TS Total Sight. Tapahtumien kerääminen, tapausanalyysi ja uhkien reagointiautomaatiotyökalu

Hyvää iltapäivää, aiemmissa artikkeleissa tutustuttiin ELK Stackin työhön. Ja nyt keskustellaan mahdollisuuksista, jotka tietoturva-asiantuntija voi toteuttaa näiden järjestelmien käytössä. Mitä tukkeja voidaan ja pitäisi lisätä elasticsearchiin. Mietitään, mitä tilastoja voidaan saada asettamalla kojelaudat ja onko tästä hyötyä. Kuinka voin toteuttaa tietoturvaprosessien automatisoinnin ELK-pinon avulla. Luodaan järjestelmän arkkitehtuuri. Kaiken toiminnallisuuden toteuttaminen on kaiken kaikkiaan erittäin suuri ja vaikea tehtävä, joten ratkaisulle annettiin oma nimi - TS Total Sight.

Tällä hetkellä tietoturvahäiriöitä yhteen loogiseen paikkaan yhdistävät ja analysoivat ratkaisut ovat yleistymässä, jolloin asiantuntija saa tilastot ja rintaman toiminnalle organisaation tietoturvan tilan parantamiseksi. Asetimme itsellemme tällaisen tehtävän käyttämällä ELK-pinoa, minkä seurauksena erotimme tärkeimmät toiminnot neljässä osassa:

1. Tilastot ja visualisointi;
2. IS-tapahtuman havaitseminen;
3. Tapahtumien priorisointi;
4. Tietoturvaprosessien automatisointi.

Tarkastellaanpa kutakin tarkemmin tarkemmin.

Tietoturvahäiriöiden havaitseminen

Päätehtävä elasticsearchin käytössä meidän tapauksessamme on kerätä vain tietoturvahäiriöitä. Voit kerätä tietoturvahäiriöitä mistä tahansa suojauskeinosta, jos ne tukevat ainakin joitain lokinsiirtotiloja, vakiona on syslog- tai scp-tallennus tiedostoon.

Voit antaa vakioesimerkkejä suojaustyökaluista, ei vain siitä, mistä lokien edelleenlähetys tulisi määrittää:

1. Kaikki NGFW-varat (Check Point, Fortinet);
2. Kaikki haavoittuvuusskannerit (PT Scanner, OpenVas);
3. Web-sovellusten palomuuri (PTAF);
4. Netflow-analysaattorit (Flowmon, Cisco StealthWatch);
5. AD-palvelin.

Kun olet määrittänyt Logstashin lähettämään lokeja ja määritystiedostoja, voit verrata ja verrata eri tietoturvatyökaluista tulevia tapauksia. Tätä varten on kätevää käyttää indeksejä, joihin tallennamme kaikki tiettyyn laitteeseen liittyvät tapahtumat. Toisin sanoen yksi hakemisto on kaikki yhden laitteen tapahtumat. Tämä jakelu voidaan toteuttaa kahdella tavalla.

Ensimmäinen vaihtoehto on määrittää Logstash-asetukset. Tätä varten sinun on kopioitava tiettyjen kenttien loki erilliseksi yksiköksi, jolla on eri tyyppi. Ja sitten myöhemmin käyttää tätä tyyppiä. Esimerkki kloonaa lokit Check Point -palomuurin IPS-kortista.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Tällaisten tapahtumien tallentamiseksi erilliseen hakemistoon riippuen esimerkiksi lokien kentistä, kuten hyökkäyksen allekirjoituksen kohde-IP. Voit käyttää samanlaista rakennetta:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Ja tällä tavalla voit tallentaa kaikki tapahtumat hakemistoon esimerkiksi IP-osoitteen tai koneen toimialueen nimen perusteella. Tässä tapauksessa tallennamme hakemistoon "älykäs puolustus-%{dst}", allekirjoituskohteen IP-osoitteella.

Eri tuotteilla on kuitenkin erilaiset lokikentät, mikä johtaa kaaokseen ja hukkaan muistiin. Ja tässä on tarpeen joko korvata huolellisesti Logstash-asetusten kentät ennalta suunnitelluilla, jotka ovat samat kaikentyyppisille tapauksille, mikä on myös vaikea tehtävä.

Toinen toteutusvaihtoehto - tämä on skriptin tai prosessin kirjoittaminen, joka käyttää joustavaa pohjaa reaaliajassa, poistaa tarvittavat tapahtumat ja tallentaa ne uuteen hakemistoon, tämä on vaikea tehtävä, mutta sen avulla voit työskennellä lokien kanssa haluamallasi tavalla ja korreloivat suoraan muiden tietoturvatyökalujen tapahtumien kanssa. Tämän vaihtoehdon avulla voit räätälöidä työskentelyä lokeilla mahdollisimman hyödylliseksi tapauksesi kannalta mahdollisimman joustavasti, mutta tässä on ongelma löytää asiantuntija, joka pystyy toteuttamaan tämän.

Ja tietysti tärkein kysymys mitä voidaan korreloida ja havaita?

Tässä voi olla useita vaihtoehtoja, ja riippuen siitä, mitä suojaustyökaluja infrastruktuurissasi käytetään, muutama esimerkki:

1. Ilmeisin ja minun näkökulmastani mielenkiintoisin vaihtoehto niille, joilla on NGFW-ratkaisu ja haavoittuvuusskanneri. Tämä on IPS-lokien ja haavoittuvuustarkistuksen tulosten vertailu. Jos IPS-järjestelmä havaitsi (ei estänyt) hyökkäyksen, eikä tätä haavoittuvuutta ole suljettu loppukoneella tarkistuksen tulosten perusteella, on välttämätöntä räjäyttää kaikki putket, koska on suuri todennäköisyys, että haavoittuvuus on hyödynnetty.
2. Monet kirjautumisyritykset yhdestä koneesta eri paikkoihin voivat symboloida haitallista toimintaa.
3. Käyttäjä lataa virustiedostoja, koska hän on käynyt valtavassa määrässä mahdollisesti vaarallisia sivustoja.

Tilastot ja visualisointi

ELK Stackin ilmeisin ja ymmärrettävin tarkoitus on tukkien varastointi ja visualisointi, aiemmissa artikkeleissa näytettiin, kuinka voit saada lokit eri laitteista Logstashilla. Kun lokit ovat siirtyneet Elasticsearchiin, voit määrittää kojelaudat, jotka myös mainittiin aiemmissa artikkeleissa, jossa on tarvitsemasi tiedot ja tilastot visualisoinnin avulla.

Esimerkkejä:

1. Uhkien ehkäisytapahtumien hallintapaneeli, jossa on kriittisimmät tapahtumat. Täällä voit heijastaa, mitkä IPS-allekirjoitukset havaittiin ja mistä ne ovat peräisin maantieteellisesti.

   

2. Kojelauta kriittisimpien sovellusten käytöstä, joista tietoja voi vuotaa.

   

3. Tarkista tulokset mistä tahansa suojausskannerista.

   

4. Käyttäjien lokit Active Directorysta.

   

5. VPN-yhteyden kojelauta.

Jos tässä tapauksessa määrität kojelaudat päivittymään muutaman sekunnin välein, saat varsin kätevän järjestelmän tapahtumien seurantaan reaaliajassa, jonka avulla voidaan reagoida tietoturvahäiriöihin mahdollisimman nopeasti, jos laitat kojelaudat erillinen näyttö.

Tapahtumapriorisointi

Suuren infrastruktuurin olosuhteissa tapahtumien määrä voi laskea mittakaavassa, eikä asiantuntijoilla ole aikaa analysoida kaikkia tapauksia ajoissa. Tässä tapauksessa on ensinnäkin tarpeen erottaa vain ne tapahtumat, jotka sisältävät suuren uhan. Siksi järjestelmän on priorisoitava tapahtumat niiden vakavuuden mukaan suhteessa infrastruktuuriisi. Näistä tapahtumista on suositeltavaa asettaa ilmoitus sähköpostiin tai sähkeisiin. Priorisointi voidaan toteuttaa tavallisilla Kibanan työkaluilla visualisoinnin avulla. Mutta ilmoituksella se on vaikeampaa, oletusarvoisesti tämä toiminto ei sisälly Elasticsearchin perusversioon, vain maksulliseen versioon. Siksi joko osta maksullinen versio tai kirjoita itse prosessi, joka ilmoittaa asiantuntijoille reaaliajassa postitse tai sähkeellä.

Tietoturvaprosessien automatisointi

Ja yksi mielenkiintoisimmista osista on tietoturvaloukkausten toimintojen automatisointi. Aiemmin toteutimme tämän toiminnon Splunkille, voit lukea tästä hieman lisää статье. Pääajatuksena on, että IPS-politiikkaa ei koskaan testata tai optimoida, vaikka se on joissain tapauksissa olennainen osa tietoturvaprosesseja. Esimerkiksi vuosi NGFW:n käyttöönoton ja IPS:n optimointitoimien puuttumisen jälkeen keräät Tunnista-toiminnolla suuren määrän allekirjoituksia, joita ei estä, mikä heikentää huomattavasti organisaation tietoturvan tilaa. Tässä on esimerkkejä siitä, mitä voidaan automatisoida:

1. IPS-allekirjoituksen vaihtaminen Detect-tilasta Estä. Jos Prevent ei toimi kriittisten allekirjoitusten kanssa, tämä on epäkunnossa ja vakava rikkomus suojausjärjestelmässä. Muutamme käytännön toiminnan sellaisiksi allekirjoituksiksi. Tämä toiminto voidaan toteuttaa, jos NGFW-laitteessa on REST API -toiminto. Tämä on mahdollista vain, jos sinulla on ohjelmointitaitoja, sinun on vedettävä tarvittavat tiedot Elastcisearchista ja suoritettava API-pyynnöt NGFW-ohjauspalvelimelle.
2. Jos verkkoliikenteessä havaittiin tai estettiin paljon allekirjoituksia yhdestä IP-osoitteesta, on järkevää estää tämä IP-osoite joksikin aikaa palomuurikäytännössä. Toteutus koostuu myös REST API:n käytöstä.
3. Käynnistä isäntätarkistus haavoittuvuustarkistuksella, jos tällä isännällä on suuri määrä allekirjoituksia IPS:lle tai muille suojaustyökaluille. Jos se on OpenVas, voit kirjoittaa komentosarjan, joka muodostaa yhteyden suojaustarkistimeen ssh:n kautta ja suorittaa tarkistuksen.

TS Total Sight

Kaiken kaikkiaan toimintojen toteuttaminen on erittäin suuri ja vaikea tehtävä. Ilman ohjelmointitaitoja voit asettaa minimitoiminnallisuuden, joka saattaa riittää tuottavuuden parantamiseen. Mutta jos olet kiinnostunut kaikista toiminnoista, voit kiinnittää huomiota TS Total Sightiin. Löydät lisätietoja sivuiltamme Online. Tämän seurauksena koko työn ja arkkitehtuurin järjestelmä näyttää tältä:

Johtopäätös

Pohdimme, mitä ELK Stackilla voidaan toteuttaa. Seuraavissa artikkeleissa tarkastelemme erikseen tarkemmin TS Total Sightin toimivuutta!

Pysy siis kuulollaTelegram, Facebook, VK, TS Solution -blogi), Yandex Zen.

Lähde: will.com