Aurreko artikuluetan, apur bat ezagutu genuen elk pila eta Logstash konfigurazio-fitxategia konfiguratu genuen log analizatzailerako.Artikulu honetan, ikuspuntu analitikotik garrantzitsuenera joango gara, zer nahi duzun. ikusi sistematik eta zertarako sortu zen dena - grafikoak eta taulak dira aginte-panelak. Gaur bistaratzeko sistema sakonago aztertuko dugu Kibana, grafikoak eta taulak nola sortu aztertuko dugu, eta, ondorioz, Check Pointeko suebakiaren erregistroetan oinarritutako panel sinple bat eraikiko dugu.
Kibanarekin lan egiteko lehen urratsa sortzea da indize eredua, logikoki, printzipio jakin baten arabera batutako indizeen oinarria da. Jakina, Kibana-k indize guztietan aldi berean informazioa erosoago bilatzeko ezarpen hutsa da. Kate batekin bat eginez ezartzen da, esan "checkpoint-*" eta indizearen izena. Adibidez, "checkpoint-2019.12.05" ereduarekin bat etorriko litzateke, baina "checkpoint" besterik gabe ez da existitzen. Aipatzekoa da bilaketan ezinezkoa dela aldi berean indize-eredu ezberdinei buruzko informazioa bilatzea; pixka bat geroago hurrengo artikuluetan ikusiko dugu API eskaerak indizearen izenaren arabera egiten direla, edo bakarraren arabera. ereduaren lerroan, irudia klika daiteke:
Horren ondoren, Ezagutu menuan egiaztatzen dugu erregistro guztiak indexatzen direla eta analizatzaile zuzena konfiguratuta dagoela. Inkoherentziak aurkitzen badira, adibidez, datu-mota kate batetik zenbaki oso batera aldatzea, Logstash konfigurazio fitxategia editatu behar duzu, ondorioz, erregistro berriak behar bezala idatziko dira. Erregistro zaharrek aldaketaren aurretik nahi den forma har dezaten, berriro indexatzeko prozesuak bakarrik laguntzen du; hurrengo artikuluetan eragiketa hau zehatzago eztabaidatuko da. Ziurtatu dena ondo dagoela, argazkia klikagarria dela:
Erregistroak lekuan daude, hau da, aginte-panelak eraikitzen has gaitezkeela. Segurtasun produktuen panelen analitiketan oinarrituta, erakunde bateko informazioaren segurtasunaren egoera uler dezakezu, egungo politikan ahuleziak argi ikus ditzakezu eta, ondoren, horiek ezabatzeko bideak garatu. Eraiki dezagun aginte-panel txiki bat bistaratzeko hainbat tresna erabiliz. Aginte-panelak 5 osagai izango ditu:
- paleta bidezko enbor kopurua kalkulatzeko taula
- IPS sinadura kritikoen taula
- Mehatxuen Prebentzioko gertaeren zirkula-diagrama
- bisitatutako gune ezagunenen taula
- Aplikazio arriskutsuenen erabilerari buruzko taula
Bistaratze zifrak sortzeko, menura joan behar duzu ikusteko, eta hautatu nahi dugun irudia eraiki nahi dugun! Goazen ordenan.
Palaren araberako enbor kopurua guztira kalkulatzeko taula
Horretarako, hautatu figura bat Datuen taula, grafikoak sortzeko ekipoan erortzen gara, ezkerrean irudiaren ezarpenak daude, eskuinaldean nola izango den uneko ezarpenetan. Lehenik eta behin, amaitutako taula nolakoa izango den erakutsiko dut, ondoren ezarpenak aztertuko ditugu, argazkia klikagarria da:
Irudiaren ezarpen zehatzagoak, irudian klik egin daiteke:
Ikus ditzagun ezarpenak.
Hasieran konfiguratuta metrikak, hau da eremu guztiak gehituko diren balioa. Metrikoak dokumentuetatik era batera edo bestera ateratako balioetan oinarrituta kalkulatzen dira. Balioak normalean ateratzen dira eremuak dokumentua, baina script-ak erabiliz ere sor daiteke. Kasu honetan sartu dugu Agregazioa: Zenbaketa (egun kopuru osoa).
Honen ostean, taula segmentuetan (eremuetan) banatuko dugu eta horren arabera kalkulatuko da metrika. Funtzio hau Buckets ezarpenak egiten du, eta, aldi berean, 2 ezarpen aukerek osatzen dute:
- zatitu errenkadak - zutabeak gehitu eta, ondoren, taula errenkadatan banatu
- zatitu taula - zatiketa hainbat taulatan eremu zehatz baten balioetan oinarrituta.
Π kuboak hainbat zatiketa gehi ditzakezu hainbat zutabe edo taula sortzeko, hemen murrizketak nahiko logikoak dira. Agregazioan, segmentuetan banatzeko zein metodo erabiliko den aukeratu dezakezu: ipv4 barrutia, data tartea, Terminoak, etab. Aukerarik interesgarriena da hain zuzen ere Baldintzak ΠΈ Termino esanguratsuak, segmentuetan zatitzea indize eremu zehatz baten balioen arabera egiten da, haien arteko aldea itzulitako balio kopuruan eta haien bistaratzean dago. Taula palen izenarekin banatu nahi dugunez, eremua hautatzen dugu - produktua.gako-hitza eta ezarri tamaina itzulitako 25 balioetan.
Kateen ordez, elasticsearch-ek 2 datu mota erabiltzen ditu - testu ΠΈ keyword. Testu osoko bilaketa bat egin nahi baduzu, testu mota erabili beharko zenuke, oso gauza erosoa zure bilaketa-zerbitzua idaztean, adibidez, eremu-balio zehatz batean (testua) hitz baten aipamena bilatzea. Bat-etortze zehatza soilik nahi baduzu, gako-hitz mota erabili beharko zenuke. Era berean, gako-datu mota erabili behar da ordenatzea edo batuketa eskatzen duten eremuetarako, hau da, gure kasuan.
Ondorioz, Elasticsearch-ek denbora jakin baterako erregistro kopurua zenbatzen du, produktuaren eremuko balioaren arabera batuta. Etiketa pertsonalizatuan, taulan bistaratuko den zutabearen izena ezartzen dugu, erregistroak biltzen ditugun denbora ezartzen dugu, errendatzen hasten da - Kibanak eskaera bat bidaltzen dio elastiko bilaketari, erantzun baten zain geratzen da eta ondoren jasotako datuak bistaratzen ditu. Mahaia prest dago!
Mehatxuen Prebentzioko gertaeren zirkula-diagrama
Bereziki interesgarria da ehunekotan zenbat erreakzio dauden buruzko informazioa detektatzeko ΠΈ saihesteko indarrean dagoen segurtasun politikan informazioaren segurtasuneko gorabeherak. Diagramak ondo funtzionatzen du egoera honetarako. Hautatu Ikusi-n - Tarte grafikoa. Era berean, metrikan batuketa ezarri dugu erregistro kopuruaren arabera. Kuboetan Terminoak => ekintza jartzen dugu.
Badirudi dena zuzena dela, baina emaitzak pala guztien balioak erakusten ditu; Mehatxuen Prebentzioaren esparruan lan egiten duten pala horiek bakarrik iragazi behar dituzu. Hori dela eta, behin betiko ezarri dugu iragazi informazioaren segurtasuneko gertaeren ardura duten bladei buruzko informazioa soilik bilatzeko - produktua: ("Anti-Bot" EDO "Birusaren aurkako berria" EDO "DDoS Protector" EDO "SmartDefense" EDO "Mehatxuen emulazioa"). Irudia klikagarria da:
Eta ezarpen zehatzagoak, argazkia klikagarria da:
IPS Gertaeren Taula
Ondoren, informazio-segurtasunaren ikuspegitik oso garrantzitsua da bladeko gertaerak ikustea eta egiaztatzea. IPS ΠΈ Mehatxuen emulazioa, argazkia ez daude blokeatuta egungo politika, ondoren sinadura aldatzeko, edo trafikoa baliozkoa bada, ez egiaztatu sinadura. Taula lehenengo adibideko modu berean sortzen dugu, hainbat zutabe sortzen ditugula desberdintasun bakarrarekin: babesak.gako-hitza, larritasuna.gako-hitza, produktua.gako-hitza, jatorri-izena.gako-hitza. Ziurtatu iragazki bat konfiguratzen duzula informazioaren segurtasuneko gertaeren arduradunak diren bladei buruzko informazioa bilatzeko soilik - produktua: ("SmartDefense" EDO "Mehatxuen emulazioa"). Irudia klikagarria da:
Ezarpen zehatzagoak, argazkia klikagarria da:
Bisitatutako gune ezagunenen grafikoak
Horretarako, sortu figura bat - Barra bertikala. Zenbaketa (Y ardatza) ere erabiltzen dugu metrika gisa, eta X ardatzean bisitatutako guneen izena erabiliko dugu balio gisa - "appi_name". Hemen trikimailu txiki bat dago: ezarpenak uneko bertsioan exekutatzen badituzu, gune guztiak taulan kolore berdinarekin markatuko dira, kolore anitzeko ezarpen gehigarri bat erabiltzen dugu - "banatu seriea". horrek aukera ematen du prest egindako zutabe bat hainbat balio gehiagotan banatzeko, hautatutako eremuaren arabera noski! Zatiketa hau kolore anitzeko zutabe gisa erabil daiteke pilatutako moduan balioen arabera, edo modu normalean hainbat zutabe sortzeko X ardatzean balio jakin baten arabera. Kasu honetan, hemen erabiltzen dugu. X ardatzean dagoen balio bera, zutabe guztiak kolore anitzeko aukera ematen du; goi-eskuinean kolorez adieraziko dira. Ezarri dugun iragazkian - produktua: "URL Iragazkia" bisitatutako guneetako informazioa soilik ikusteko, irudia klikagarria da:
Ezarpenak:
Aplikazio arriskutsuenen erabilerari buruzko diagrama
Horretarako, sortu irudi bat - Barra bertikala. Zenbaketa (Y ardatza) ere erabiltzen dugu metrika gisa, eta X ardatzean erabilitako aplikazioen izena -βappi_nameβ balio gisa erabiliko dugu. Garrantzitsuena iragazkien ezarpena da - produktua: "Aplikazioen kontrola" ETA app_arriskua: (4 EDO 5 EDO 3) ETA ekintza: "onartu". Erregistroak Aplikazioen kontrol-labelaren arabera iragazten ditugu, Kritiko, Altuko eta Ertaineko arrisku gune gisa sailkatuta dauden guneak soilik hartuz eta gune horietarako sarbidea onartzen bada. Irudia klikagarria da:
Ezarpenak, klikagarriak:
Aginte-panela
Aginte-panelak ikustea eta sortzea menuko elementu bereizi batean dago - arbela. Hemen dena sinplea da, panel berri bat sortzen da, bistaratzea gehitzen zaio, bere lekuan jartzen da eta kitto!
Aginte-panel bat sortzen ari gara, eta horren bidez, erakunde baten informazioaren segurtasunaren egoeraren oinarrizko egoera ulertu ahal izango duzu, noski, Check Point mailan soilik, argazkia klikagarria da:
Grafiko hauetan oinarrituta, uler dezakegu zein sinadura kritiko ez dauden suebakian blokeatuta, erabiltzaileak nora doazen eta zein aplikazio arriskutsuenak erabiltzen dituzten.
Ondorioa
Kibanako oinarrizko bistaratzeko gaitasunak aztertu eta aginte-panel bat eraiki genuen, baina hau zati txiki bat baino ez da. Aurrerago ikastaroan bereizita aztertuko dugu mapak konfiguratzea, elasticsearch sistemarekin lan egitea, API eskaerak ezagutzea, automatizazioa eta askoz gehiago!
Beraz, egon adi (, , , ), .
Iturria: www.habr.com