ProHoster > Blog > διαχείριση > TS Total Sight. Εργαλείο αυτοματισμού συλλογής συμβάντων, ανάλυσης περιστατικών και απόκρισης απειλών

TS Total Sight. Εργαλείο αυτοματισμού συλλογής συμβάντων, ανάλυσης περιστατικών και απόκρισης απειλών

TS Total Sight. Εργαλείο αυτοματισμού συλλογής συμβάντων, ανάλυσης περιστατικών και απόκρισης απειλών

Καλησπέρα, σε προηγούμενα άρθρα γνωρίσαμε τη δουλειά του ELK Stack. Και τώρα θα συζητήσουμε τις δυνατότητες που μπορεί να πραγματοποιήσει ένας ειδικός στην ασφάλεια πληροφοριών στη χρήση αυτών των συστημάτων. Ποια αρχεία καταγραφής μπορούν και πρέπει να προστεθούν στο elasticsearch. Ας εξετάσουμε ποια στατιστικά στοιχεία μπορούν να ληφθούν με τη ρύθμιση των πινάκων εργαλείων και εάν υπάρχει κέρδος σε αυτό. Πώς μπορώ να εφαρμόσω αυτοματοποίηση των διαδικασιών ασφάλειας πληροφοριών χρησιμοποιώντας τη στοίβα ELK. Ας φτιάξουμε την αρχιτεκτονική του συστήματος. Εν ολίγοις, η υλοποίηση όλης της λειτουργικότητας είναι ένα πολύ μεγάλο και δύσκολο έργο, επομένως στη λύση δόθηκε ένα ξεχωριστό όνομα - TS Total Sight.

Επί του παρόντος, οι λύσεις που ενοποιούν και αναλύουν περιστατικά ασφάλειας πληροφοριών σε ένα λογικό μέρος κερδίζουν δημοτικότητα, ως αποτέλεσμα, ένας ειδικός λαμβάνει στατιστικά στοιχεία και ένα μέτωπο δράσης για τη βελτίωση της κατάστασης της ασφάλειας πληροφοριών σε έναν οργανισμό. Θέσαμε έναν τέτοιο στόχο χρησιμοποιώντας τη στοίβα ELK, ως αποτέλεσμα, ξεχωρίσαμε την κύρια λειτουργικότητα σε 4 ενότητες:

  1. Στατιστικά στοιχεία και οπτικοποίηση.
  2. Ανίχνευση περιστατικού IS.
  3. Προτεραιότητα περιστατικών.
  4. Αυτοματοποίηση διαδικασιών ασφάλειας πληροφοριών.

Ας ρίξουμε μια πιο προσεκτική ματιά σε κάθε ένα με περισσότερες λεπτομέρειες.

Ανίχνευση συμβάντων ασφάλειας πληροφοριών

Το κύριο καθήκον στη χρήση του elasticsearch στην περίπτωσή μας είναι να συλλέγουμε μόνο περιστατικά ασφάλειας πληροφοριών. Μπορείτε να συλλέξετε συμβάντα ασφάλειας πληροφοριών από οποιοδήποτε μέσο προστασίας, εάν υποστηρίζει τουλάχιστον ορισμένες λειτουργίες μεταφοράς αρχείων καταγραφής, η τυπική είναι η αποθήκευση syslog ή scp σε ένα αρχείο.

Μπορείτε να δώσετε τυπικά παραδείγματα εργαλείων προστασίας και όχι μόνο από όπου πρέπει να διαμορφώσετε την προώθηση των αρχείων καταγραφής:

  1. Τυχόν κεφάλαια NGFW (Check Point, Fortinet).
  2. Τυχόν σαρωτές ευπάθειας (PT Scanner, OpenVas).
  3. Τείχος προστασίας εφαρμογών Ιστού (PTAF);
  4. Αναλυτές Netflow (Flowmon, Cisco StealthWatch);
  5. Διακομιστής AD.

Αφού ρυθμίσετε το Logstash για αποστολή αρχείων καταγραφής και διαμόρφωσης, μπορείτε να συσχετίσετε και να συγκρίνετε με περιστατικά που προέρχονται από διάφορα εργαλεία ασφαλείας. Για να γίνει αυτό, είναι βολικό να χρησιμοποιείτε ευρετήρια, στα οποία θα αποθηκεύουμε όλα τα περιστατικά που σχετίζονται με μια συγκεκριμένη συσκευή. Με άλλα λόγια, ένας δείκτης είναι όλα τα συμβάντα για μία συσκευή. Αυτή η διανομή μπορεί να υλοποιηθεί με δύο τρόπους.

Η πρώτη επιλογή είναι να ρυθμίσετε τις παραμέτρους Logstash config. Για να γίνει αυτό, πρέπει να αντιγράψετε το αρχείο καταγραφής για ορισμένα πεδία σε μια ξεχωριστή μονάδα με διαφορετικό τύπο. Και στη συνέχεια χρησιμοποιήστε αυτόν τον τύπο. Το παράδειγμα κλωνοποιεί αρχεία καταγραφής από τη λεπίδα IPS του τείχους προστασίας Check Point.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Για να αποθηκεύσετε τέτοια συμβάντα σε ξεχωριστό ευρετήριο ανάλογα με τα πεδία των αρχείων καταγραφής, για παράδειγμα, όπως η IP προορισμού της υπογραφής επίθεσης. Μπορείτε να χρησιμοποιήσετε παρόμοια κατασκευή:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Και με αυτόν τον τρόπο, μπορείτε να αποθηκεύσετε όλα τα περιστατικά στο ευρετήριο, για παράδειγμα, με διεύθυνση IP ή με το όνομα τομέα του μηχανήματος. Σε αυτή την περίπτωση, αποθηκεύουμε στο ευρετήριο "smartdefense-%{dst}", από τη διεύθυνση IP του προορισμού της υπογραφής.

Ωστόσο, διαφορετικά προϊόντα θα έχουν διαφορετικά πεδία καταγραφής, με αποτέλεσμα το χάος και τη σπατάλη μνήμης. Και εδώ θα χρειαστεί είτε να αντικαταστήσετε προσεκτικά τα πεδία στις ρυθμίσεις διαμόρφωσης Logstash με προσχεδιασμένα, τα οποία θα είναι τα ίδια για όλους τους τύπους περιστατικών, κάτι που είναι επίσης δύσκολο.

Δεύτερη επιλογή υλοποίησης - αυτό είναι η σύνταξη ενός σεναρίου ή μιας διαδικασίας που θα έχει πρόσβαση στην ελαστική βάση σε πραγματικό χρόνο, θα βγάλει τα απαραίτητα περιστατικά και θα τα αποθηκεύσει σε ένα νέο ευρετήριο, αυτό είναι ένα δύσκολο έργο, αλλά σας επιτρέπει να εργαστείτε με τα αρχεία καταγραφής όπως θέλετε και συσχετίζονται άμεσα με περιστατικά από άλλα εργαλεία ασφαλείας. Αυτή η επιλογή σάς επιτρέπει να προσαρμόσετε την εργασία με αρχεία καταγραφής όσο το δυνατόν πιο χρήσιμα για την περίπτωσή σας με μέγιστη ευελιξία, αλλά εδώ υπάρχει πρόβλημα στην εύρεση ενός ειδικού που μπορεί να το εφαρμόσει.

Και, φυσικά, το πιο σημαντικό ερώτημα τι μπορεί να συσχετιστεί και να εντοπιστεί?

Μπορεί να υπάρχουν πολλές επιλογές εδώ και ανάλογα με τα εργαλεία ασφαλείας που χρησιμοποιούνται στην υποδομή σας, μερικά παραδείγματα:

  1. Η πιο προφανής και από την άποψή μου η πιο ενδιαφέρουσα επιλογή για όσους έχουν μια λύση NGFW και έναν σαρωτή ευπάθειας. Αυτή είναι μια σύγκριση των αρχείων καταγραφής IPS και των αποτελεσμάτων σάρωσης ευπάθειας. Εάν μια επίθεση εντοπίστηκε (δεν μπλοκαρίστηκε) από το σύστημα IPS και αυτή η ευπάθεια δεν είναι κλειστή στο τελικό μηχάνημα με βάση τα αποτελέσματα της σάρωσης, είναι απαραίτητο να ανατιναχθούν όλοι οι σωλήνες, καθώς υπάρχει μεγάλη πιθανότητα η ευπάθεια να ήταν εκμεταλλεύονται.
  2. Πολλές προσπάθειες σύνδεσης από ένα μηχάνημα σε διαφορετικά μέρη μπορεί να συμβολίζουν κακόβουλη δραστηριότητα.
  3. Λήψη αρχείων ιών από τον χρήστη λόγω επίσκεψης τεράστιου αριθμού δυνητικά επικίνδυνων τοποθεσιών.

Στατιστική και οπτικοποίηση

Ο πιο προφανής και κατανοητός σκοπός του ELK Stack είναι η αποθήκευση και η οπτικοποίηση των αρχείων καταγραφής, σε παλαιότερα άρθρα παρουσιάστηκε πώς μπορείτε να λάβετε αρχεία καταγραφής από διάφορες συσκευές χρησιμοποιώντας το Logstash. Αφού μεταβούν τα αρχεία καταγραφής στο Elasticsearch, μπορείτε να ρυθμίσετε πίνακες εργαλείων, στους οποίους αναφέρθηκαν επίσης σε παλαιότερα άρθρα, με τις πληροφορίες και τα στατιστικά στοιχεία που χρειάζεστε μέσω της οπτικοποίησης.

Παραδείγματα:

  1. Συμβάντα Dashboard of Threat Prevention με τα πιο κρίσιμα συμβάντα. Εδώ μπορείτε να απεικονίσετε ποιες υπογραφές IPS εντοπίστηκαν, από πού προέρχονται γεωγραφικά.

    TS Total Sight. Εργαλείο αυτοματισμού συλλογής συμβάντων, ανάλυσης περιστατικών και απόκρισης απειλών

  2. Πίνακας ελέγχου για τη χρήση των πιο κρίσιμων εφαρμογών για τις οποίες μπορούν να διαρρεύσουν πληροφορίες.

    TS Total Sight. Εργαλείο αυτοματισμού συλλογής συμβάντων, ανάλυσης περιστατικών και απόκρισης απειλών

  3. Σάρωση αποτελεσμάτων από οποιονδήποτε σαρωτή ασφαλείας.

    TS Total Sight. Εργαλείο αυτοματισμού συλλογής συμβάντων, ανάλυσης περιστατικών και απόκρισης απειλών

  4. Αρχεία καταγραφής από την υπηρεσία καταλόγου Active Directory από χρήστες.

    TS Total Sight. Εργαλείο αυτοματισμού συλλογής συμβάντων, ανάλυσης περιστατικών και απόκρισης απειλών

  5. Πίνακας ελέγχου σύνδεσης VPN.

Σε αυτήν την περίπτωση, εάν ρυθμίσετε τους πίνακες εργαλείων να ενημερώνονται κάθε λίγα δευτερόλεπτα, μπορείτε να αποκτήσετε ένα αρκετά βολικό σύστημα για την παρακολούθηση συμβάντων σε πραγματικό χρόνο, το οποίο μπορεί στη συνέχεια να χρησιμοποιηθεί για να ανταποκριθεί σε περιστατικά ασφάλειας πληροφοριών όσο το δυνατόν γρηγορότερα, εάν τοποθετήσετε πίνακες εργαλείων σε ξεχωριστή οθόνη.

Προτεραιοποίηση συμβάντων

Σε συνθήκες μεγάλης υποδομής, ο αριθμός των περιστατικών μπορεί να ξεφύγει από την κλίμακα και οι ειδικοί δεν θα έχουν χρόνο να αναλύσουν όλα τα περιστατικά εγκαίρως. Σε αυτή την περίπτωση, είναι απαραίτητο πρώτα από όλα να ξεχωρίσουμε μόνο εκείνα τα περιστατικά που εγκυμονούν μεγάλη απειλή. Επομένως, το σύστημα πρέπει να ιεραρχήσει τα συμβάντα ανάλογα με τη σοβαρότητά τους σε σχέση με την υποδομή σας. Συνιστάται να δημιουργήσετε μια ειδοποίηση μέσω ταχυδρομείου ή τηλεγραφημάτων για αυτές τις εκδηλώσεις. Η ιεράρχηση προτεραιοτήτων μπορεί να υλοποιηθεί χρησιμοποιώντας τακτικά εργαλεία Kibana, ρυθμίζοντας την οπτικοποίηση. Αλλά με μια ειδοποίηση είναι πιο δύσκολο, από προεπιλογή αυτή η λειτουργία δεν περιλαμβάνεται στη βασική έκδοση του Elasticsearch, μόνο στην επί πληρωμή. Επομένως, είτε αγοράστε μια πληρωμένη έκδοση ή, πάλι, γράψτε μόνοι σας μια διαδικασία που θα ειδοποιεί τους ειδικούς σε πραγματικό χρόνο μέσω ταχυδρομείου ή τηλεγραφήματος.

Αυτοματοποίηση διαδικασιών ασφάλειας πληροφοριών

Και ένα από τα πιο ενδιαφέροντα μέρη είναι η αυτοματοποίηση ενεργειών για συμβάντα ασφάλειας πληροφοριών. Προηγουμένως, εφαρμόσαμε αυτήν τη λειτουργία για το Splunk, μπορείτε να διαβάσετε λίγο περισσότερα σε αυτό άρθρο. Η βασική ιδέα είναι ότι η πολιτική IPS δεν δοκιμάζεται ποτέ ούτε βελτιστοποιείται, αν και σε ορισμένες περιπτώσεις αποτελεί ουσιαστικό μέρος των διαδικασιών ασφάλειας πληροφοριών. Για παράδειγμα, ένα χρόνο μετά την εφαρμογή του NGFW και την απουσία ενεργειών για τη βελτιστοποίηση του IPS, θα συγκεντρώσετε μεγάλο αριθμό υπογραφών με την ενέργεια Detect που δεν θα αποκλειστεί, γεγονός που μειώνει σημαντικά την κατάσταση ασφάλειας πληροφοριών στον οργανισμό. Ακολουθούν μερικά παραδείγματα για το τι μπορεί να αυτοματοποιηθεί:

  1. Αλλαγή της υπογραφής IPS από Ανίχνευση σε Αποτροπή. Εάν το Prevent δεν λειτουργεί σε κρίσιμες υπογραφές, τότε αυτό είναι εκτός λειτουργίας και αποτελεί σοβαρή παραβίαση του συστήματος προστασίας. Αλλάζουμε τη δράση στην πολιτική σε τέτοιες υπογραφές. Αυτή η λειτουργία μπορεί να υλοποιηθεί εάν η συσκευή NGFW έχει τη λειτουργία REST API. Αυτό είναι δυνατό μόνο εάν έχετε δεξιότητες προγραμματισμού, πρέπει να βγάλετε τις απαραίτητες πληροφορίες από το Elastcisearch και να εκτελέσετε αιτήματα API στον διακομιστή ελέγχου NGFW.
  2. Εάν εντοπίστηκαν ή αποκλείστηκαν πολλές υπογραφές στην κυκλοφορία δικτύου από μία διεύθυνση IP, τότε είναι λογικό να αποκλειστεί αυτή η διεύθυνση IP για κάποιο χρονικό διάστημα στην πολιτική του Τείχους προστασίας. Η υλοποίηση συνίσταται επίσης στη χρήση του REST API.
  3. Εκκινήστε μια σάρωση κεντρικού υπολογιστή με έναν σαρωτή ευπάθειας εάν αυτός ο κεντρικός υπολογιστής έχει μεγάλο αριθμό υπογραφών για IPS ή άλλα εργαλεία ασφαλείας, εάν είναι OpenVas, τότε μπορείτε να γράψετε ένα σενάριο που θα συνδεθεί μέσω ssh στον σαρωτή ασφαλείας και θα εκτελέσετε τη σάρωση.

TS Total Sight. Εργαλείο αυτοματισμού συλλογής συμβάντων, ανάλυσης περιστατικών και απόκρισης απειλών

TS Total Sight

Εν ολίγοις, η υλοποίηση όλης της λειτουργικότητας είναι ένα πολύ μεγάλο και δύσκολο έργο. Χωρίς δεξιότητες προγραμματισμού, μπορείτε να ρυθμίσετε την ελάχιστη λειτουργικότητα, η οποία μπορεί να είναι αρκετή για χρήση στην παραγωγικότητα. Αν όμως σας ενδιαφέρει όλη η λειτουργικότητα, μπορείτε να δώσετε προσοχή στο TS Total Sight. Μπορείτε να βρείτε περισσότερες λεπτομέρειες στο δικό μας Σε απευθείας σύνδεση. Ως αποτέλεσμα, ολόκληρο το σχέδιο εργασίας και αρχιτεκτονικής θα μοιάζει με αυτό:

TS Total Sight. Εργαλείο αυτοματισμού συλλογής συμβάντων, ανάλυσης περιστατικών και απόκρισης απειλών

Συμπέρασμα

Εξετάσαμε τι μπορεί να υλοποιηθεί χρησιμοποιώντας τη Στοίβα ELK. Σε επόμενα άρθρα, θα εξετάσουμε ξεχωριστά με περισσότερες λεπτομέρειες τη λειτουργικότητα του TS Total Sight!

Μείνετε συντονισμένοι λοιπόνTelegram, Facebook, VK, Ιστολόγιο TS Solution), Γιάντεξ Ζεν.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο