Goeiemiddei, yn eardere artikels makken wy kunde mei it wurk fan ELK Stack. Litte wy no de mooglikheden beprate dy't kinne wurde realisearre troch in spesjalist foar ynformaasjefeiligens by it brûken fan dizze systemen. Hokker logs kinne en moatte wurde ynfierd yn elastysk sykjen. Lit ús beskôgje hokker statistiken kinne wurde krigen troch it opsetten fan dashboards en oft der winst yn dit. Hoe kinne jo automatisearring fan prosessen foar ynformaasjefeiligens ymplementearje mei de ELK-stapel. Litte wy de arsjitektuer fan it systeem opstelle. Yn totaal is de ymplemintaasje fan alle funksjonaliteit in heul grutte en drege taak, sadat de oplossing in aparte namme krige - TS Total Sight.
Op it stuit winne oplossingen dy't ynsidinten fan ynformaasjefeiligens op ien logysk plak konsolidearje en analysearje rap populaasje, as gefolch, de spesjalist krijt statistiken en in grins fan aksje om de steat fan ynformaasjefeiligens yn 'e organisaasje te ferbetterjen. Wy sette ús dizze taak yn it brûken fan de ELK-stapel, en as gefolch hawwe wy de haadfunksjonaliteit ferdield yn 4 seksjes:
- Statistiken en fisualisaasje;
- Deteksje fan ynsidinten fan ynformaasjefeiligens;
- Ynsidint prioritization;
- Automatisearring fan prosessen foar ynformaasjefeiligens.
Folgjende sille wy elk yndividueel in tichterby besjen.
Deteksje fan ynsidinten fan ynformaasjefeiligens
De wichtichste taak fan it brûken fan elasticsearch yn ús gefal is om allinich ynsidinten fan ynformaasjefeiligens te sammeljen. Jo kinne ynsidinten fan ynformaasjefeiligens sammelje fan alle befeiligingsmiddels as se op syn minst guon manieren fan ferstjoeren fan logs stypje, de standert is syslog of scp opslaan yn in bestân.
Jo kinne standertfoarbylden jaan fan befeiligingsark en mear, wêrfan jo it trochstjoeren fan logs moatte konfigurearje:
- Elke NGFW-ark (Check Point, Fortinet);
- Elke kwetsberensscanners (PT Scanner, OpenVas);
- Web Application Firewall (PT AF);
- netflow analyzers (Flowmon, Cisco StealthWatch);
- AD tsjinner.
As jo ienris it ferstjoeren fan logs en konfiguraasjebestannen yn Logstash konfigureare hawwe, kinne jo korrelearje en fergelykje mei ynsidinten dy't komme fan ferskate befeiligingsark. Om dit te dwaan is it handich om yndeksen te brûken wêryn wy alle ynsidinten yn ferbân mei in spesifyk apparaat sille opslaan. Mei oare wurden, ien yndeks is alle ynsidinten op ien apparaat. Dizze ferdieling kin op 2 manieren ymplementearre wurde.
De earste opsje Dit is om de Logstash-konfiguraasje te konfigurearjen. Om dit te dwaan, moatte jo it log foar bepaalde fjilden duplisearje yn in aparte ienheid mei in oar type. En brûk dan dit type yn 'e takomst. Yn it foarbyld wurde logs klonen fan it IPS-blêd fan 'e Check Point-brânmuorre.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
Om te bewarjen sokke eveneminten yn in aparte yndeks ôfhinklik fan de log fjilden, bygelyks, lykas Destination IP oanfal hântekeningen. Jo kinne in ferlykbere konstruksje brûke:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
En op dizze manier kinne jo alle ynsidinten opslaan yn in yndeks, bygelyks troch IP-adres, of troch domeinnamme fan 'e masine. Yn dit gefal bewarje wy it yn 'e yndeks "smartdefense-%{dst}", troch IP-adres fan 'e hantekeningbestimming.
Ferskillende produkten sille lykwols ferskate logfjilden hawwe, wat sil liede ta gaos en ûnnedige ûnthâldferbrûk. En hjir sille jo de fjilden yn 'e Logstash-konfiguraasje-ynstellings foarsichtich moatte ferfange troch foarôf ûntworpen, dy't itselde sille wêze foar alle soarten ynsidinten, wat ek in drege taak is.
Twadde útfiering opsje - dit is it skriuwen fan in skript as proses dat tagong sil ta de elastyske databank yn realtime, de nedige ynsidinten útlûke en se opslaan yn in nije yndeks, dit is in drege taak, mar it lit jo wurkje mei logs lykas jo wolle, en korrelearje direkt mei ynsidinten fan oare feiligens apparatuer. Dizze opsje lit jo wurkje mei logs konfigurearje om it meast nuttich te wêzen foar jo saak mei maksimale fleksibiliteit, mar hjir ûntstiet it probleem by it finen fan in spesjalist dy't dit kin útfiere.
En fansels, de wichtichste fraach, en wat kin wurde korrelearre en ûntdutsen??
D'r kinne hjir ferskate opsjes wêze, en it hinget ôf fan hokker befeiligingsark wurde brûkt yn jo ynfrastruktuer, in pear foarbylden:
- De meast foar de hân lizzende en, út myn eachpunt, de meast nijsgjirrige opsje foar dyjingen dy't in NGFW-oplossing en in kwetsberensscanner hawwe. Dit is in ferliking fan IPS-logs en resultaten fan kwetsberensscan. As in oanfal waard ûntdutsen (net blokkearre) troch it IPS-systeem, en dizze kwetsberens is net sluten op 'e einmasine basearre op' e scanresultaten, is it needsaaklik om de fluit te blazen, om't d'r in hege kâns is dat de kwetsberens is eksploitearre .
- In protte oanmeldpogingen fan ien masine nei ferskate plakken kinne symboalyske aktiviteit symbolisearje.
- Brûker dy't firusbestannen downloade fanwege it besykjen fan in grut oantal potinsjeel gefaarlike siden.
Statistiken en fisualisaasje
It meast foar de hân lizzende en begryplike ding wêrfoar ELK Stack nedich is is de opslach en fisualisaasje fan logs, it waard sjen litten hoe't jo logs kinne oanmeitsje fan ferskate apparaten mei Logstash. Nei't de logs nei Elasticsearch geane, kinne jo dashboards ynstelle, dy't ek neamd waarden , mei de ynformaasje en statistiken dy't jo nedich hawwe troch fisualisaasje.
foarbylden:
- Dashboard foar Threat Prevention-eveneminten mei de meast krityske barrens. Hjir kinne jo reflektearje hokker IPS-hantekeningen waarden ûntdutsen en wêr't se geografysk wei komme.
- Dashboard oer it gebrûk fan 'e meast krityske applikaasjes wêrfoar ynformaasje kin wurde lekke.
- Scan resultaten fan elke feiligensscanner.
- Active Directory logs troch brûker.
- VPN ferbining dashboard.
Yn dit gefal, as jo de dashboards ynstelle om elke pear sekonden te aktualisearjen, kinne jo in frij handich systeem krije foar it kontrolearjen fan eveneminten yn realtime, dat dan kin wurde brûkt foar de fluchste reaksje op ynsidinten fan ynformaasjefeiligens as jo de dashboards op in apart pleatse skerm.
Ynsidint prioritization
Yn betingsten fan grutte ynfrastruktuer kin it oantal ynsidinten fan skaal gean, en spesjalisten sille gjin tiid hawwe om alle ynsidinten yn 'e tiid te behanneljen. Yn dit gefal is it nedich, earst fan alle, te markearje allinnich dy ynsidinten dy't foarmje in grutte bedriging. Dêrom moat it systeem ynsidinten prioritearje op basis fan har earnst yn relaasje ta jo ynfrastruktuer. It is oan te rieden om in e-post- of telegramalarm yn te stellen foar dizze eveneminten. Prioritisaasje kin ymplementearre wurde mei standert Kibana-ark troch fisualisaasje yn te stellen. Mar mei notifikaasjes is it dreger; standert is dizze funksjonaliteit net opnommen yn 'e basisferzje fan Elasticsearch, allinich yn' e betelle ferzje. Keapje dêrom in betelle ferzje, of skriuw opnij sels in proses dat spesjalisten yn realtime sil ynformearje fia e-post of telegram.
Automatisearring fan prosessen foar ynformaasjefeiligens
En ien fan 'e meast nijsgjirrige dielen is de automatisearring fan aksjes foar ynsidinten fan ynformaasjefeiligens. Earder implementearren wy dizze funksjonaliteit foar Splunk, jo kinne hjir in bytsje mear lêze . It wichtichste idee is dat it IPS-belied nea hifke of optimisearre wurdt, hoewol it yn guon gefallen in kritysk ûnderdiel is fan prosessen foar ynformaasjefeiligens. Bygelyks, in jier nei de ymplemintaasje fan NGFW en it ûntbrekken fan aksjes om IPS te optimalisearjen, sille jo in grut oantal hantekeningen sammelje mei de Detect-aksje, dy't net blokkearre wurde, wat de steat fan ynformaasjefeiligens yn 'e organisaasje sterk ferminderet. Hjirûnder binne wat foarbylden fan wat kin wurde automatisearre:
- Oerdracht fan IPS-hântekening fan Detect nei Prevent. As Prevent net wurket foar krityske hantekeningen, dan is dit út 'e oarder en in serieuze gat yn it beskermingssysteem. Wy feroarje de aksje yn it belied nei sokke hantekeningen. Dizze funksjonaliteit kin wurde ymplementearre as it NGFW-apparaat REST API-funksjonaliteit hat. Dit is allinich mooglik as jo programmearfeardigens hawwe; jo moatte de nedige ynformaasje út Elastcisearch ekstrahearje en API-oanfragen meitsje oan de NGFW-kontrôleserver.
- As meardere hantekeningen waarden ûntdutsen of blokkearre yn netwurkferkear fan ien IP-adres, dan makket it sin om dit IP-adres in skoft te blokkearjen yn it Firewall-belied. De ymplemintaasje bestiet ek út it brûken fan de REST API.
- Rinne in hostscan út mei in kwetsberensscanner, as dizze host in grut oantal IPS-hantekeningen of oare befeiligingsark hat; as it OpenVas is, dan kinne jo in skript skriuwe dat fia ssh sil ferbine mei de feiligensscanner en de scan útfiere.
TS Totaal Sight
Yn totaal is de ymplemintaasje fan alle funksjonaliteit in heul grutte en drege taak. Sûnder programmearringfeardigens kinne jo de minimale funksjonaliteit konfigurearje, dy't genôch wêze kin foar gebrûk yn produksje. Mar as jo ynteressearre binne yn alle funksjonaliteit, kinne jo omtinken jaan oan TS Total Sight. Jo kinne mear details fine op ús . As gefolch, it hiele operaasjeskema en arsjitektuer sil der sa útsjen:
konklúzje
Wy seagen wat kin wurde ymplementearre mei de ELK Stack. Yn folgjende artikels sille wy de funksjonaliteit fan TS Total Sight apart yn mear detail beskôgje!
Dus bliuw op 'e hichte (, , , ), .
Boarne: www.habr.com