπογραφές IPS
  3. γράφημα πίτας για εκδηλώσεις Πρόληψης Απειλών
  4. γράφημα με τους πιο δημοφιλείς ιστότοπους που επισκέφθηκαν
  5. διάγραμμα για τη χρήση των πιο επικίνδυνων εφαρμογών

Για να δημιουργήσετε σχήματα οπτικοποίησης, πρέπει να μεταβείτε στο μενού Φαντάζομαι, και επιλέξτε την επιθυμητή φιγούρα που θέλουμε να φτιάξουμε! Πάμε με τη σειρά.

Πίνακας για τον υπολογισμό του συνολικού αριθμού κορμών ανά λεπίδα

Για να το κάνετε αυτό, επιλέξτε μια φιγούρα Πίνακας δεδομένων, πέφτουμε στον εξοπλισμό για τη δημιουργία γραφημάτων, στα αριστερά είναι οι ρυθμίσεις του σχήματος, στα δεξιά είναι πώς θα φαίνεται στις τρέχουσες ρυθμίσεις. Πρώτα, θα δείξω πώς θα μοιάζει ο έτοιμος πίνακας, μετά από αυτό θα περάσουμε από τις ρυθμίσεις, η εικόνα μπορεί να κάνει κλικ:

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

Πιο λεπτομερείς ρυθμίσεις του σχήματος, η εικόνα μπορεί να κάνει κλικ:

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

Ας δούμε τις ρυθμίσεις.

Αρχικά διαμορφώθηκε μετρήσεις, αυτή είναι η τιμή με την οποία θα συγκεντρωθούν όλα τα πεδία. Οι μετρήσεις υπολογίζονται με βάση τις τιμές που εξάγονται με τον ένα ή τον άλλο τρόπο από έγγραφα. Οι τιμές εξάγονται συνήθως από χωράφια έγγραφο, αλλά μπορεί επίσης να δημιουργηθεί χρησιμοποιώντας σενάρια. Σε αυτή την περίπτωση βάζουμε Συνάθροιση: Καταμέτρηση (συνολικός αριθμός κορμών).

Μετά από αυτό, χωρίζουμε τον πίνακα σε τμήματα (πεδία) με τα οποία θα υπολογιστεί η μέτρηση. Αυτή η λειτουργία εκτελείται από τη ρύθμιση Buckets, η οποία με τη σειρά της αποτελείται από 2 επιλογές ρυθμίσεων:

  1. διαίρεση σειρών - προσθήκη στηλών και στη συνέχεια διαίρεση του πίνακα σε σειρές
  2. διαίρεση πίνακα - διαίρεση σε πολλούς πίνακες με βάση τις τιμές ενός συγκεκριμένου πεδίου.

В κουβάδες μπορείτε να προσθέσετε πολλές διαιρέσεις για να δημιουργήσετε πολλές στήλες ή πίνακες, οι περιορισμοί εδώ είναι μάλλον λογικοί. Συγκεντρωτικά, μπορείτε να επιλέξετε ποια μέθοδος θα χρησιμοποιηθεί για τη διαίρεση σε τμήματα: εύρος ipv4, εύρος ημερομηνιών, Όροι κ.λπ. Η πιο ενδιαφέρουσα επιλογή είναι ακριβώς Όροι и Σημαντικοί Όροι, η διαίρεση σε τμήματα πραγματοποιείται σύμφωνα με τις τιμές ενός συγκεκριμένου πεδίου ευρετηρίου, η διαφορά μεταξύ τους έγκειται στον αριθμό των επιστρεφόμενων τιμών και στην εμφάνισή τους. Επειδή θέλουμε να διαιρέσουμε τον πίνακα με το όνομα των λεπίδων, επιλέγουμε το πεδίο - προϊόν.λέξη κλειδί και ορίστε το μέγεθος σε 25 επιστρεφόμενες τιμές.

Αντί για συμβολοσειρές, το elasticsearch χρησιμοποιεί 2 τύπους δεδομένων - κείμενο и λέξη-κλειδί. Εάν θέλετε να πραγματοποιήσετε αναζήτηση πλήρους κειμένου, θα πρέπει να χρησιμοποιήσετε τον τύπο κειμένου, κάτι πολύ βολικό όταν γράφετε τη δική σας υπηρεσία αναζήτησης, για παράδειγμα, αναζητώντας μια αναφορά μιας λέξης σε μια συγκεκριμένη τιμή πεδίου (κείμενο). Εάν θέλετε μόνο μια ακριβή αντιστοίχιση, θα πρέπει να χρησιμοποιήσετε τον τύπο λέξης-κλειδιού. Επίσης, ο τύπος δεδομένων λέξης-κλειδιού θα πρέπει να χρησιμοποιείται για πεδία που απαιτούν ταξινόμηση ή συγκέντρωση, δηλαδή στην περίπτωσή μας.

Ως αποτέλεσμα, το Elasticsearch μετράει τον αριθμό των αρχείων καταγραφής για ορισμένο χρόνο, αθροιστικά με την τιμή στο πεδίο προϊόντος. Στο Custom Label, ορίζουμε το όνομα της στήλης που θα εμφανίζεται στον πίνακα, ορίζουμε την ώρα για την οποία συλλέγουμε αρχεία καταγραφής, ξεκινάμε την απόδοση - Η Kibana στέλνει ένα αίτημα στο elasticsearch, περιμένει μια απάντηση και, στη συνέχεια, οπτικοποιεί τα δεδομένα που λαμβάνονται. Το τραπέζι είναι έτοιμο!

Διάγραμμα πίτας για συμβάντα Πρόληψης Απειλών

Ιδιαίτερο ενδιαφέρον παρουσιάζει η ενημέρωση για το πόσες αντιδράσεις υπάρχουν ως ποσοστό ανίχνευση и πρόληψη σχετικά με συμβάντα ασφάλειας πληροφοριών στην τρέχουσα πολιτική ασφάλειας. Ένα γράφημα πίτας λειτουργεί καλά για αυτήν την κατάσταση. Επιλέξτε στο Visualize - Διάγραμμα πίτας. Επίσης στη μέτρηση ορίσαμε τη συγκέντρωση με βάση τον αριθμό των αρχείων καταγραφής. Σε κουβάδες βάζουμε Όροι => δράση.

Όλα φαίνονται να είναι σωστά, αλλά το αποτέλεσμα δείχνει τιμές για όλες τις λεπίδες. θα πρέπει να φιλτράρετε μόνο από εκείνες τις λεπίδες που λειτουργούν στο πλαίσιο του Threat Prevention. Επομένως, σίγουρα το ρυθμίσαμε φίλτρο προκειμένου να αναζητήσετε πληροφορίες μόνο για blades που είναι υπεύθυνα για συμβάντα ασφάλειας πληροφοριών - προϊόν: ("Anti-Bot" Ή "New Anti-Virus" Ή "DDoS Protector" Ή "SmartDefense" Ή "Threat Emulation"). Στην εικόνα μπορείτε να κάνετε κλικ:

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

Και πιο λεπτομερείς ρυθμίσεις, η εικόνα μπορεί να κάνει κλικ:

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

Πίνακας συμβάντων IPS

Στη συνέχεια, πολύ σημαντικό από την άποψη της ασφάλειας πληροφοριών είναι η προβολή και ο έλεγχος γεγονότων στο blade. IPS и Εξομοίωση απειλώνΌτι δεν είναι μπλοκαρισμένα τρέχουσα πολιτική, για να αλλάξετε στη συνέχεια την υπογραφή για να αποτρέψετε, ή εάν η κίνηση είναι έγκυρη, μην ελέγξετε την υπογραφή. Δημιουργούμε τον πίνακα με τον ίδιο τρόπο όπως στο πρώτο παράδειγμα, με τη μόνη διαφορά ότι δημιουργούμε πολλές στήλες: protects.keyword, severity.keyword, product.keyword, originsicname.keyword. Φροντίστε να ρυθμίσετε ένα φίλτρο για να αναζητάτε πληροφορίες μόνο για blades που είναι υπεύθυνα για συμβάντα ασφάλειας πληροφοριών - προϊόν: (“SmartDefense” Ή “Threat Emulation”). Στην εικόνα μπορείτε να κάνετε κλικ:

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

Πιο λεπτομερείς ρυθμίσεις, η εικόνα μπορεί να κάνει κλικ:

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

Διαγράμματα για τους πιο δημοφιλείς ιστότοπους που επισκέφθηκαν

Για να το κάνετε αυτό, δημιουργήστε μια φιγούρα - Κάθετη ράβδος. Χρησιμοποιούμε επίσης την καταμέτρηση (άξονας Y) ως μέτρηση και στον άξονα Χ θα χρησιμοποιήσουμε το όνομα των τοποθεσιών που επισκεφτήκαμε ως τιμές - "appi_name". Υπάρχει ένα μικρό κόλπο εδώ: εάν εκτελέσετε τις ρυθμίσεις στην τρέχουσα έκδοση, τότε όλοι οι ιστότοποι θα επισημαίνονται στο γράφημα με το ίδιο χρώμα, για να τους κάνουμε πολύχρωμους χρησιμοποιούμε μια πρόσθετη ρύθμιση - "split series", η οποία σας επιτρέπει να διαιρέσετε μια έτοιμη στήλη σε πολλές ακόμη τιμές, ανάλογα με το επιλεγμένο πεδίο, φυσικά! Αυτή η διαίρεση μπορεί είτε να χρησιμοποιηθεί ως μία πολύχρωμη στήλη σύμφωνα με τιμές σε λειτουργία στοίβαξης, είτε σε κανονική λειτουργία για τη δημιουργία πολλών στηλών σύμφωνα με μια συγκεκριμένη τιμή στον άξονα Χ. Σε αυτήν την περίπτωση, εδώ χρησιμοποιούμε την ίδια τιμή όπως στον άξονα Χ, αυτό καθιστά δυνατή τη δημιουργία όλων των στηλών πολύχρωμων, θα υποδεικνύονται με χρώματα επάνω δεξιά. Στο φίλτρο που ορίσαμε - προϊόν: “URL Filtering” για να βλέπετε πληροφορίες μόνο σε ιστότοπους που έχετε επισκεφτεί, η εικόνα μπορεί να κάνει κλικ:

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

Ρυθμίσεις:

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

Διάγραμμα για τη χρήση των πιο επικίνδυνων εφαρμογών

Για να το κάνετε αυτό, δημιουργήστε ένα σχήμα - Κάθετη γραμμή. Χρησιμοποιούμε επίσης το count (άξονας Y) ως μέτρηση και στον άξονα X θα χρησιμοποιήσουμε το όνομα των εφαρμογών που χρησιμοποιήθηκαν - "appi_name" ως τιμές. Το πιο σημαντικό είναι η ρύθμιση φίλτρου - προϊόν: «Έλεγχος εφαρμογής» ΚΑΙ app_risk: (4 Ή 5 Ή 3 ) ΚΑΙ ενέργεια: «αποδοχή». Φιλτράρουμε τα αρχεία καταγραφής από τη λεπίδα ελέγχου εφαρμογής, λαμβάνοντας μόνο εκείνες τις τοποθεσίες που κατηγοριοποιούνται ως τοποθεσίες κρίσιμου, υψηλού, μεσαίου κινδύνου και μόνο εάν επιτρέπεται η πρόσβαση σε αυτές τις τοποθεσίες. Στην εικόνα μπορείτε να κάνετε κλικ:

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

Ρυθμίσεις, με δυνατότητα κλικ:

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

Ταμπλό

Η προβολή και η δημιουργία πινάκων εργαλείων βρίσκεται σε ξεχωριστό στοιχείο μενού - Ταμπλό . Όλα είναι απλά εδώ, δημιουργείται ένα νέο ταμπλό, προστίθεται οπτικοποίηση, τοποθετείται στη θέση του και αυτό είναι!

Δημιουργούμε έναν πίνακα εργαλείων με τον οποίο μπορείτε να κατανοήσετε τη βασική κατάσταση της κατάστασης ασφάλειας πληροφοριών σε έναν οργανισμό, φυσικά, μόνο σε επίπεδο Σημείου ελέγχου, η εικόνα μπορεί να κάνει κλικ:

3. Ελαστική στοίβα: ανάλυση αρχείων καταγραφής ασφαλείας. Ταμπλό

Με βάση αυτά τα γραφήματα, μπορούμε να καταλάβουμε ποιες κρίσιμες υπογραφές δεν είναι αποκλεισμένες στο τείχος προστασίας, πού πηγαίνουν οι χρήστες και ποιες είναι οι πιο επικίνδυνες εφαρμογές που χρησιμοποιούν.

Συμπέρασμα

Εξετάσαμε τις δυνατότητες της βασικής οπτικοποίησης στο Kibana και δημιουργήσαμε έναν πίνακα εργαλείων, αλλά αυτό είναι μόνο ένα μικρό μέρος. Περαιτέρω στο μάθημα θα δούμε ξεχωριστά τη ρύθμιση χαρτών, την εργασία με το σύστημα elasticsearch, την εξοικείωση με αιτήματα API, την αυτοματοποίηση και πολλά άλλα!

Μείνετε συντονισμένοι λοιπόνTelegram, Facebook, VK, Ιστολόγιο TS Solution), Γιάντεξ Ζεν.

Πηγή: www.habr.com

Αγοράστε αξιόπιστη φιλοξενία για ιστότοπους με προστασία DDoS, διακομιστές VPS VDS 🔥 Αγοράστε αξιόπιστη φιλοξενία ιστοσελίδων με προστασία DDoS, διακομιστές VPS VDS | ProHoster