Aiemmissa artikkeleissa tutustuimme hieman hirvipinoon ja lokin jäsentimen Logstash-määritystiedoston asettamiseen. Tässä artikkelissa siirrymme analyyttisestä näkökulmasta tärkeimpään asiaan, mitä haluat nähdä järjestelmästä ja mitä varten kaikki luotiin - nämä ovat kaavioita ja taulukoita yhdistettyinä kojelaudat. Tänään tarkastelemme tarkemmin visualisointijärjestelmää Kibana, tarkastelemme kaavioiden ja taulukoiden luomista, minkä tuloksena rakennamme yksinkertaisen kojelaudan Check Pointin palomuurin lokeihin perustuen.
Ensimmäinen askel työskennellessäsi kibanan kanssa on luominen indeksikuvioloogisesti tämä on tietyn periaatteen mukaisesti yhdistettyjen indeksien perusta. Tietenkin tämä on puhtaasti asetus, jonka avulla Kibana hakee tietoa kätevämmin kaikista hakemistoista samanaikaisesti. Se asetetaan yhdistämällä merkkijono, sano "checkpoint-*" ja indeksin nimi. Esimerkiksi "checkpoint-2019.12.05" sopisi malliin, mutta "checkpoint" ei ole enää olemassa. On syytä mainita erikseen, että haussa on mahdotonta etsiä tietoa eri hakemistomalleista samanaikaisesti; hieman myöhemmin seuraavissa artikkeleissa näemme, että API-pyynnöt tehdään joko indeksin nimellä tai vain yhdellä kuvion rivi, kuvaa voi klikata:
Tämän jälkeen tarkistamme Discover-valikosta, että kaikki lokit on indeksoitu ja oikea jäsentäjä on määritetty. Jos havaitaan epäjohdonmukaisuuksia, esimerkiksi vaihtamalla tietotyyppi merkkijonosta kokonaisluvuksi, sinun on muokattava Logstash-määritystiedostoa, minkä seurauksena uudet lokit kirjoitetaan oikein. Jotta vanhat lokit saisivat halutun muodon ennen muutosta, vain uudelleenindeksointi auttaa, myöhemmissä artikkeleissa tätä toimintoa käsitellään tarkemmin. Varmistetaan, että kaikki on kunnossa, kuva on napsautettava:
Tukit ovat paikoillaan, joten voimme alkaa rakentaa kojelautaa. Tietoturvatuotteiden dashboardien analytiikan perusteella voit ymmärtää organisaation tietoturvan tilan, nähdä selkeästi nykyisen käytännön haavoittuvuudet ja myöhemmin kehittää tapoja niiden poistamiseksi. Rakennetaan pieni kojelauta useiden visualisointityökalujen avulla. Kojelauta koostuu viidestä osasta:
- taulukko tukkien kokonaismäärän laskemiseksi terien mukaan
- taulukko kriittisistä IPS-allekirjoituksista
- ympyräkaavio uhkien ehkäisytapahtumille
- kaavio suosituimmista vierailluista sivustoista
- kaavio vaarallisimpien sovellusten käytöstä
Jos haluat luoda visualisointikuvia, sinun on siirryttävä valikkoon havainnollistaa, ja valitse haluamasi hahmo, jonka haluamme rakentaa! Mennään järjestyksessä.
Taulukko tukkien kokonaismäärän laskemiseksi terien mukaan
Voit tehdä tämän valitsemalla hahmon data Table, menemme kaavioiden luomiseen, vasemmalla on kuvan asetukset, oikealla miltä se näyttää nykyisissä asetuksissa. Ensin esitän miltä valmis taulukko tulee näyttämään, sen jälkeen käydään asetukset läpi, kuva on klikattavissa:
Kuvan tarkemmat asetukset, kuvaa klikata:
Katsotaanpa asetuksia.
Aluksi määritetty mittareita, tämä on arvo, jolla kaikki kentät kootaan. Mittarit lasketaan asiakirjoista tavalla tai toisella poimittujen arvojen perusteella. Arvot on yleensä poimittu kenttiä asiakirja, mutta voidaan myös luoda skripteillä. Tässä tapauksessa laitamme sisään Aggregointi: Count (tukkien kokonaismäärä).
Tämän jälkeen jaamme taulukon segmentteihin (kenttiin), joiden perusteella metriikka lasketaan. Tämän toiminnon suorittaa Buckets-asetus, joka puolestaan koostuu kahdesta asetusvaihtoehdosta:
- jakaa rivejä - sarakkeiden lisääminen ja sen jälkeen taulukon jakaminen riveihin
- split table - jakaminen useisiin taulukoihin tietyn kentän arvojen perusteella.
В kauhat Voit lisätä useita jakoja luodaksesi useita sarakkeita tai taulukoita, rajoitukset ovat tässä melko loogisia. Kokoonpanossa voit valita, millä menetelmällä segmentteihin jaetaan: ipv4-alue, päivämääräväli, ehdot jne. Mielenkiintoisin valinta on juuri Ehdot и Merkittävät ehdot, jako segmentteihin suoritetaan tietyn indeksikentän arvojen mukaan, ero niiden välillä on palautettujen arvojen määrässä ja niiden näytössä. Koska haluamme jakaa taulukon terien nimillä, valitsemme kentän - tuote.avainsana ja aseta kooksi 25 palautettua arvoa.
Merkkijonojen sijaan elasticsearch käyttää kahta tietotyyppiä - teksti и avainsana. Jos haluat tehdä kokotekstihaun, sinun tulee käyttää tekstityyppiä, joka on erittäin kätevä asia kirjoittaessasi hakupalveluasi, esimerkiksi etsiessäsi sanan mainintaa tietystä kentän arvosta (teksti). Jos haluat vain tarkan haun, käytä avainsanatyyppiä. Avainsanan tietotyyppiä tulisi käyttää myös kentissä, jotka vaativat lajittelua tai yhdistämistä, eli meidän tapauksessamme.
Tämän seurauksena Elasticsearch laskee lokien määrän tietyltä ajalta tuotekentän arvon perusteella. Custom Labelissa asetamme taulukossa näytettävän sarakkeen nimen, asetamme ajan, jolle keräämme lokeja, aloitamme renderöinnin - Kibana lähettää pyynnön elasticsearchille, odottaa vastausta ja visualisoi sitten vastaanotetut tiedot. Pöytä on valmis!
Ympyräkaavio uhkien ehkäisytapahtumille
Erityisen kiinnostavaa on tieto siitä, kuinka monta reaktiota on prosentteina havaita и estää tietoturvaloukkauksista nykyisessä turvallisuuspolitiikassa. Ympyräkaavio toimii hyvin tässä tilanteessa. Valitse visualisoinnissa - Ympyrädiagrammi. Myös metriikassa asetamme aggregoinnin lokien lukumäärän mukaan. Laitamme ämpäriin Terms => action.
Kaikki näyttää olevan oikein, mutta tulos näyttää kaikkien terien arvot; sinun on suodatettava vain ne terät, jotka toimivat uhan ehkäisyn puitteissa. Siksi asetimme sen ehdottomasti suodattaa jotta voidaan etsiä tietoja vain tietoturvahäiriöistä vastuussa olevista bladeista - tuote: ("Anti-Bot" TAI "New Anti-Virus" TAI "DDoS Protector" TAI "SmartDefense" TAI "Threat Emulation"). Kuvaa voi klikata:
Ja tarkemmat asetukset, kuvaa klikata:
IPS-tapahtumataulukko
Seuraavaksi erittäin tärkeää tietoturvallisuuden kannalta on terän tapahtumien tarkasteleminen ja tarkistaminen. IPS и UhkaemulointiEttä eivät ole tukossa nykyinen käytäntö, jos haluat myöhemmin joko muuttaa allekirjoitusta estämään, tai jos liikenne on kelvollista, älä tarkista allekirjoitusta. Luomme taulukon samalla tavalla kuin ensimmäisessä esimerkissä, sillä ainoalla erolla, että luomme useita sarakkeita: suojaukset.avainsana, vakavuus.avainsana, tuote.avainsana, alkuperänimi.avainsana. Varmista, että määrität suodattimen, jotta voit etsiä tietoja vain tietoturvahäiriöistä vastuussa olevista teriistä - tuote: ("SmartDefense" TAI "Uhkaemulaatio"). Kuvaa voi klikata:
Tarkemmat asetukset, kuvaa klikkaamalla:
Kaaviot suosituimmista vierailluista sivustoista
Voit tehdä tämän luomalla hahmon - Pystypalkki. Käytämme myös laskentaa (Y-akseli) mittarina, ja X-akselilla käytämme arvoina vierailtujen sivustojen nimiä - "appi_name". Tässä on pieni temppu: jos suoritat asetukset nykyisessä versiossa, kaikki sivustot merkitään kaavioon samalla värillä, jotta ne olisivat monivärisiä, käytämme lisäasetusta - "jaettu sarja", jonka avulla voit jakaa valmiin sarakkeen useisiin arvoihin riippuen tietysti valitusta kentästä! Juuri tätä jakoa voidaan käyttää joko yhtenä monivärisenä sarakkeena pinotussa tilassa arvojen mukaan tai normaalitilassa useiden sarakkeiden luomiseksi tietyn arvon mukaan X-akselille. Tässä tapauksessa käytetään sama arvo kuin X-akselilla, tämä mahdollistaa kaikkien sarakkeiden monivärisyyden; ne ilmaistaan väreillä oikeassa yläkulmassa. Asetamme suodattimeen - tuote: "URL-suodatus", jotta näet vain vierailtujen sivustojen tiedot, kuva on klikattava:
Asetukset:
Kaavio vaarallisimpien sovellusten käytöstä
Voit tehdä tämän luomalla hahmon - Pystypalkki. Käytämme myös laskentaa (Y-akseli) mittarina, ja X-akselilla käytämme käytettyjen sovellusten nimiä - "appi_name" arvoina. Tärkein on suodatinasetus - tuote: “Application Control” JA app_risk: (4 TAI 5 TAI 3 ) JA toiminto: “accept”. Suodatamme lokit sovelluksen hallintapaneelin avulla ja otamme vain ne sivustot, jotka on luokiteltu kriittisiksi, korkean tai keskiriskin sivustoiksi, ja vain, jos pääsy näihin sivustoihin on sallittu. Kuvaa voi klikata:
Asetukset, klikattava:
Kojelauta
Kojetaulujen katselu ja luominen on erillisessä valikkokohdassa - koontinäyttöön.. Täällä kaikki on yksinkertaista, uusi kojelauta luodaan, siihen lisätään visualisointi, sijoitetaan paikoilleen ja se on siinä!
Luomme dashboardin, jonka avulla voit ymmärtää organisaation tietoturvan tilan perustilanteen, tietysti vain Check Point -tasolla, kuva on napsautettava:
Näiden kaavioiden perusteella voimme ymmärtää, mitkä kriittiset allekirjoitukset eivät ole estetty palomuurissa, minne käyttäjät menevät ja mitä vaarallisimpia sovelluksia he käyttävät.
Johtopäätös
Tarkastelimme Kibanan perusvisualisoinnin mahdollisuuksia ja rakensimme kojelaudan, mutta tämä on vain pieni osa. Jatkossa kurssilla tarkastellaan erikseen karttojen asettelua, elasticsearch-järjestelmän kanssa työskentelyä, API-pyyntöihin tutustumista, automaatiota ja paljon muuta!
Pysy siis kuulolla, , , ), .
Lähde: will.com