En antaŭaj artikoloj, ni iom konatiĝis kun la alko-stako kaj agordis la agordan dosieron Logstash por la protokolo-analizilo.En ĉi tiu artikolo, ni transiros al la plej grava afero de analiza vidpunkto, kion vi volas. vidu el la sistemo kaj por kio ĉio estis kreita - ĉi tiuj estas grafikaĵoj kaj tabeloj kombinitaj en paneloj. Hodiaŭ ni rigardos pli detale la bildigan sistemon Kibana, ni rigardos kiel krei grafikaĵojn kaj tabelojn, kaj kiel rezulto ni konstruos simplan panelon bazitan sur protokoloj de la fajroŝirmilo Check Point.
La unua paŝo por labori kun kibana estas krei indeksa ŝablono, logike, tio estas bazo de indeksoj kunigitaj laŭ certa principo. Kompreneble, ĉi tio estas nur agordo por igi Kibana pli oportune serĉi informojn tra ĉiuj indeksoj samtempe. Ĝi estas agordita kongruante kun ĉeno, diru "checkpoint-*" kaj la nomo de la indekso. Ekzemple, "checkpoint-2019.12.05" taŭgus la ŝablonon, sed simple "kontrolpunkto" ne plu ekzistas. Menciindas aparte, ke serĉante ne eblas serĉi informojn pri malsamaj indeksaj ŝablonoj samtempe; iom poste en postaj artikoloj ni vidos, ke API-petoj estas faritaj aŭ per la nomo de la indekso, aŭ nur per unu. linio de la ŝablono, la bildo estas klakebla:
Post ĉi tio, ni kontrolas en la Malkovru menuo, ke ĉiuj protokoloj estas indeksitaj kaj la ĝusta analizilo estas agordita. Se oni trovas iujn nekonsekvencojn, ekzemple ŝanĝante la datumtipo de ĉeno al entjero, vi devas redakti la agordan dosieron de Logstash, kiel rezulto, novaj protokoloj estos skribitaj ĝuste. Por ke la malnovaj protokoloj alprenu la deziratan formon antaŭ la ŝanĝo, nur la reindeksiga procezo helpas; en postaj artikoloj ĉi tiu operacio estos diskutita pli detale. Ni certigu, ke ĉio estas en ordo, la bildo estas klakebla:
La ŝtipoj estas en loko, kio signifas, ke ni povas komenci konstrui instrumentpanelojn. Surbaze de la analizo de paneloj de sekurecaj produktoj, vi povas kompreni la staton de informa sekureco en organizo, klare vidi vundeblecojn en la nuna politiko, kaj poste disvolvi manierojn forigi ilin. Ni konstruu malgrandan panelon uzante plurajn bildigajn ilojn. La panelo konsistos el 5 komponantoj:
- tabelo por kalkuli la totalan nombron de ŝtipoj per klingoj
- tabelo pri kritikaj IPS-subskriboj
- tortdiagramo por eventoj pri Minaco-Preventado
- diagramo de la plej popularaj vizititaj retejoj
- diagramo pri la uzo de la plej danĝeraj aplikoj
Por krei bildigajn figurojn, vi devas iri al la menuo bildigi, kaj elektu la deziratan figuron, kiun ni volas konstrui! Ni iru en ordo.
Tabelo por kalkuli la totalan nombron de ŝtipoj per klingo
Por fari tion, elektu figuron Datumoj Tabelo, ni falas en la ekipaĵon por krei grafikaĵojn, maldekstre estas la agordoj de la figuro, dekstre kiel ĝi aspektos en la nunaj agordoj. Unue, mi montros kiel aspektos la finita tablo, post tio ni trarigardos la agordojn, la bildo estas klakebla:
Pli detalaj agordoj de la figuro, la bildo estas klakebla:
Ni rigardu la agordojn.
Komence agordita metrikoj, ĉi tiu estas la valoro per kiu ĉiuj kampoj estos agregitaj. Metrikoj estas kalkulitaj surbaze de valoroj ĉerpitaj laŭ unu maniero aŭ alia el dokumentoj. La valoroj estas kutime ĉerpitaj de kampoj dokumento, sed ankaŭ povas esti generita per skriptoj. En ĉi tiu kazo ni enmetas Agregado: grafo (tuta nombro da protokoloj).
Post ĉi tio, ni dividas la tabelon en segmentojn (kampojn) per kiuj la metriko estos kalkulita. Ĉi tiu funkcio estas plenumita de la agordo Siteloj, kiu siavice konsistas el 2 agordaj opcioj:
- dividi vicojn - aldonante kolumnojn kaj poste dividante la tabelon en vicojn
- dividita tablo - divido en plurajn tabelojn surbaze de la valoroj de specifa kampo.
В Rubujoj vi povas aldoni plurajn dividojn por krei plurajn kolumnojn aŭ tabelojn, la limigoj ĉi tie estas sufiĉe logikaj. En agregado, vi povas elekti, kiun metodon estos uzata por dividi en segmentojn: ipv4-amplekso, datintervalo, Kondiĉoj ktp. La plej interesa elekto estas ĝuste Kondiĉoj и Signifaj Terminoj, divido en segmentoj estas farata laŭ la valoroj de specifa indeksa kampo, la diferenco inter ili kuŝas en la nombro de revenitaj valoroj, kaj ilia montrado. Ĉar ni volas dividi la tabelon per la nomo de la klingoj, ni elektas la kampon - produkto.ŝlosilvorto kaj agordu la grandecon al 25 revenitaj valoroj.
Anstataŭ ĉenoj, elasticsearch uzas 2 datumtipojn - teksto и ŝlosilvorto. Se vi volas fari plentekstan serĉon, vi devus uzi la tekstspecon, tre oportuna afero kiam vi verkas vian serĉservon, ekzemple, serĉante mencion de vorto en specifa kampovaloro (teksto). Se vi volas nur ĝustan kongruon, vi devus uzi la ŝlosilvorton. Ankaŭ, la ŝlosilvorto datumtipo devus esti uzata por kampoj kiuj postulas ordigon aŭ agregadon, tio estas, en nia kazo.
Kiel rezulto, Elasticsearch kalkulas la nombron da ŝtipoj dum certa tempo, kunigita per la valoro en la produkta kampo. En Propra Etikedo, ni fiksas la nomon de la kolumno, kiu estos montrata en la tabelo, fiksas la tempon por kiu ni kolektas protokolojn, komencas bildigi - Kibana sendas peton al elasticsearch, atendas respondon kaj poste bildigas la ricevitajn datumojn. La tablo estas preta!
Torta diagramo por eventoj pri Minaco-Preventado
Aparte interesas la informo pri kiom da reagoj estas procente detekti и malebligi pri informsekurecaj okazaĵoj en la nuna sekureca politiko. Torta diagramo funkcias bone por ĉi tiu situacio. Elektu en Vidigu - Torto. Ankaŭ en la metriko ni starigas agregadon laŭ la nombro da ŝtipoj. En sitelojn ni metas Terminojn => ago.
Ĉio ŝajnas ĝusta, sed la rezulto montras valorojn por ĉiuj klingoj; vi devas filtri nur per tiuj klingoj, kiuj funkcias en la kadro de Minaco-Preventado. Tial ni certe starigis ĝin filtrilo por serĉi informojn nur pri klingoj respondecaj pri informsekurecaj okazaĵoj - produkto: ("Anti-Bot" AŬ "Nova Anti-Virus" AŬ "DDoS Protektanto" AŬ "SmartDefense" AŬ "Minaco-Emulado"). La bildo estas klakebla:
Kaj pli detalaj agordoj, la bildo estas klakebla:
IPS Eventa Tablo
Poste, tre grava el la vidpunkto pri informa sekureco estas vidi kaj kontroli eventojn sur la klingo. IPS и Emulado de Minaco, которые ne estas blokitaj aktuala politiko, por poste aŭ ŝanĝi la subskribon por malhelpi, aŭ se la trafiko validas, ne kontrolu la subskribon. Ni kreas la tabelon same kiel por la unua ekzemplo, kun la sola diferenco, ke ni kreas plurajn kolumnojn: protektoj.ŝlosilvorto, severeco.ŝlosilvorto, produkto.ŝlosilvorto, originsicname.keyword. Nepre starigu filtrilon por serĉi informojn nur pri klingoj respondecaj pri informaj sekurecaj okazaĵoj - produkto: ("SmartDefense" AŬ "Emulado de Minaco"). La bildo estas klakebla:
Pli detalaj agordoj, la bildo estas klakebla:
Furorlisto por la plej popularaj vizititaj retejoj
Por fari tion, kreu figuron - Vertikala Trinkejo. Ni ankaŭ uzas kalkulon (Y-akso) kiel metrikon, kaj sur la X-akso ni uzos la nomon de vizititaj retejoj kiel valorojn - "appi_name". Estas malgranda lertaĵo ĉi tie: se vi ruligas la agordojn en la nuna versio, tiam ĉiuj retejoj estos markitaj sur la diagramo per la sama koloro, por fari ilin plurkoloraj ni uzas plian agordon - "dividi serion", kiu permesas vin dividi pretan kolumnon en plurajn pliajn valorojn, depende de la elektita kampo kompreneble! Tiu ĉi divido povas aŭ esti uzata kiel unu plurkolora kolumno laŭ valoroj en stakita reĝimo, aŭ en normala reĝimo por krei plurajn kolumnojn laŭ certa valoro sur la X-akso. En ĉi tiu kazo, ĉi tie ni uzas la sama valoro kiel sur la X-akso, tio ebligas fari ĉiujn kolumnojn plurkoloraj; ili estos indikitaj per koloroj supre dekstre. En la filtrilo, kiun ni starigis - produkto: "URL-Filtrado" por vidi informojn nur pri vizititaj retejoj, la bildo estas klakebla:
Agordoj:
Diagramo pri la uzo de la plej danĝeraj aplikoj
Por fari tion, kreu figuron - Vertikala Trinkejo. Ni ankaŭ uzas kalkulon (Y-akso) kiel metrikon, kaj sur la X-akso ni uzos la nomon de la uzataj aplikaĵoj - "appi_name" kiel valorojn. La plej grava estas la filtrila agordo - produkto: "Aplika Kontrolo" KAJ app_risko: (4 AŬ 5 AŬ 3) KAJ ago: "akceptu". Ni filtras la protokolojn per la Aplika kontrolklingo, prenante nur tiujn retejojn, kiuj estas klasifikitaj kiel Kritikaj, Altaj, Mezriskaj ejoj kaj nur se aliro al ĉi tiuj retejoj estas permesita. La bildo estas klakebla:
Agordoj, klakeblaj:
Panelo
Vidi kaj krei instrumentpanelojn estas en aparta menuero - Dashboard. Ĉio estas simpla ĉi tie, nova panelo estas kreita, bildigo estas aldonita al ĝi, metita en ĝian lokon kaj jen ĝi!
Ni kreas panelon per kiu vi povas kompreni la bazan situacion de la stato de informa sekureco en organizo, kompreneble, nur ĉe la Check Point-nivelo, la bildo estas klakebla:
Surbaze de ĉi tiuj grafikaĵoj, ni povas kompreni kiuj kritikaj subskriboj ne estas blokitaj sur la fajroŝirmilo, kien uzantoj iras, kaj kiaj la plej danĝeraj aplikoj ili uzas.
konkludo
Ni rigardis la kapablojn de baza bildigo en Kibana kaj konstruis panelon, sed ĉi tio estas nur malgranda parto. Plue en la kurso ni aparte rigardos starigi mapojn, labori kun la elasta serĉsistemo, konatiĝi kun API-petoj, aŭtomatigo kaj multe pli!
Do restu agordita, , , ), .
fonto: www.habr.com