ProHoster > Blog > administración > 3. Elastic stack: análisis de logs de seguridad. Paneles de control

3. Elastic stack: análisis de logs de seguridad. Paneles de control

3. Elastic stack: análisis de logs de seguridad. Paneles de control

En artículos anteriores, nos familiarizamos un poco con la pila de elk y con la configuración del archivo de configuración de Logstash para el analizador de registros. En este artículo, pasaremos a lo más importante desde un punto de vista analítico: lo que desea ver desde el sistema y para qué se creó todo: estos son gráficos y tablas combinados en tableros. Hoy echaremos un vistazo más de cerca al sistema de visualización. Kibana, veremos cómo crear gráficos y tablas y, como resultado, crearemos un panel simple basado en los registros del firewall de Check Point.

El primer paso para trabajar con kibana es crear patrón de índice, lógicamente, se trata de una base de índices unidos según un determinado principio. Por supuesto, esto es puramente una configuración para hacer que Kibana busque información de manera más conveniente en todos los índices al mismo tiempo. Se establece haciendo coincidir una cadena, por ejemplo "checkpoint-*" y el nombre del índice. Por ejemplo, "checkpoint-2019.12.05" encajaría en el patrón, pero simplemente "checkpoint" ya no existe. Vale la pena mencionar por separado que en la búsqueda es imposible buscar información sobre diferentes patrones de índice al mismo tiempo, un poco más adelante en artículos posteriores veremos que las solicitudes de API se realizan por el nombre del índice o solo por uno. línea del patrón, se puede hacer clic en la imagen:

3. Elastic stack: análisis de logs de seguridad. Paneles de control

Después de esto, verificamos en el menú Descubrir que todos los registros estén indexados y que esté configurado el analizador correcto. Si se encuentra alguna inconsistencia, por ejemplo, al cambiar el tipo de datos de una cadena a un número entero, debe editar el archivo de configuración de Logstash; como resultado, los nuevos registros se escribirán correctamente. Para que los registros antiguos antes del cambio tomen la forma deseada, solo ayuda el proceso de reindexación, en artículos posteriores se analizará esta operación con más detalle. Asegurémonos de que todo esté en orden, se puede hacer clic en la imagen:

3. Elastic stack: análisis de logs de seguridad. Paneles de control

Los registros están en su lugar, lo que significa que podemos comenzar a crear paneles. Con base en el análisis de los paneles de control de los productos de seguridad, es posible comprender el estado de la seguridad de la información en una organización, ver claramente las vulnerabilidades en la política actual y, posteriormente, desarrollar formas de eliminarlas. Construyamos un pequeño panel utilizando varias herramientas de visualización. El tablero constará de 5 componentes:

  1. tabla para calcular el número total de troncos por palas
  2. tabla sobre firmas IPS críticas
  3. gráfico circular para eventos de Prevención de amenazas
  4. gráfico de los sitios visitados más populares
  5. gráfico sobre el uso de las aplicaciones más peligrosas

Para crear figuras de visualización, debe ir al menú. Visualizar¡Y seleccionamos la figura deseada que queremos construir! Vayamos en orden.

Tabla para calcular el número total de troncos por hoja.

Para hacer esto, seleccione una figura. Tabla de Datos, caemos en el equipo para crear gráficos, a la izquierda está la configuración de la figura, a la derecha está cómo se verá en la configuración actual. Primero, demostraré cómo se verá la tabla terminada, luego revisaremos la configuración, se puede hacer clic en la imagen:

3. Elastic stack: análisis de logs de seguridad. Paneles de control

Configuración más detallada de la figura, se puede hacer clic en la imagen:

3. Elastic stack: análisis de logs de seguridad. Paneles de control

Veamos la configuración.

Configurado inicialmente métrica, este es el valor por el cual se agregarán todos los campos. Las métricas se calculan en base a valores extraídos de una forma u otra de los documentos. Los valores generalmente se extraen de de campos documento, pero también se puede generar mediante scripts. En este caso ponemos Agregación: contar (número total de registros).

Después de esto, dividimos la tabla en segmentos (campos) mediante los cuales se calculará la métrica. Esta función la realiza la configuración Depósitos, que a su vez consta de 2 opciones de configuración:

  1. dividir filas: agregar columnas y luego dividir la tabla en filas
  2. tabla dividida: división en varias tablas según los valores de un campo específico.

В cubos puedes agregar varias divisiones para crear varias columnas o tablas, las restricciones aquí son bastante lógicas. En agregación, puede elegir qué método se utilizará para dividir en segmentos: rango de ipv4, rango de fechas, términos, etc. La elección más interesante es precisamente Términos и Términos importantes, la división en segmentos se realiza según los valores de un campo de índice específico, la diferencia entre ellos radica en la cantidad de valores devueltos y su visualización. Como queremos dividir la tabla por el nombre de las hojas, seleccionamos el campo - producto.palabra clave y establezca el tamaño en 25 valores devueltos.

En lugar de cadenas, elasticsearch utiliza 2 tipos de datos: texto и keyword. Si desea realizar una búsqueda de texto completo, debe utilizar el tipo de texto, algo muy conveniente al escribir su servicio de búsqueda, por ejemplo, buscando una mención de una palabra en un valor de campo específico (texto). Si solo desea una coincidencia exacta, debe utilizar el tipo de palabra clave. Además, el tipo de datos de palabra clave debe usarse para campos que requieren clasificación o agregación, es decir, en nuestro caso.

Como resultado, Elasticsearch cuenta la cantidad de registros durante un tiempo determinado, agregados por el valor en el campo del producto. En Etiqueta personalizada, configuramos el nombre de la columna que se mostrará en la tabla, configuramos el tiempo durante el cual recopilamos registros, comenzamos a renderizar: Kibana envía una solicitud a elasticsearch, espera una respuesta y luego visualiza los datos recibidos. ¡La mesa está lista!

Gráfico circular para eventos de Prevención de amenazas

De particular interés es la información sobre cuántas reacciones hay en porcentaje. detectar и evitar sobre incidentes de seguridad de la información en la actual política de seguridad. Un gráfico circular funciona bien para esta situación. Seleccione en Visualizar - Gráfico circular. También en la métrica configuramos la agregación por la cantidad de registros. En los depósitos ponemos Términos => acción.

Todo parece correcto, pero el resultado muestra valores para todos los blades; es necesario filtrar solo por aquellos blades que funcionan en el marco de Prevención de amenazas. Por lo tanto, definitivamente lo configuramos. filtrar para buscar información únicamente en los blades responsables de incidentes de seguridad de la información - producto: (“Anti-Bot” O “Nuevo Antivirus” O “DDoS Protector” O “SmartDefense” O “Threat Emulation”). Se puede hacer clic en la imagen:

3. Elastic stack: análisis de logs de seguridad. Paneles de control

Y configuraciones más detalladas, se puede hacer clic en la imagen:

3. Elastic stack: análisis de logs de seguridad. Paneles de control

Tabla de eventos IPS

Lo siguiente que es muy importante desde el punto de vista de la seguridad de la información es ver y verificar los eventos en el blade. IPS и Emulación de amenazasQue no estan bloqueados política actual, para posteriormente cambiar la firma para evitar, o si el tráfico es válido, no verificar la firma. Creamos la tabla de la misma forma que en el primer ejemplo, con la única diferencia de que creamos varias columnas: protecciones.palabra clave, gravedad.palabra clave, producto.palabra clave, orígenes nombre_clave.palabra clave. Asegúrese de configurar un filtro para buscar información solo en los blades responsables de incidentes de seguridad de la información - producto: (“SmartDefense” O “Threat Emulation”). Se puede hacer clic en la imagen:

3. Elastic stack: análisis de logs de seguridad. Paneles de control

Configuraciones más detalladas, se puede hacer clic en la imagen:

3. Elastic stack: análisis de logs de seguridad. Paneles de control

Gráficos de los sitios visitados más populares

Para hacer esto, crea una figura - Barra vertical. También usamos el recuento (eje Y) como métrica, y en el eje X usaremos el nombre de los sitios visitados como valores: "appi_name". Aquí hay un pequeño truco: si ejecuta la configuración en la versión actual, todos los sitios se marcarán en el gráfico con el mismo color; para hacerlos multicolores usamos una configuración adicional: "serie dividida", lo que le permite dividir una columna ya preparada en varios valores más, ¡dependiendo del campo seleccionado, por supuesto! Esta misma división se puede utilizar como una columna multicolor según los valores en modo apilado, o en modo normal para crear varias columnas según un determinado valor en el eje X. En este caso, aquí usamos el mismo valor que en el eje X, esto permite hacer que todas las columnas sean multicolores; se indicarán con colores en la parte superior derecha. En el filtro que configuramos - producto: "Filtrado de URL" para ver información solo en los sitios visitados, se puede hacer clic en la imagen:

3. Elastic stack: análisis de logs de seguridad. Paneles de control

Ajustes:

3. Elastic stack: análisis de logs de seguridad. Paneles de control

Diagrama sobre el uso de las aplicaciones más peligrosas.

Para hacer esto, cree una figura: barra vertical. También usamos el recuento (eje Y) como métrica, y en el eje X usaremos el nombre de las aplicaciones utilizadas: "appi_name" como valores. Lo más importante es la configuración del filtro: producto: "Control de aplicaciones" Y app_risk: (4 O 5 O 3) Y acción: "aceptar". Filtramos los registros por la hoja de control de aplicaciones, tomando solo aquellos sitios que están categorizados como sitios de riesgo crítico, alto y medio y solo si se permite el acceso a estos sitios. Se puede hacer clic en la imagen:

3. Elastic stack: análisis de logs de seguridad. Paneles de control

Configuración, en la que se puede hacer clic:

3. Elastic stack: análisis de logs de seguridad. Paneles de control

Tablero de instrumentos

Ver y crear paneles se encuentra en un elemento de menú separado: Panel De Control. Aquí todo es simple, se crea un nuevo panel, se le agrega una visualización, se coloca en su lugar y ¡listo!

Estamos creando un panel mediante el cual puede comprender la situación básica del estado de seguridad de la información en una organización, por supuesto, solo en el nivel de Check Point, se puede hacer clic en la imagen:

3. Elastic stack: análisis de logs de seguridad. Paneles de control

Basándonos en estos gráficos, podemos entender qué firmas críticas no están bloqueadas en el firewall, dónde van los usuarios y cuáles son las aplicaciones más peligrosas que utilizan.

Conclusión

Analizamos las capacidades de visualización básica en Kibana y creamos un panel, pero esto es solo una pequeña parte. Más adelante en el curso veremos por separado cómo configurar mapas, trabajar con el sistema elasticsearch, familiarizarnos con las solicitudes de API, la automatización y mucho más.

Así que estad atentos (Telegram, Facebook, VK, Blog de soluciones TS), Yandex.Dzena.

Fuente: habr.com

Añadir un comentario