Buenas tardes, en artículos anteriores conocimos el trabajo de ELK Stack. Ahora analicemos las posibilidades que puede aprovechar un especialista en seguridad de la información al utilizar estos sistemas. Qué registros pueden y deben ingresarse en elasticsearch. Consideremos qué estadísticas se pueden obtener configurando paneles y si esto genera algún beneficio. ¿Cómo se puede implementar la automatización de los procesos de seguridad de la información utilizando la pila ELK? Dibujemos la arquitectura del sistema. En total, implementar todas las funciones es una tarea muy grande y difícil, por lo que la solución recibió un nombre aparte: TS Total Sight.
Actualmente, las soluciones que consolidan y analizan los incidentes de seguridad de la información en un solo lugar lógico están ganando rápidamente popularidad, como resultado, el especialista recibe estadísticas y una línea de acción para mejorar el estado de seguridad de la información en la organización. Nos propusimos esta tarea al usar la pila ELK y, como resultado, dividimos la funcionalidad principal en 4 secciones:
- Estadísticas y visualización;
- Detección de incidentes de seguridad de la información;
- Priorización de incidentes;
- Automatización de procesos de seguridad de la información.
A continuación, analizaremos más de cerca cada uno individualmente.
Detección de incidentes de seguridad de la información
La tarea principal del uso de elasticsearch en nuestro caso es recopilar solo incidentes de seguridad de la información. Puede recopilar información sobre incidentes de seguridad desde cualquier medio de seguridad si admite al menos algunos modos de envío de registros; el estándar es guardar syslog o scp en un archivo.
Puede dar ejemplos estándar de herramientas de seguridad y más, desde donde debe configurar el reenvío de registros:
- Cualquier herramienta NGFW (Check Point, Fortinet);
- Cualquier escáner de vulnerabilidades (PT Scanner, OpenVas);
- Cortafuegos de aplicaciones web (PT AF);
- analizadores de flujo de red (Flowmon, Cisco StealthWatch);
- Servidor de anuncios.
Una vez que haya configurado el envío de registros y archivos de configuración en Logstash, podrá correlacionar y comparar con incidentes provenientes de varias herramientas de seguridad. Para ello es conveniente utilizar índices en los que almacenaremos todas las incidencias relacionadas con un dispositivo concreto. En otras palabras, un índice son todas las incidencias en un dispositivo. Esta distribución se puede implementar de 2 maneras.
Primera forma de realización Esto es para configurar la configuración de Logstash. Para hacer esto, necesita duplicar el registro para ciertos campos en una unidad separada con un tipo diferente. Y luego use este tipo en el futuro. En el ejemplo, los registros se clonan desde la hoja IPS del firewall de Check Point.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
Para guardar dichos eventos en un índice separado según los campos de registro, por ejemplo, como las firmas de ataques de IP de destino. Puedes usar una construcción similar:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
Y de esta forma podrás guardar todas las incidencias en un índice, por ejemplo, por dirección IP, o por nombre de dominio de la máquina. En este caso, lo guardamos en el índice. "smartdefense-%{dst}", por dirección IP del destino de la firma.
Sin embargo, diferentes productos tendrán diferentes campos de registro, lo que generará caos y un consumo innecesario de memoria. Y aquí tendrás que reemplazar cuidadosamente los campos en la configuración de Logstash por campos prediseñados, que serán los mismos para todo tipo de incidentes, lo cual también es una tarea difícil.
Segunda opción de implementación - se trata de escribir un script o proceso que accederá a la base de datos elástica en tiempo real, extraerá los incidentes necesarios y los guardará en un nuevo índice. Esta es una tarea difícil, pero le permite trabajar con los registros como desee. y correlacionar directamente con incidentes de otros equipos de seguridad. Esta opción le permite configurar el trabajo con registros para que sea más útil para su caso con la máxima flexibilidad, pero aquí surge el problema de encontrar un especialista que pueda implementar esto.
Y por supuesto, la pregunta más importante, ¿Y qué se puede correlacionar y detectar??
Puede haber varias opciones aquí, y depende de qué herramientas de seguridad se utilicen en su infraestructura, un par de ejemplos:
- La opción más obvia y, desde mi punto de vista, la más interesante para quienes tienen una solución NGFW y un escáner de vulnerabilidades. Esta es una comparación de los registros de IPS y los resultados del análisis de vulnerabilidades. Si el sistema IPS detecta (no bloquea) un ataque y esta vulnerabilidad no se cierra en la máquina final según los resultados del escaneo, es necesario alertar, ya que existe una alta probabilidad de que la vulnerabilidad haya sido explotada. .
- Muchos intentos de inicio de sesión desde una máquina a diferentes lugares pueden simbolizar actividad maliciosa.
- Usuario que descarga archivos de virus debido a que visita una gran cantidad de sitios potencialmente peligrosos.
Estadísticas y visualización
Lo más obvio y comprensible para lo que se necesita ELK Stack es el almacenamiento y visualización de registros. Se mostró cómo se pueden crear registros desde varios dispositivos utilizando Logstash. Después de que los registros vayan a Elasticsearch, puede configurar paneles, que también se mencionaron , con la información y estadísticas que necesitas a través de la visualización.
Ejemplos:
- Panel de control de eventos de Prevención de amenazas con los eventos más críticos. Aquí podrás reflejar qué firmas IPS se detectaron y de dónde proceden geográficamente.
- Panel de control sobre el uso de las aplicaciones más críticas sobre las que se puede filtrar información.
- Resultados del escaneo desde cualquier escáner de seguridad.
- Registros de Active Directory por usuario.
- Panel de conexión VPN.
En este caso, si configura los paneles para que se actualicen cada pocos segundos, puede obtener un sistema bastante conveniente para monitorear eventos en tiempo real, que luego puede usarse para la respuesta más rápida a incidentes de seguridad de la información si coloca los paneles en un lugar separado. pantalla.
Priorización de incidentes
En condiciones de gran infraestructura, el número de incidentes puede excederse y los especialistas no tendrán tiempo para abordar todos los incidentes a tiempo. En este caso, es necesario, en primer lugar, resaltar sólo aquellos incidentes que suponen una gran amenaza. Por lo tanto, el sistema debe priorizar las incidencias en función de su gravedad en relación con su infraestructura. Es recomendable configurar una alerta por correo electrónico o telegrama para estos eventos. La priorización se puede implementar utilizando herramientas estándar de Kibana configurando la visualización. Pero con las notificaciones es más difícil; por defecto, esta funcionalidad no está incluida en la versión básica de Elasticsearch, sólo en la versión de pago. Por lo tanto, compre una versión paga o, nuevamente, escriba usted mismo un proceso que notificará a los especialistas en tiempo real por correo electrónico o telegrama.
Automatización de procesos de seguridad de la información.
Y una de las partes más interesantes es la automatización de acciones ante incidentes de seguridad de la información. Anteriormente implementamos esta funcionalidad para Splunk, puedes leer un poco más en este . La idea principal es que la política IPS nunca se prueba ni se optimiza, aunque en algunos casos es parte crítica de los procesos de seguridad de la información. Por ejemplo, un año después de la implementación de NGFW y la ausencia de acciones para optimizar IPS, se acumulará una gran cantidad de firmas con la acción Detectar, las cuales no serán bloqueadas, lo que reduce en gran medida el estado de seguridad de la información en la organización. A continuación se muestran algunos ejemplos de lo que se puede automatizar:
- Transferencia de firma IPS de Detect a Prevent. Si Prevent no funciona con firmas críticas, entonces esto está fuera de servicio y representa una brecha grave en el sistema de protección. Cambiamos la acción en la política a dichas firmas. Esta funcionalidad se puede implementar si el dispositivo NGFW tiene funcionalidad API REST. Esto solo es posible si tiene habilidades de programación; necesita extraer la información necesaria de Elastcisearch y realizar solicitudes API al servidor de administración de NGFW.
- Si se detectaron o bloquearon varias firmas en el tráfico de red desde una dirección IP, entonces tiene sentido bloquear esta dirección IP por un tiempo en la política de Firewall. La implementación también consiste en utilizar la API REST.
- Ejecute un escaneo de host con un escáner de vulnerabilidades, si este host tiene una gran cantidad de firmas IPS u otras herramientas de seguridad; si es OpenVas, entonces puede escribir un script que se conectará vía ssh al escáner de seguridad y ejecutará el escaneo.
Vista Total TS
En total, implementar todas las funciones es una tarea muy grande y difícil. Sin tener conocimientos de programación, puedes configurar la funcionalidad mínima, que puede ser suficiente para su uso en producción. Pero si está interesado en todas las funciones, puede prestar atención a TS Total Sight. Puedes encontrar más detalles en nuestro . Como resultado, todo el esquema operativo y la arquitectura se verá así:
Conclusión
Analizamos lo que se puede implementar utilizando ELK Stack. En artículos posteriores, consideraremos por separado la funcionalidad de TS Total Sight con más detalle.
Así que estad atentos (, , , ), .
Fuente: habr.com