ProHoster > وبلاگ > اداره > 3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

در مقاله های قبلی کمی با elk stack و راه اندازی فایل پیکربندی Logstash برای log parser آشنا شدیم.در این مقاله از نقطه نظر تحلیلی به سراغ مهمترین چیز می رویم که شما می خواهید. از سیستم ببینید و همه چیز برای چه چیزی ایجاد شده است - اینها نمودارها و جداول ترکیب شده در آنها هستند داشبوردها. امروز نگاهی دقیق تر به سیستم تجسم خواهیم انداخت کیبانا، نحوه ایجاد نمودارها و جداول را بررسی خواهیم کرد و در نتیجه یک داشبورد ساده بر اساس گزارش‌های فایروال Check Point خواهیم ساخت.

اولین قدم در کار با کیبانا ایجاد است الگوی شاخصمنطقاً این پایه ای از شاخص ها است که بر اساس یک اصل خاص متحد شده اند. البته، این صرفاً تنظیمی است برای اینکه Kibana به راحتی اطلاعات را در همه فهرست ها به طور همزمان جستجو کند. با تطبیق یک رشته، بگویید "Checkpoint-*" و نام ایندکس تنظیم می شود. برای مثال، «نقطه بازرسی-2019.12.05» با این الگو مطابقت دارد، اما به سادگی «نقطه بازرسی» دیگر وجود ندارد. شایان ذکر است که در جستجو نمی توان به طور همزمان اطلاعات مربوط به الگوهای شاخص مختلف را جستجو کرد؛ کمی بعد در مقالات بعدی خواهیم دید که درخواست های API یا با نام ایندکس یا فقط توسط یکی انجام می شود. خط الگو، تصویر قابل کلیک است:

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

پس از این، در منوی Discover بررسی می کنیم که همه لاگ ها ایندکس شده اند و تجزیه کننده صحیح پیکربندی شده است. اگر هر گونه ناهماهنگی پیدا شد، به عنوان مثال، تغییر نوع داده از رشته به عدد صحیح، باید فایل پیکربندی Logstash را ویرایش کنید، در نتیجه لاگ های جدید به درستی نوشته می شوند. برای اینکه لاگ های قدیمی قبل از تغییر شکل دلخواه را به خود بگیرند، فقط فرآیند فهرست بندی مجدد کمک می کند؛ در مقالات بعدی این عملیات با جزئیات بیشتر مورد بحث قرار خواهد گرفت. بیایید مطمئن شویم که همه چیز مرتب است، تصویر قابل کلیک است:

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

لاگ ها در جای خود قرار دارند، به این معنی که می توانیم ساخت داشبورد را شروع کنیم. بر اساس تجزیه و تحلیل داشبوردها از محصولات امنیتی، می توانید وضعیت امنیت اطلاعات در یک سازمان را درک کنید، آسیب پذیری های موجود در خط مشی فعلی را به وضوح ببینید و متعاقباً راه هایی برای حذف آنها ایجاد کنید. بیایید یک داشبورد کوچک با استفاده از چندین ابزار تجسم بسازیم. داشبورد از 5 جزء تشکیل شده است:

  1. جدول برای محاسبه تعداد کل سیاهههای مربوط به تیغه ها
  2. جدول امضاهای مهم IPS
  3. نمودار دایره ای برای رویدادهای پیشگیری از تهدید
  4. نمودار محبوب ترین سایت های بازدید شده
  5. نمودار استفاده از خطرناک ترین برنامه ها

برای ایجاد ارقام تجسم، باید به منو بروید تجسم، و شکل مورد نظری را که می خواهیم بسازیم انتخاب می کنیم! به ترتیب بریم

جدول برای محاسبه تعداد کل سیاهههای مربوط به تیغه

برای انجام این کار، یک شکل را انتخاب کنید جدول داده، ما در تجهیزات ایجاد نمودارها قرار می گیریم، در سمت چپ تنظیمات شکل است، در سمت راست نحوه نمایش آن در تنظیمات فعلی است. ابتدا نشان خواهم داد که جدول تمام شده چگونه خواهد بود، پس از آن تنظیمات را مرور می کنیم، تصویر قابل کلیک است:

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

تنظیمات دقیق تر شکل، تصویر قابل کلیک است:

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

بیایید به تنظیمات نگاه کنیم.

در ابتدا پیکربندی شد معیارهای، این مقداری است که با آن همه فیلدها جمع می شوند. معیارها بر اساس مقادیر استخراج شده به یک روش از اسناد محاسبه می شوند. مقادیر معمولاً از آن استخراج می شوند زمینه های سند، اما همچنین می تواند با استفاده از اسکریپت تولید شود. در این مورد ما قرار می دهیم تجمع: شمارش (تعداد کل سیاهههای مربوط).

پس از این، جدول را به بخش هایی (فیلد) تقسیم می کنیم که متریک با آن محاسبه می شود. این عملکرد توسط تنظیمات Buckets انجام می شود که به نوبه خود از 2 گزینه تنظیمات تشکیل شده است:

  1. تقسیم ردیف - اضافه کردن ستون ها و متعاقباً تقسیم جدول به ردیف
  2. جدول تقسیم - تقسیم به چندین جدول بر اساس مقادیر یک فیلد خاص.

В سطل ها شما می توانید چندین بخش برای ایجاد چندین ستون یا جدول اضافه کنید، محدودیت ها در اینجا کاملا منطقی هستند. در تجمیع، می‌توانید انتخاب کنید که از کدام روش برای تقسیم به بخش‌ها استفاده شود: محدوده ipv4، محدوده تاریخ، شرایط و غیره. جالب ترین انتخاب دقیقاً است اصطلاحات и اصطلاحات مهم، تقسیم به بخش ها با توجه به مقادیر یک فیلد شاخص خاص انجام می شود ، تفاوت بین آنها در تعداد مقادیر برگشتی و نمایش آنها است. از آنجایی که می خواهیم جدول را به نام تیغه ها تقسیم کنیم، فیلد را انتخاب می کنیم - محصول.کلمه کلیدی و اندازه را روی 25 مقدار بازگشتی تنظیم کنید.

به جای رشته ها، elasticsearch از 2 نوع داده استفاده می کند - متن и کلمه کلیدی. اگر می خواهید یک جستجوی متن کامل انجام دهید، باید از نوع متن استفاده کنید، یک چیز بسیار راحت هنگام نوشتن سرویس جستجوی خود، به عنوان مثال، به دنبال ذکر کلمه در یک مقدار فیلد خاص (متن) باشید. اگر فقط یک تطابق دقیق می خواهید، باید از نوع کلمه کلیدی استفاده کنید. همچنین، نوع داده کلمه کلیدی باید برای فیلدهایی که نیاز به مرتب سازی یا تجمیع دارند، یعنی در مورد ما استفاده شود.

در نتیجه، Elasticsearch تعداد گزارش‌ها را برای یک زمان معین، جمع‌آوری شده با مقدار موجود در قسمت محصول، شمارش می‌کند. در Custom Label، نام ستونی را که در جدول نمایش داده می‌شود، تعیین می‌کنیم، زمان جمع‌آوری گزارش‌ها را تنظیم می‌کنیم، شروع به رندر می‌کنیم - کیبانا درخواستی را به elasticsearch ارسال می‌کند، منتظر پاسخ می‌ماند و سپس داده‌های دریافتی را تجسم می‌کند. میز آماده است!

نمودار دایره ای برای رویدادهای پیشگیری از تهدید

اطلاعاتی در مورد تعداد واکنش‌ها به صورت درصد از اهمیت ویژه‌ای برخوردار است تشخیص и جلوگیری از در مورد حوادث امنیت اطلاعات در سیاست امنیتی فعلی نمودار دایره ای برای این وضعیت خوب عمل می کند. در Visualize انتخاب کنید - نمودار دایره ای. همچنین در متریک، تجمع را بر اساس تعداد گزارش‌ها تنظیم می‌کنیم. در سطل ها Terms => action را قرار می دهیم.

به نظر می رسد همه چیز درست است، اما نتیجه مقادیر را برای همه تیغه ها نشان می دهد؛ فقط باید توسط تیغه هایی که در چارچوب پیشگیری از تهدید کار می کنند فیلتر کنید. بنابراین، ما قطعا آن را راه اندازی کردیم فیلتر به منظور جستجوی اطلاعات فقط در مورد تیغه های مسئول حوادث امنیت اطلاعات - محصول: ("Anti-Bot" یا "New Anti-Virus" یا "DDoS Protector" یا "SmartDefense" یا "Threat Emulation"). عکس قابل کلیک است:

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

و تنظیمات دقیق تر، تصویر قابل کلیک است:

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

جدول رویداد IPS

بعد، از نقطه نظر امنیت اطلاعات بسیار مهم، مشاهده و بررسی وقایع روی تیغه است. IPS и شبیه سازی تهدیدکه مسدود نیستند خط مشی فعلی، برای اینکه متعاقباً یا امضا را برای جلوگیری از تغییر تغییر دهید، یا اگر ترافیک معتبر است، امضا را بررسی نکنید. جدول را مانند مثال اول ایجاد می کنیم، تنها با این تفاوت که چندین ستون ایجاد می کنیم: protects.keyword، severity.keyword، product.keyword، originsicname.keyword. حتماً یک فیلتر تنظیم کنید تا فقط اطلاعات مربوط به تیغه های مسئول حوادث امنیت اطلاعات را جستجو کنید - محصول: ("SmartDefense" یا "Threat Emulation"). عکس قابل کلیک است:

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

تنظیمات دقیق تر، تصویر قابل کلیک است:

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

نمودارهای محبوب ترین سایت های بازدید شده

برای انجام این کار، یک شکل ایجاد کنید - نوار عمودی. ما همچنین از تعداد (محور Y) به عنوان یک متریک استفاده می کنیم و در محور X از نام سایت های بازدید شده به عنوان مقادیر استفاده می کنیم - "appi_name". در اینجا یک ترفند کوچک وجود دارد: اگر تنظیمات را در نسخه فعلی اجرا کنید، همه سایت ها روی نمودار با همان رنگ علامت گذاری می شوند، برای اینکه آنها را چند رنگ کنیم، از یک تنظیم اضافی استفاده می کنیم - "سری تقسیم". که به شما امکان می دهد یک ستون آماده را به چندین مقدار دیگر تقسیم کنید، البته بسته به فیلد انتخابی! همین تقسیم بندی می تواند به عنوان یک ستون چند رنگ با توجه به مقادیر در حالت انباشته یا در حالت عادی به منظور ایجاد چندین ستون با توجه به مقدار معینی در محور X استفاده شود. در این مورد، در اینجا از همان مقداری که در محور X وجود دارد، این امکان را فراهم می کند که همه ستون ها را چند رنگی کنید؛ آنها با رنگ ها در بالا سمت راست نشان داده می شوند. در فیلتری که تنظیم کردیم - محصول: "URL Filtering" برای مشاهده اطلاعات فقط در سایت های بازدید شده، تصویر قابل کلیک است:

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

تنظیمات:

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

نمودار استفاده از خطرناک ترین برنامه ها

برای انجام این کار، یک شکل ایجاد کنید - نوار عمودی. ما همچنین از count (محور Y) به عنوان متریک استفاده می کنیم و در محور X از نام برنامه های مورد استفاده - "appi_name" به عنوان مقادیر استفاده می کنیم. مهمترین آنها تنظیم فیلتر است - محصول: "کنترل برنامه" و برنامه_ریسک: (4 یا 5 یا 3) و اقدام: "پذیرش". ما گزارش‌ها را توسط تیغه کنترل برنامه فیلتر می‌کنیم و فقط سایت‌هایی را می‌گیریم که به عنوان سایت‌های با خطر بحرانی، پرخطر، متوسط ​​طبقه‌بندی می‌شوند و تنها در صورتی که دسترسی به این سایت‌ها مجاز باشد. عکس قابل کلیک است:

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

تنظیمات، قابل کلیک:

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

داشبورد

مشاهده و ایجاد داشبورد در یک آیتم منو جداگانه است - داشبورد. همه چیز در اینجا ساده است، یک داشبورد جدید ایجاد می شود، تجسم به آن اضافه می شود، در جای خود قرار می گیرد و تمام!

ما در حال ایجاد داشبوردی هستیم که توسط آن می توانید وضعیت اساسی وضعیت امنیت اطلاعات در یک سازمان را درک کنید، البته فقط در سطح Check Point، تصویر قابل کلیک است:

3. پشته الاستیک: تجزیه و تحلیل سیاهههای مربوط به امنیت. داشبوردها

بر اساس این نمودارها، می‌توان فهمید که کدام امضاهای حیاتی در فایروال مسدود نشده‌اند، کاربران کجا می‌روند و از چه برنامه‌هایی خطرناک استفاده می‌کنند.

نتیجه

ما به قابلیت‌های تجسم اولیه در کیبانا نگاه کردیم و یک داشبورد ساختیم، اما این تنها بخش کوچکی است. در ادامه دوره به طور جداگانه به تنظیم نقشه ها، کار با سیستم elasticsearch، آشنایی با درخواست های API، اتوماسیون و موارد دیگر خواهیم پرداخت!

پس با ما همراه باشید (تلگرام, فیس بوک, VK, وبلاگ راه حل TS), Yandex Zen.

منبع: www.habr.com

اضافه کردن نظر