ProHoster > Блог > Administrado > TS Tuta Vido. Eventa Kolekto, Okazaĵo-Analizo kaj Minaco-Responda Aŭtomatiga Ilo

TS Tuta Vido. Eventa Kolekto, Okazaĵo-Analizo kaj Minaco-Responda Aŭtomatiga Ilo

TS Tuta Vido. Eventa Kolekto, Okazaĵo-Analizo kaj Minaco-Responda Aŭtomatiga Ilo

Bonan posttagmezon, en antaŭaj artikoloj ni konatiĝis kun la laboro de ELK Stack. Nun ni diskutu la eblecojn, kiujn povas realigi specialisto pri informa sekureco en uzado de ĉi tiuj sistemoj. Kiaj protokoloj povas kaj devas esti enigitaj en elasticsearch. Ni konsideru, kiajn statistikojn oni povas akiri per starigo de paneloj kaj ĉu estas profito en ĉi tio. Kiel vi povas efektivigi aŭtomatigon de informaj sekurecaj procezoj per la ELK-stako. Ni desegnu la arkitekturon de la sistemo. Entute, la efektivigo de ĉiuj funkcioj estas tre granda kaj malfacila tasko, do la solvo ricevis apartan nomon - TS Total Sight.

Nuntempe, solvoj, kiuj solidigas kaj analizas informajn sekurecajn incidentojn en unu logika loko, rapide akiras popularecon, kiel rezulto, la specialisto ricevas statistikojn kaj limon de agado por plibonigi la staton de informa sekureco en la organizo. Ni starigis al ni ĉi tiun taskon uzante la ELK-stakon, kaj kiel rezulto ni dividis la ĉefan funkcion en 4 sekciojn:

  1. Statistiko kaj bildigo;
  2. Detekto de informsekurecaj okazaĵoj;
  3. Incidento prioritato;
  4. Aŭtomatigo de informaj sekurecaj procezoj.

Poste, ni rigardos ĉiun individue pli detale.

Detekto de incidentoj pri informa sekureco

La ĉefa tasko uzi elasticsearch en nia kazo estas kolekti nur informajn sekurecajn incidentojn. Vi povas kolekti informsekurecajn okazaĵojn de ajna sekureca rimedo se ili subtenas almenaŭ iujn reĝimojn de sendado de protokoloj, la normo estas syslog aŭ scp konservado al dosiero.

Vi povas doni normajn ekzemplojn de sekurecaj iloj kaj pli, de kie vi devus agordi la plusendon de protokoloj:

  1. Ajnaj NGFW-iloj (Check Point, Fortinet);
  2. Ajnaj vundeblaj skaniloj (PT Scanner, OpenVas);
  3. Reta Aplika Fajromuro (PT AF);
  4. netfluaj analiziloj (Flowmon, Cisco StealthWatch);
  5. AD-servilo.

Post kiam vi agordis la sendon de protokoloj kaj agordaj dosieroj en Logstash, vi povas korelacii kaj kompari kun incidentoj venantaj de diversaj sekurecaj iloj. Por fari tion, estas oportune uzi indeksojn, en kiuj ni stokos ĉiujn okazaĵojn rilatajn al specifa aparato. Alivorte, unu indekso estas ĉiuj okazaĵoj al unu aparato. Ĉi tiu distribuo povas esti efektivigita en 2 manieroj.

La unua eblo Ĉi tio estas por agordi la agordon de Logstash. Por fari tion, vi devas duobligi la protokolon por certaj kampoj en apartan unuon kun malsama tipo. Kaj poste uzu ĉi tiun tipon estonte. En la ekzemplo, ŝtipoj estas klonitaj de la IPS-klingo de la fajroŝirmilo Check Point.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Por konservi tiajn eventojn en apartan indekson depende de la protokolaj kampoj, ekzemple, kiel Destination IP-atakaj subskriboj. Vi povas uzi similan konstruon:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Kaj tiamaniere, vi povas konservi ĉiujn okazaĵojn en indekson, ekzemple, per IP-adreso, aŭ per domajna nomo de la maŝino. En ĉi tiu kazo, ni konservas ĝin al la indekso "smartdefense-%{dst}", per IP-adreso de la subskriba celo.

Tamen, malsamaj produktoj havos malsamajn protokolkampojn, kiuj kondukos al kaoso kaj nenecesa memorkonsumo. Kaj ĉi tie vi aŭ devos zorge anstataŭigi la kampojn en la agordoj de Logstash-agordoj per antaŭdezajnitaj, kiuj estos la samaj por ĉiuj specoj de incidentoj, kio ankaŭ estas malfacila tasko.

Dua efektiviga opcio - ĉi tio estas skribi skripton aŭ procezon, kiu aliros la elastan datumbazon en reala tempo, eltiros la necesajn okazaĵojn kaj konservos ilin en novan indekson, ĉi tio estas malfacila tasko, sed ĝi permesas vin labori kun protokoloj laŭplaĉe, kaj korelacii rekte kun okazaĵoj de aliaj sekurecaj ekipaĵoj. Ĉi tiu opcio permesas al vi agordi laboron kun protokoloj por esti plej utila por via kazo kun maksimuma fleksebleco, sed ĉi tie la problemo ekestas trovi specialiston kiu povas efektivigi ĉi tion.

Kaj kompreneble, la plej grava demando, kaj kio povas esti korelaciita kaj detektita??

Eble ekzistas pluraj ebloj ĉi tie, kaj ĝi dependas de kiaj sekurecaj iloj estas uzataj en via infrastrukturo, kelkaj ekzemploj:

  1. La plej evidenta kaj, laŭ mia vidpunkto, la plej interesa opcio por tiuj, kiuj havas NGFW-solvon kaj vundeblecon skanilon. Ĉi tio estas komparo de IPS-protokoloj kaj vundeblecoj-skanaj rezultoj. Se atako estis detektita (ne blokita) de la IPS-sistemo, kaj ĉi tiu vundebleco ne estas fermita sur la fina maŝino surbaze de la skanaj rezultoj, necesas fajfili, ĉar estas alta probablo, ke la vundebleco estis ekspluatata. .
  2. Multaj ensalutprovoj de unu maŝino al malsamaj lokoj povas simboli malican agadon.
  3. Uzanto elŝutas virusajn dosierojn pro vizitado de grandega nombro da potenciale danĝeraj retejoj.

Statistiko kaj bildigo

La plej evidenta kaj komprenebla afero por kiu ELK Stack estas bezonata estas la stokado kaj bildigo de ŝtipoj, en antaŭaj artikoloj estis montrite kiel vi povas krei protokolojn de diversaj aparatoj uzante Logstash. Post kiam la protokoloj iras al Elasticsearch, vi povas agordi panelojn, kiuj ankaŭ estis menciitaj en antaŭaj artikoloj, kun la informoj kaj statistikoj, kiujn vi bezonas per bildigo.

ekzemploj:

  1. Panelo por eventoj pri Minaco-Preventado kun la plej kritikaj eventoj. Ĉi tie vi povas reflekti kiuj IPS-subskriboj estis detektitaj kaj de kie ili venas geografie.

    TS Tuta Vido. Eventa Kolekto, Okazaĵo-Analizo kaj Minaco-Responda Aŭtomatiga Ilo

  2. Panelo pri la uzo de la plej kritikaj aplikoj por kiuj informoj povas esti filtritaj.

    TS Tuta Vido. Eventa Kolekto, Okazaĵo-Analizo kaj Minaco-Responda Aŭtomatiga Ilo

  3. Skani rezultojn de ajna sekureca skanilo.

    TS Tuta Vido. Eventa Kolekto, Okazaĵo-Analizo kaj Minaco-Responda Aŭtomatiga Ilo

  4. Registroj de Aktiva Dosierujo laŭ uzanto.

    TS Tuta Vido. Eventa Kolekto, Okazaĵo-Analizo kaj Minaco-Responda Aŭtomatiga Ilo

  5. VPN-konekta panelo.

En ĉi tiu kazo, se vi agordas la instrumentpanelojn por ĝisdatigi ĉiujn kelkajn sekundojn, vi povas akiri sufiĉe oportunan sistemon por monitori eventojn en reala tempo, kiu tiam povas esti uzata por la plej rapida respondo al informaj sekurecaj okazaĵoj se vi metas la panelojn sur apartan. ekrano.

Incidento prioritato

En kondiĉoj de granda infrastrukturo, la nombro da okazaĵoj povas malgrandiĝi, kaj specialistoj ne havos tempon por trakti ĉiujn okazaĵojn ĝustatempe. En ĉi tiu kazo, necesas, antaŭ ĉio, reliefigi nur tiujn okazaĵojn, kiuj prezentas grandan minacon. Sekve, la sistemo devas prioritati okazaĵojn laŭ ilia severeco rilate al via infrastrukturo. Estas rekomendinde agordi retpoŝton aŭ telegraman atentigon por ĉi tiuj eventoj. Prioritatigo povas esti efektivigita per normaj Kibana-iloj per agordo de bildigo. Sed kun sciigoj estas pli malfacila; defaŭlte, ĉi tiu funkcio ne estas inkluzivita en la baza versio de Elasticsearch, nur en la pagita versio. Sekve, aŭ aĉetu pagitan version, aŭ, denove, skribu mem procezon, kiu sciigos specialistojn en reala tempo per retpoŝto aŭ telegramo.

Aŭtomatigo de informaj sekurecaj procezoj

Kaj unu el la plej interesaj partoj estas la aŭtomatigo de agoj por incidentoj pri informa sekureco. Antaŭe, ni efektivigis ĉi tiun funkcion por Splunk, vi povas legi iom pli en ĉi tio artikolo. La ĉefa ideo estas, ke la IPS-politiko neniam estas provita aŭ optimumigita, kvankam en iuj kazoj ĝi estas kritika parto de informaj sekurecaj procezoj. Ekzemple, jaron post la efektivigo de NGFW kaj la foresto de agoj por optimumigi IPS, vi amasigos grandan nombron da subskriboj kun la ago Detekti, kiu ne estos blokita, kio multe reduktas la staton de informa sekureco en la organizo. Malsupre estas kelkaj ekzemploj de kio povas esti aŭtomatigita:

  1. Transdono de IPS-signaturo de Detect al Prevent. Se Prevent ne funkcias por kritikaj subskriboj, tiam ĉi tio estas malorda kaj grava breĉo en la protekta sistemo. Ni ŝanĝas la agon en la politiko al tiaj subskriboj. Ĉi tiu funkcieco povas esti efektivigita se la NGFW-aparato havas REST-API-funkciecon. Ĉi tio nur eblas se vi havas programajn kapablojn; vi devas ĉerpi la necesajn informojn de Elastcisearch kaj fari API-petojn al la administradservilo de NGFW.
  2. Se pluraj subskriboj estis detektitaj aŭ blokitaj en rettrafiko de unu IP-adreso, tiam havas sencon bloki ĉi tiun IP-adreson dum iom da tempo en la Firewall-politiko. La efektivigo ankaŭ konsistas el uzado de la REST API.
  3. Rulu gastigantan skanadon per vundebla skanilo, se ĉi tiu gastiganto havas grandan nombron da IPS-subskriboj aŭ aliajn sekurecajn ilojn; se ĝi estas OpenVas, tiam vi povas skribi skripton, kiu konektos per ssh al la sekureca skanilo kaj ruli la skanadon.

TS Tuta Vido. Eventa Kolekto, Okazaĵo-Analizo kaj Minaco-Responda Aŭtomatiga Ilo

TS Tuta Vido

Entute, la efektivigo de ĉiuj funkcioj estas tre granda kaj malfacila tasko. Sen havi programajn kapablojn, vi povas agordi la minimuman funkciecon, kiu povas esti sufiĉa por uzo en produktado. Sed se vi interesiĝas pri ĉiuj funkcioj, vi povas atenti TS Total Sight. Vi povas trovi pliajn detalojn ĉe nia ejo. Kiel rezulto, la tuta operacia skemo kaj arkitekturo aspektos jene:

TS Tuta Vido. Eventa Kolekto, Okazaĵo-Analizo kaj Minaco-Responda Aŭtomatiga Ilo

konkludo

Ni rigardis tion, kio povas esti efektivigita per la ELK-Stako. En postaj artikoloj, ni aparte konsideros la funkciecon de TS Total Sight pli detale!

Do restu agorditaTelegramo, Facebook, VK, TS Solva Blogo), Yandex.Zen.

fonto: www.habr.com

Aldoni komenton