TS Ikusmen osoa. Gertaeren bilketa, gertakarien analisia eta mehatxuen erantzuna automatizatzeko tresna

Arratsaldeon, aurreko artikuluetan ELK Stack-en lana ezagutu genuen. Orain eztabaida ditzagun informazio-segurtasuneko espezialista batek sistema hauek erabiltzean izan ditzakeen aukerak. Elastiksearch-en zer erregistro sartu daitezkeen eta sartu behar diren. Azter dezagun zer estatistikak lor daitezkeen aginte-panelak ezarriz eta ea honetan irabazirik dagoen. Nola ezar dezakezu informazioaren segurtasun prozesuen automatizazioa ELK pila erabiliz. Egin dezagun sistemaren arkitektura. Guztira, funtzionalitate guztiak ezartzea oso lan handia eta zaila da, beraz, irtenbideari izen berezi bat eman zitzaion - TS Total Sight.

Gaur egun, informazio-segurtasuneko gertakariak leku logiko batean finkatu eta aztertzen dituzten soluzioak ospea hartzen ari dira azkar, ondorioz, espezialistak estatistikak eta ekintza-muga jasotzen ditu erakundeko informazioaren segurtasunaren egoera hobetzeko. Zeregin hau ELK pila erabiltzean ezarri genuen eta, ondorioz, funtzionalitate nagusia 4 ataletan banatu genuen:

1. Estatistika eta bistaratzea;
2. Informazioaren segurtasuneko gorabeherak hautematea;
3. Gorabeheren lehentasuna;
4. Informazioaren segurtasun-prozesuen automatizazioa.

Jarraian, banan-banan aztertuko dugu hurbilagotik.

Informazioaren segurtasuneko gorabeherak hautematea

Gure kasuan elasticsearch erabiltzearen zeregin nagusia informazioaren segurtasuneko gorabeherak soilik biltzea da. Informazioaren segurtasuneko gorabeherak bil ditzakezu edozein segurtasun bitartekoetatik gutxienez erregistroak bidaltzeko modu batzuk onartzen baditu, estandarra syslog edo scp fitxategi batean gordetzea da.

Segurtasun tresnen eta gehiagoren adibide estandarrak eman ditzakezu, non erregistroak birbidaltzea konfiguratu beharko zenuke:

1. NGFW edozein tresna (Check Point, Fortinet);
2. Edozein ahultasun eskaner (PT Scanner, OpenVas);
3. Web Aplikazioen Firewall (PT AF);
4. netflow analizatzaileak (Flowmon, Cisco StealthWatch);
5. AD zerbitzaria.

Logstash-en erregistroak eta konfigurazio-fitxategiak bidaltzea konfiguratu ondoren, hainbat segurtasun-tresnetatik datozen gorabeherak erlazionatu eta konparatu ditzakezu. Horretarako, komenigarria da indizeak erabiltzea, zeinetan gailu jakin bati lotutako gorabehera guztiak gordeko ditugun. Beste era batera esanda, indize bat gailu bateko gorabehera guztiak dira. Banaketa hau 2 modutan gauzatu daiteke.

Lehen isla Hau Logstash konfigurazioa konfiguratzeko da. Horretarako, eremu jakin batzuen erregistroa mota ezberdineko unitate bereizi batean bikoiztu behar duzu. Eta gero erabili mota hau etorkizunean. Adibidean, erregistroak Check Pointeko suebakiaren IPS bladetik klonatzen dira.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Gertaerak erregistro-eremuen araberako indize bereizi batean gordetzeko, adibidez, Helmugako IP erasoen sinadurak. Antzeko eraikuntza bat erabil dezakezu:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Eta horrela, gorabehera guztiak indize batean gorde ditzakezu, adibidez, IP helbidearen arabera edo makinaren domeinu-izenaren arabera. Kasu honetan, aurkibidean gordeko dugu "smartdefense-%{dst}", sinadura-helmugaren IP helbidearen arabera.

Hala ere, produktu ezberdinek erregistro-eremu desberdinak izango dituzte, eta horrek kaosa eta alferrikako memoria-kontsumoa ekarriko du. Eta hemen Logstash konfigurazio-ezarpenetako eremuak arretaz ordezkatu beharko dituzu aurrez diseinatutakoekin, berdinak izango dira mota guztietako gorabeherak, eta hori ere lan zaila da.

Bigarren ezarpen-aukera - Datu-base elastikora denbora errealean sartuko den script edo prozesu bat idaztea da, beharrezko gorabeherak atera eta indize berri batean gordeko dituena, lan zaila da, baina erregistroekin nahi duzun bezala lan egiteko aukera ematen dizu, eta beste segurtasun-ekipo batzuen gorabeherak zuzenean lotu. Aukera honek erregistroekin lana konfiguratzeko aukera ematen dizu zure kasurako erabilgarriena izan dadin malgutasun handienarekin, baina hemen arazoa sortzen da hori gauzatu dezakeen espezialista bat aurkitzeko.

Eta noski, galderarik garrantzitsuena, eta zer korrelazionatu eta detektatu daiteke??

Hainbat aukera egon daitezke hemen, eta zure azpiegituretan erabiltzen diren segurtasun-tresnen araberakoa da, adibide pare bat:

1. Aukerarik agerikoena eta, nire ikuspuntutik, interesgarriena NGFW irtenbidea eta ahultasun-eskaner bat dutenentzat. Hau IPS erregistroen eta ahultasun eskanearen emaitzen konparazioa da. IPS sistemak eraso bat detektatu (ez blokeatu) bada, eta eskanearen emaitzen arabera ahultasun hori amaierako makinan ixten ez bada, beharrezkoa da txistua jotzea, ahultasuna ustiatu izana izateko probabilitate handia baitago. .
2. Makina batetik leku ezberdinetara saioa hasteko saiaker askok jarduera maltzurren sinboliza dezakete.
3. Erabiltzaileak birus fitxategiak deskargatzen ditu arriskutsuak izan daitezkeen gune ugari bisitatzeagatik.

Estatistika eta bistaratzea

ELK Stack behar den gauzarik agerikoena eta ulergarriena erregistroak biltegiratzea eta bistaratzea da, aurreko artikuluetan Logstash erabiliz hainbat gailutatik erregistroak nola sor ditzakezun erakutsi zen. Erregistroak Elasticsearch-era joan ondoren, aginte-panelak konfigura ditzakezu, aipatu zirenak ere aurreko artikuluetan, bisualizazio bidez behar dituzun informazio eta estatistikekin.

Adibideak:

1. Mehatxuen Prebentzioko gertaeren panela, gertaera kritikoenekin. Hemen islatu dezakezu zein IPS sinadura detektatu diren eta geografikoki nondik datozen.

   

2. Informazioa filtra daitekeen aplikazio kritikoenen erabilerari buruzko panela.

   

3. Eskaneatu emaitzak edozein segurtasun-eskaneretatik.

   

4. Active Directory erregistroak erabiltzaileen arabera.

   

5. VPN konexioaren panela.

Kasu honetan, aginte-panelak segundo gutxiro eguneratzeko konfiguratzen badituzu, gertaerak denbora errealean kontrolatzeko sistema nahiko erosoa lor dezakezu, eta informazio-segurtasuneko gertakariei erantzun azkarren emateko erabil daiteke aginte-panelak bereizi batean jartzen badituzu. pantaila.

Gorabeheren lehentasuna

Azpiegitura handien baldintzetan, intzidentzia kopurua eskalaz joan daiteke, eta espezialistek ez dute astirik izango gorabehera guztiei garaiz aurre egiteko. Kasu honetan, lehenik eta behin, mehatxu handia sortzen duten gertakariak soilik nabarmendu behar dira. Hori dela eta, sistemak gorabeherei lehentasuna eman behar die zure azpiegituraren larritasunaren arabera. Komeni da gertaera hauetarako posta elektronikoko edo telegramako alerta bat ezartzea. Lehentasuna Kibana tresna estandarrak erabiliz inplementa daiteke bistaratzea konfiguratuz. Baina jakinarazpenekin zailagoa da; lehenespenez, funtzionalitate hau ez dago Elasticsearch-en oinarrizko bertsioan sartzen, ordainpeko bertsioan soilik. Hori dela eta, erosi ordaindutako bertsio bat, edo, berriro, idatzi espezialistei denbora errealean posta elektronikoz edo telegramaz jakinaraziko dien prozesu bat.

Informazioaren segurtasun-prozesuen automatizazioa

Eta atal interesgarrienetako bat informazioaren segurtasuneko gertakarien ekintzen automatizazioa da. Aurretik, Splunk-en funtzionalitate hau inplementatu genuen, honetan apur bat gehiago irakur dezakezu Artikulu. Ideia nagusia da IPS politika ez dela inoiz probatzen edo optimizatzen, nahiz eta kasu batzuetan informazioaren segurtasun prozesuen zati kritikoa izan. Esaterako, NGFW ezarri eta IPS optimizatzeko ekintzarik ez dagoenetik urtebetera, sinadura kopuru handia pilatuko duzu Detect ekintzarekin, blokeatuko ez dena, eta horrek asko murrizten du erakundearen informazioaren segurtasunaren egoera. Jarraian automatizatu daitekeenaren adibide batzuk daude:

1. IPS sinadura transferitzea Detektatutik Prebenitzera. Prebent-ek sinadura kritikoetarako funtzionatzen ez badu, hori desordenatuta dago eta hutsune larria da babes-sisteman. Politikan ekintza aldatzen dugu sinadura horietara. Funtzionalitate hau inplementa daiteke NGFW gailuak REST API funtzionaltasuna badu. Hau programazio trebetasunak badituzu soilik posible da; Elastcisearch-tik beharrezko informazioa atera eta NGFW kudeaketa zerbitzariari API eskaerak egin behar dizkiozu.
2. IP helbide batetik sareko trafikoan hainbat sinadura detektatu edo blokeatu badira, zentzuzkoa da IP helbide hori denbora batez blokeatzea Firewall politikan. Inplementazioa REST APIa erabiltzean datza ere.
3. Exekutatu ostalariaren eskaneatu ahultasun-eskaner batekin, ostalari honek IPS sinadura edo beste segurtasun-tresna ugari baditu; OpenVas bada, orduan ssh bidez konektatuko den script bat idatz dezakezu segurtasun-eskanerra eta eskaneatu exekutatu.

TS Ikusmen osoa

Guztira, funtzionalitate guztiak ezartzea oso lan handia eta zaila da. Programazio trebetasunik izan gabe, gutxieneko funtzionaltasuna konfigura dezakezu, ekoizpenean erabiltzeko nahikoa izan daitekeena. Baina funtzionalitate guztiak interesatzen bazaizkizu, TS Total Sight-i errepara diezaiokezu. Gure webgunean xehetasun gehiago aurki ditzakezu Online. Ondorioz, eragiketa-eskema eta arkitektura osoa honela izango da:

Ondorioa

ELK Stack erabiliz zer inplementa daitekeen aztertu dugu. Hurrengo artikuluetan, bereizita aztertuko dugu TS Total Sight-en funtzionaltasuna xehetasun gehiagorekin!

Beraz, egon adi (Telegrama, Facebook, VK, TS Solution Bloga), Yandex.Zen.

Iturria: www.habr.com