Eelmistes artiklites saime veidi tuttavaks põdravirnaga ja logiparseri konfiguratsioonifaili Logstash seadistamisega.Selles artiklis liigume edasi analüütilisest seisukohast kõige olulisema juurde, mida soovite vaata süsteemist ja milleks kõik loodi – need on graafikud ja tabelid, milleks on kokku liidetud armatuurlauad. Täna vaatame lähemalt visualiseerimissüsteemi Kibana, vaatame, kuidas luua graafikuid ja tabeleid, ning selle tulemusena koostame Check Pointi tulemüüri logide põhjal lihtsa armatuurlaua.
Kibanaga töötamise esimene samm on loomine indeksi muster, loogiliselt võttes on see teatud põhimõtte järgi ühendatud indeksite alus. Muidugi on see puhtalt seadistus, et Kibana saaks mugavamalt otsida teavet korraga kõigist indeksitest. See määratakse, sobitades stringi, öelge "kontrollpunkt-*" ja indeksi nimi. Näiteks "kontrollpunkt-2019.12.05" sobiks mustriga, kuid lihtsalt "kontrollpunkt" pole enam olemas. Eraldi tasub mainida, et otsingus ei saa korraga otsida infot erinevate indeksimustrite kohta, veidi hiljem järgmistes artiklites näeme, et API päringuid tehakse kas indeksi nime või lihtsalt ühe järgi. mustri rida, pilt on klõpsatav:
Pärast seda kontrollime menüüs Discover, et kõik logid on indekseeritud ja õige parser on konfigureeritud. Kui leitakse ebakõlasid, näiteks andmetüübi muutmisel stringist täisarvuks, peate muutma Logstashi konfiguratsioonifaili, mille tulemusena kirjutatakse uued logid õigesti. Selleks, et vanad logid saaksid enne muudatust soovitud kuju, aitab ainult uuesti indekseerimise protsess, järgmistes artiklites räägitakse sellest toimingust üksikasjalikumalt. Vaatame, et kõik oleks korras, pilt on klikitav:
Palgid on paigas, mis tähendab, et saame hakata armatuurlaudu ehitama. Tuginedes turbetoodete armatuurlaudade analüüsile, saate mõista organisatsiooni infoturbe seisukorda, näha selgelt kehtiva poliitika haavatavusi ja seejärel välja töötada viise nende kõrvaldamiseks. Ehitame väikese armatuurlaua, kasutades mitut visualiseerimistööriista. Armatuurlaud koosneb viiest komponendist:
- tabel palkide koguarvu arvutamiseks labade kaupa
- tabel kriitiliste IPS-allkirjade kohta
- Ohuennetusürituste sektordiagramm
- kõige populaarsemate külastatud saitide tabel
- kõige ohtlikumate rakenduste kasutamise tabel
Visualiseerimiskujude loomiseks peate minema menüüsse Visualiseerimaja valige soovitud kujund, mille tahame ehitada! Lähme järjekorras.
Tabel palkide koguarvu arvutamiseks tera järgi
Selleks valige kujund andmed tabelis, satume graafikute koostamise seadmetesse, vasakul on joonise sätted, paremal on see, kuidas see praegustes seadetes välja näeb. Esiteks näitan, kuidas valmis tabel välja näeb, pärast seda käime seaded läbi, pilt on klõpsatav:
Figuuri täpsemad seadistused, pilt on klikitav:
Vaatame seadeid.
Algselt konfigureeritud mõõdikud, see on väärtus, mille järgi kõik väljad koondatakse. Mõõdikud arvutatakse dokumentidest ühel või teisel viisil eraldatud väärtuste põhjal. Väärtused võetakse tavaliselt välja valdkondades dokumenti, kuid seda saab genereerida ka skriptide abil. Sel juhul paneme sisse Summeerimine: loendamine (palkide koguarv).
Pärast seda jagame tabeli segmentideks (väljadeks), mille järgi mõõdik arvutatakse. Seda funktsiooni täidab säte Kopad, mis omakorda koosneb kahest seadistusvalikust:
- ridade poolitamine - veergude lisamine ja seejärel tabeli jagamine ridadeks
- jagatud tabel - jagamine mitmeks tabeliks konkreetse välja väärtuste alusel.
В Ämbrid mitme veeru või tabeli loomiseks saate lisada mitu jaotust, siin on piirangud üsna loogilised. Koondamisel saate valida, millist meetodit segmentideks jagamiseks kasutatakse: ipv4 vahemik, kuupäevavahemik, tingimused jne. Kõige huvitavam valik on täpselt Tingimused и Olulised tingimused, segmentideks jagamine toimub konkreetse indeksivälja väärtuste järgi, nende erinevus seisneb tagastatud väärtuste arvus ja nende kuvamises. Kuna tahame tabeli labade nimede järgi jagada, valime välja - toode.märksõna ja määrake suuruseks 25 tagastatud väärtust.
Stringide asemel kasutab elasticsearch kahte andmetüüpi - tekst и võtmesõna. Kui soovite teha täistekstiotsingut, peaksite kasutama tekstitüüpi, mis on väga mugav asi otsinguteenuse kirjutamisel, näiteks otsides sõna mainimist konkreetses välja väärtuses (tekst). Kui soovite ainult täpset vastet, peaksite kasutama märksõna tüüpi. Samuti tuleks märksõna andmetüüpi kasutada väljade puhul, mis nõuavad sorteerimist või koondamist, see tähendab meie puhul.
Selle tulemusena loendab Elasticsearch teatud aja logide arvu, mis liidetakse tootevälja väärtusega. Kohandatud sildis määrame tabelis kuvatava veeru nime, määrame aja, mille jooksul logisid kogume, alustame renderdamist - Kibana saadab päringu elasticsearchile, ootab vastust ja seejärel visualiseerib saadud andmed. Laud on valmis!
Ohuennetuse sündmuste sektordiagramm
Eriti huvitav on teave selle kohta, kui palju reaktsioone protsentides on avastama и vältida infoturbeintsidentide kohta kehtivas turvapoliitikas. Selles olukorras sobib hästi sektordiagramm. Valige Visualiseerimises - Sektordiagramm. Ka mõõdikus määrame liitmise logide arvu järgi. Ämbritesse paneme Tingimused => action.
Kõik näib olevat õige, kuid tulemus näitab kõigi labade väärtusi; filtreerida tuleb ainult nende labade järgi, mis töötavad ohuennetuse raames. Seetõttu seadsime selle kindlasti üles filtreerida et otsida teavet ainult infoturbeintsidentide eest vastutavate labade kohta – toode: (“Anti-Bot” VÕI “Uus viirusetõrje” VÕI “DDoS Protector” VÕI “SmartDefense” VÕI “Ohu emulatsioon”). Pilt on klikitav:
Ja täpsemad seaded, pilt on klikitav:
IPS-i sündmuste tabel
Järgmiseks on infoturbe seisukohalt väga oluline tera sündmuste vaatamine ja kontrollimine. IPS и Ohu emuleerimineEt ei ole blokeeritud kehtivat poliitikat, et hiljem allkirja ennetamiseks muuta või kui liiklus on kehtiv, siis allkirja mitte kontrollida. Loome tabeli samamoodi nagu esimese näite puhul, ainult selle erinevusega, et loome mitu veergu: kaitsed.märksõna, tõsidus.märksõna, toode.märksõna, päritolunimi.märksõna. Seadistage kindlasti filter, et otsida teavet ainult infoturbeintsidentide eest vastutavate labade kohta – toode: (“SmartDefense” VÕI “Ohu emulatsioon”). Pilt on klikitav:
Täpsemad seaded, pilt on klikitav:
Kõige populaarsemate külastatud saitide diagrammid
Selleks looge joonis - Vertikaalne riba. Me kasutame mõõdikuna ka loendust (Y-telg) ja X-teljel väärtustena külastatud saitide nimesid – “appi_name”. Siin on väike trikk: kui käivitate sätted praeguses versioonis, märgitakse kõik saidid graafikule sama värviga, nende mitmevärviliseks muutmiseks kasutame lisaseadet - "lõigatud seeria". mis võimaldab jagada valmis veeru veel mitmeks väärtuseks, olenevalt muidugi valitud väljast! Just seda jaotust saab kasutada kas ühe mitmevärvilise veeruna virnastatud režiimis väärtuste järgi või tavarežiimis, et luua X-teljel mitu veergu vastavalt teatud väärtusele. Sel juhul kasutame siin sama väärtus kui X-teljel, see võimaldab muuta kõik veerud mitmevärviliseks; neid tähistatakse paremas ülanurgas olevate värvidega. Meie seatud filtris - toode: "URL-i filtreerimine", et näha teavet ainult külastatud saitide kohta, on pilt klõpsatav:
Seaded:
Kõige ohtlikumate rakenduste kasutamise skeem
Selleks looge joonis - Vertikaalne riba. Me kasutame mõõdikuna ka loendust (Y-telg) ja X-teljel väärtustena kasutatavate rakenduste nimesid - "appi_name". Kõige olulisem on filtri seadistus – toode: “Application Control” JA app_risk: (4 VÕI 5 VÕI 3 ) JA tegevus: “accept”. Filtreerime logisid rakenduse juhtpaneeli järgi, võttes ainult need saidid, mis on liigitatud kriitilisteks, kõrgeteks ja keskmise riskiga saitideks, ja ainult siis, kui juurdepääs neile saitidele on lubatud. Pilt on klikitav:
Seaded, klõpsatavad:
Armatuurlaud
Armatuurlaudade vaatamine ja loomine on eraldi menüüpunktis - armatuurlaud. Siin on kõik lihtne, luuakse uus armatuurlaud, sellele lisatakse visualiseerimine, asetatakse oma kohale ja ongi kõik!
Loome armatuurlaua, mille abil saate aru organisatsiooni infoturbe seisu põhiolukorrast, loomulikult ainult Check Pointi tasemel, pilt on klikitav:
Nende graafikute põhjal saame aru, millised kriitilised signatuurid ei ole tulemüüris blokeeritud, kuhu kasutajad lähevad ja milliseid kõige ohtlikumaid rakendusi nad kasutavad.
Järeldus
Vaatasime Kibana põhilise visualiseerimise võimalusi ja ehitasime armatuurlaua, kuid see on vaid väike osa. Edasisel kursusel käsitleme eraldi kaartide seadistamist, elasticsearch süsteemiga töötamist, API päringutega tutvumist, automatiseerimist ja palju muud!
Nii et jääge lainel (, , , ), .
Allikas: www.habr.com