ProHoster > Blog > administration > 3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

Dans les articles précédents, nous nous sommes un peu familiarisés avec la pile elk et la configuration du fichier de configuration Logstash pour l'analyseur de journaux. Dans cet article, nous allons passer à la chose la plus importante d'un point de vue analytique, ce que vous voulez voir à partir du système et pourquoi tout a été créé - ce sont des graphiques et des tableaux combinés en tableaux de bord. Aujourd'hui, nous allons examiner de plus près le système de visualisation Kibana, nous verrons comment créer des graphiques et des tableaux, et par conséquent nous créerons un tableau de bord simple basé sur les journaux du pare-feu Check Point.

La première étape pour travailler avec Kibana est de créer modèle d'index, logiquement, il s'agit d'une base d'index réunis selon un certain principe. Bien entendu, il s’agit uniquement d’un paramètre permettant à Kibana de rechercher plus facilement des informations dans tous les index en même temps. Il est défini en faisant correspondre une chaîne, disons « checkpoint-* » et le nom de l'index. Par exemple, « checkpoint-2019.12.05 » correspondrait au modèle, mais simplement « checkpoint » n'existe plus. Il convient de mentionner séparément que dans la recherche, il est impossible de rechercher des informations sur différents modèles d'index en même temps ; un peu plus tard dans les articles suivants, nous verrons que les requêtes API sont faites soit par le nom de l'index, soit simplement par un ligne du motif, l'image est cliquable :

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

Après cela, nous vérifions dans le menu Découvrir que tous les journaux sont indexés et que le bon analyseur est configuré. Si des incohérences sont détectées, par exemple en changeant le type de données d'une chaîne à un entier, vous devez modifier le fichier de configuration Logstash, par conséquent, les nouveaux journaux seront écrits correctement. Pour que les anciens journaux prennent la forme souhaitée avant le changement, seul le processus de réindexation est utile ; dans les articles suivants, cette opération sera discutée plus en détail. Assurons-nous que tout est en ordre, l'image est cliquable :

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

Les logs sont en place, ce qui signifie que nous pouvons commencer à créer des tableaux de bord. Sur la base de l'analyse des tableaux de bord des produits de sécurité, vous pouvez comprendre l'état de la sécurité des informations dans une organisation, voir clairement les vulnérabilités de la politique actuelle et développer par la suite des moyens de les éliminer. Créons un petit tableau de bord à l'aide de plusieurs outils de visualisation. Le tableau de bord sera composé de 5 éléments :

  1. tableau de calcul du nombre total de journaux par lames
  2. tableau sur les signatures IPS critiques
  3. diagramme circulaire pour les événements de prévention des menaces
  4. tableau des sites les plus visités
  5. tableau d'utilisation des applications les plus dangereuses

Pour créer des figures de visualisation, vous devez aller dans le menu Visualiser, et sélectionnez la figure souhaitée que nous voulons construire ! Allons-y dans l'ordre.

Tableau de calcul du nombre total de logs par lame

Pour ce faire, sélectionnez un chiffre Table de données, nous tombons sur l'équipement de création de graphiques, à gauche se trouvent les paramètres de la figure, à droite se trouvent à quoi elle ressemblera dans les paramètres actuels. Tout d'abord, je vais vous montrer à quoi ressemblera la table finie, après cela nous passerons en revue les paramètres, l'image est cliquable :

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

Paramètres plus détaillés de la figure, l'image est cliquable :

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

Regardons les paramètres.

Initialement configuré métrique, c'est la valeur par laquelle tous les champs seront agrégés. Les métriques sont calculées sur la base de valeurs extraites d'une manière ou d'une autre des documents. Les valeurs sont généralement extraites de des champs document, mais peut également être généré à l’aide de scripts. Dans ce cas, nous mettons Agrégation : nombre (nombre total de journaux).

Après cela, nous divisons le tableau en segments (champs) par lesquels la métrique sera calculée. Cette fonction est assurée par le paramètre Buckets, qui à son tour se compose de 2 options de paramètres :

  1. diviser les lignes - ajouter des colonnes puis diviser le tableau en lignes
  2. table divisée - division en plusieurs tables en fonction des valeurs d'un champ spécifique.

В seaux vous pouvez ajouter plusieurs divisions pour créer plusieurs colonnes ou tableaux, les restrictions ici sont plutôt logiques. En agrégation, vous pouvez choisir quelle méthode sera utilisée pour diviser en segments : plage ipv4, plage de dates, Conditions, etc. Le choix le plus intéressant est justement Conditions и Termes importants, la division en segments s'effectue en fonction des valeurs d'un champ d'index spécifique, la différence entre eux réside dans le nombre de valeurs renvoyées, et leur affichage. Puisque nous voulons diviser le tableau par le nom des lames, nous sélectionnons le champ - Mot-clé de produit et définissez la taille sur 25 valeurs renvoyées.

Au lieu de chaînes, elasticsearch utilise 2 types de données : texte и mot-clé. Si vous souhaitez effectuer une recherche en texte intégral, vous devez utiliser le type texte, ce qui est très pratique lors de la rédaction de votre service de recherche, par exemple pour rechercher la mention d'un mot dans une valeur de champ spécifique (texte). Si vous souhaitez uniquement une correspondance exacte, vous devez utiliser le type de mot-clé. De plus, le type de données mot-clé doit être utilisé pour les champs qui nécessitent un tri ou une agrégation, c'est-à-dire dans notre cas.

Par conséquent, Elasticsearch compte le nombre de journaux pendant une certaine période, agrégé par la valeur dans le champ produit. Dans Custom Label, nous définissons le nom de la colonne qui sera affichée dans le tableau, définissons l'heure pendant laquelle nous collectons les journaux, commençons le rendu - Kibana envoie une demande à elasticsearch, attend une réponse puis visualise les données reçues. La table est prête !

Diagramme circulaire pour les événements de prévention des menaces

Les informations sur le nombre de réactions en pourcentage sont particulièrement intéressantes. détecter и empêcher sur les incidents de sécurité de l’information dans la politique de sécurité actuelle. Un diagramme circulaire fonctionne bien dans cette situation. Sélectionnez dans Visualiser - Camembert. Également dans la métrique, nous définissons l'agrégation par le nombre de journaux. Dans les compartiments, nous mettons Conditions => action.

Tout semble être correct, mais le résultat montre des valeurs pour toutes les lames ; vous devez filtrer uniquement selon les lames qui fonctionnent dans le cadre de la prévention des menaces. Par conséquent, nous l'avons définitivement mis en place filtrer afin de rechercher des informations uniquement sur les lames responsables des incidents de sécurité des informations - produit : (« Anti-Bot » OU « Nouvel Anti-Virus » OU « DDoS Protector » OU « SmartDefense » OU « Threat Emulation »). L'image est cliquable :

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

Et des réglages plus détaillés, l'image est cliquable :

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

Tableau des événements IPS

Ensuite, il est très important du point de vue de la sécurité des informations de visualiser et de vérifier les événements sur la lame. IPS и Émulation de menaceQue ne sont pas bloqués politique actuelle, afin de modifier ultérieurement la signature pour empêcher, ou si le trafic est valide, de ne pas vérifier la signature. Nous créons le tableau de la même manière que pour le premier exemple, à la seule différence que nous créons plusieurs colonnes : protections.keyword, Severity.keyword, product.keyword, originsicname.keyword. Assurez-vous de configurer un filtre afin de rechercher des informations uniquement sur les lames responsables des incidents de sécurité des informations - produit : (« SmartDefense » OU « Threat Emulation »). L'image est cliquable :

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

Paramètres plus détaillés, l'image est cliquable :

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

Graphiques des sites visités les plus populaires

Pour ce faire, créez une figure - Barre verticale. Nous utilisons également le nombre (axe Y) comme métrique, et sur l'axe X, nous utiliserons le nom des sites visités comme valeurs – « appi_name ». Il y a une petite astuce ici : si vous exécutez les paramètres dans la version actuelle, alors tous les sites seront marqués sur le graphique avec la même couleur, afin de les rendre multicolores, nous utilisons un paramètre supplémentaire - "série divisée", ce qui vous permet de diviser une colonne toute faite en plusieurs valeurs supplémentaires, en fonction du champ sélectionné bien sûr ! Cette même division peut être utilisée soit comme une colonne multicolore selon les valeurs en mode empilé, soit en mode normal afin de créer plusieurs colonnes selon une certaine valeur sur l'axe X. Dans ce cas, nous utilisons ici le même valeur que sur l'axe X, cela permet de rendre toutes les colonnes multicolores ; elles seront signalées par des couleurs en haut à droite. Dans le filtre que nous avons défini - produit : « Filtrage d'URL » afin de voir les informations uniquement sur les sites visités, l'image est cliquable :

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

Paramètres:

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

Schéma sur l'utilisation des applications les plus dangereuses

Pour ce faire, créez une figure - Barre verticale. Nous utilisons également le nombre (axe Y) comme métrique, et sur l'axe X, nous utiliserons le nom des applications utilisées - « appi_name » comme valeurs. Le plus important est le paramètre de filtre - produit : « Application Control » ET app_risk : (4 OR 5 OR 3 ) ET action : « accepter ». Nous filtrons les journaux par le panneau de contrôle des applications, en prenant uniquement les sites classés comme sites à risque critique, élevé ou moyen et uniquement si l'accès à ces sites est autorisé. L'image est cliquable :

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

Paramètres, cliquables :

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

Tableau de bord

L'affichage et la création de tableaux de bord se font dans un élément de menu distinct : Tableau de bord. Tout est simple ici, un nouveau tableau de bord est créé, une visualisation y est ajoutée, placée à sa place et c'est tout !

Nous créons un tableau de bord grâce auquel vous pouvez comprendre la situation de base de l'état de la sécurité de l'information dans une organisation, bien sûr, uniquement au niveau Check Point, l'image est cliquable :

3. Pile élastique : analyse des logs de sécurité. Tableaux de bord

Sur la base de ces graphiques, nous pouvons comprendre quelles signatures critiques ne sont pas bloquées sur le pare-feu, où vont les utilisateurs et quelles applications les plus dangereuses ils utilisent.

Conclusion

Nous avons examiné les capacités de visualisation de base dans Kibana et créé un tableau de bord, mais ce n'est qu'une petite partie. Plus loin dans le cours, nous examinerons séparément la configuration de cartes, l'utilisation du système elasticsearch, la familiarisation avec les requêtes API, l'automatisation et bien plus encore !

Alors restez à l'écouteTelegram, Facebook, VK, Blog de la solution TS), Yandex.Den.

Source: habr.com

Ajouter un commentaire