Is uirlis aitheanta é Elastic Stack i margadh na gcóras SIEM (i ndáiríre, ní hamháin iad). Is féidir leis a lán sonraí de mhéideanna éagsúla a bhailiú, idir íogair agus nach bhfuil an-íogair. Níl sé iomlán ceart mura bhfuil rochtain ar na heilimintí Cruacha Leaisteacha féin cosanta. De réir réamhshocraithe, ritheann gach eilimint Elastic as-an-bhosca (Elasticsearch, Logstash, Kibana, agus Beats bailitheoirí) ar phrótacail oscailte. Agus i Kibana féin, tá fíordheimhniú díchumasaithe. Is féidir na hidirghníomhaíochtaí seo go léir a dhaingniú agus san Airteagal seo inseoimid duit conas é seo a dhéanamh. Ar mhaithe le caoithiúlacht, roinneamar an scéal ina 3 bhloc shéimeantacha:
- Múnla rochtana sonraí ról-bhunaithe
- Slándáil sonraí laistigh de bhraisle Elasticsearch
- Sonraí a dhaingniú lasmuigh de bhraisle Elasticsearch
Sonraí faoin gearrtha.
Múnla rochtana sonraí ról-bhunaithe
Má shuiteáil tú Elasticsearch agus mura dtiúineann tú é ar bhealach ar bith, beidh rochtain ar gach innéacs oscailte do chách. Bhuel, nó iad siúd ar féidir leo curl a úsáid. Chun é seo a sheachaint, tá eiseamláir ag Elasticsearch atá ar fáil ag tosú le síntiús Bunúsach (atá saor in aisce). Go scéimreach breathnaíonn sé rud éigin mar seo:
Cad atá sa phictiúr
- Is úsáideoirí iad gach duine ar féidir leo logáil isteach ag baint úsáide as a gcuid dintiúir.
- Sraith cearta is ea ról.
- Is sraith pribhléidí iad cearta.
- Is iad pribhléidí cead scríobh, léamh, scriosadh, etc. ()
- Is éard atá i gceist le hacmhainní ná innéacsanna, doiciméid, réimsí, úsáideoirí, agus eintitis stórála eile (ní bhíonn an eiseamláir do roinnt acmhainní ar fáil ach amháin le síntiúis íoctha).
De réir réamhshocraithe tá Elasticsearch , a bhfuil siad ceangailte leis . Chomh luath agus a chumasaíonn tú socruithe slándála, is féidir leat tosú á n-úsáid láithreach.
Chun slándáil a chumasú i socruithe Elasticsearch, ní mór duit é a chur leis an gcomhad cumraíochta (de réir réamhshocraithe é seo elasticsearch/config/elasticsearch.yml) líne nua:
xpack.security.enabled: trueTar éis duit an comhad cumraíochta a athrú, seol nó atosú Elasticsearch chun go dtiocfaidh na hathruithe i bhfeidhm. Is é an chéad chéim eile ná pasfhocail a shannadh d'úsáideoirí bosca. Déanaimis é seo go hidirghníomhach ag baint úsáide as an ordú thíos:
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y
Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]
Déanaimid seiceáil:
[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1
Is féidir leat tú féin a phaisteáil ar chúl - tá na socruithe ar an taobh Elasticsearch críochnaithe. Anois tá sé in am Kibana a chumrú. Má ritheann tú é anois, beidh earráidí le feiceáil, mar sin tá sé tábhachtach stór eochair a chruthú. Déantar é seo i dhá ordú (úsáideoir ciobán agus an pasfhocal a iontráladh ag an gcéim cruthaithe pasfhocail in Elasticsearch):
[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.username
[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.passwordMá tá gach rud ceart, tosóidh Kibana ag iarraidh logáil isteach agus pasfhocal. Áirítear leis an síntiús Bunúsach eiseamláir atá bunaithe ar úsáideoirí inmheánacha. Ag tosú le Óir, is féidir leat córais fíordheimhnithe seachtracha a nascadh - LDAP, PKI, Eolaire Gníomhach agus córais sínithe isteach Aonair.
Is féidir cearta rochtana ar réada laistigh de Elasticsearch a theorannú freisin. Chun an rud céanna a dhéanamh maidir le doiciméid nó réimsí, áfach, beidh síntiús íoctha de dhíth ort (tosaíonn an só seo leis an leibhéal Platanam). Tá na socruithe seo ar fáil i gcomhéadan Kibana nó trí . Is féidir leat seiceáil tríd an roghchlár Dev Tools a bhfuil aithne air cheana féin:
Ról a chruthú
PUT /_security/role/ruslan_i_ludmila_role
{
"cluster": [],
"indices": [
{
"names": [ "ruslan_i_ludmila" ],
"privileges": ["read", "view_index_metadata"]
}
]
}Úsáideoir a chruthú
POST /_security/user/pushkin
{
"password" : "nataliaonelove",
"roles" : [ "ruslan_i_ludmila_role", "kibana_user" ],
"full_name" : "Alexander Pushkin",
"email" : "[email protected]",
"metadata" : {
"hometown" : "Saint-Petersburg"
}
}Slándáil sonraí laistigh de bhraisle Elasticsearch
Nuair a ritheann Elasticsearch i mbraisle (rud atá coitianta), éiríonn socruithe slándála laistigh den bhraisle tábhachtach. Chun cumarsáid shlán a dhéanamh idir nóid, úsáideann Elasticsearch an prótacal TLS. Chun idirghníomhaíocht shlán a shocrú eatarthu, beidh teastas uait. Ginimid teastas agus eochair phríobháideach i bhformáid PEM:
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pemTar éis an t-ordú thuas a fhorghníomhú, san eolaire /../elasticsearch Beidh cartlann le feiceáil leaisteacha-cruach-ca.zip. Taobh istigh de gheobhaidh tú teastas agus eochair phríobháideach le síntí crt и eochair faoi seach. Tá sé inmholta iad a chur ar acmhainn chomhroinnte, ar cheart a bheith inrochtana ó gach nóid sa bhraisle.
Tá teastais agus eochracha príobháideacha dá chuid féin ag teastáil ó gach nód anois, bunaithe orthu sin san eolaire comhroinnte. Nuair a bheidh an t-ordú á fhorghníomhú, iarrfar ort pasfhocal a shocrú. Is féidir leat roghanna breise -ip agus -dns a chur leis chun na nóid idirghníomhaithe a fhíorú go hiomlán.
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.keyMar thoradh ar an ordú a chur i gcrích, gheobhaidh muid teastas agus eochair phríobháideach i bhformáid PKCS#12, cosanta ag pasfhocal. Níl fágtha ach an comhad ginte a bhogadh p12 chuig an eolaire cumraíochta:
[elastic@node1 ~]$ mv elasticsearch/elastic-certificates.p12 elasticsearch/configCuir pasfhocal leis an teastas san fhormáid p12 in eochair-siopa agus stór iontaobhais ar gach nód:
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_passwordAr eolas cheana féin elasticsearch.yml Níl fágtha ach línte a chur leis le sonraí teastais:
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12Seoladh gach nóid Elasticsearch agus ritheann muid tú chuachadh, ceirtín. Má rinneadh gach rud i gceart, cuirfear freagra le roinnt nóid ar ais:
[elastic@node1 ~]$ curl node1:9200/_cat/nodes -u elastic:password
172.18.0.3 43 75 4 0.00 0.05 0.05 dim * node2
172.18.0.4 21 75 3 0.00 0.05 0.05 dim - node3
172.18.0.2 39 75 4 0.00 0.05 0.05 dim - node1Tá rogha slándála eile - scagadh seoladh IP (ar fáil i síntiúis ón leibhéal Óir). Ligeann sé duit liostaí bána de sheoltaí IP a chruthú óna bhfuil cead agat nóid a rochtain.
Sonraí a dhaingniú lasmuigh de bhraisle Elasticsearch
Taobh amuigh den bhraisle ciallaíonn nascadh uirlisí seachtracha: Kibana, Logstash, Beats nó cliaint seachtracha eile.
Chun tacaíocht do https a chumrú (in ionad http), cuir línte nua le elasticsearch.yml:
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12
xpack.security.http.ssl.truststore.path: elastic-certificates.p12Mar Tá an teastas cosanta ag pasfhocal, cuir leis an stór eochair agus an stór iontaobhais ar gach nód é:
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_passwordTar éis na heochracha a chur leis, tá nóid Elasticsearch réidh le nascadh trí https. Anois is féidir iad a sheoladh.
Is é an chéad chéim eile ná eochair a chruthú chun Kibana a nascadh agus é a chur leis an gcumraíocht. Bunaithe ar an teastas atá sa chomhadlann roinnte cheana féin, ginfimid teastas i bhformáid PEM (ní thacaíonn PKCS#12 Kibana, Logstash agus Beats go fóill):
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key --pemNíl fágtha ach na heochracha cruthaithe a dhíphacáil isteach san fhillteán le cumraíocht Kibana:
[elastic@node1 ~]$ unzip elasticsearch/certificate-bundle.zip -d kibana/configTá na heochracha ann, mar sin níl fágtha ach an chumraíocht Kibana a athrú ionas go dtosóidh sé á n-úsáid. Sa chomhad cumraíochta kibana.yml, athraigh http go https agus cuir línte le socruithe nasc SSL. Cumraíonn na trí líne dheireanacha cumarsáid shlán idir brabhsálaí an úsáideora agus Kibana.
elasticsearch.hosts: ["https://${HOSTNAME}:9200"]
elasticsearch.ssl.certificateAuthorities: /shared_folder/ca/ca.crt
elasticsearch.ssl.verificationMode: certificate
server.ssl.enabled: true
server.ssl.key: /../kibana/config/instance/instance.key
server.ssl.certificate: /../kibana/config/instance/instance.crtMar sin, cuirtear na socruithe i gcrích agus tá rochtain ar shonraí sa bhraisle Elasticsearch criptithe.
Má tá ceisteanna agat faoi chumais Elastic Stack ar shíntiúis in aisce nó íoctha, ar thascanna monatóireachta nó ar chóras SIEM a chruthú, fág iarratas chuig ar ár suíomh Gréasáin.
Tuilleadh dár n-alt faoi Elastic Stack ar Habré:
Foinse: will.com