TS Radharc Iomlán. Bailiú Imeachtaí, Anailís Teagmhais, agus Uirlis Uathoibrithe Freagartha Bagairtí

Dea-tráthnóna, in ailt roimhe seo chuireamar aithne ar obair an ELK Stack. Agus anois déanfaimid plé ar na féidearthachtaí is féidir le speisialtóir slándála faisnéise a bhaint amach agus na córais seo á n-úsáid. Cad iad na logaí is féidir agus ba chóir a chur le elasticsearch. Déanaimis machnamh ar na staitisticí is féidir a fháil trí dheais a bhunú agus an bhfuil brabús i gceist leis seo. Conas is féidir liom uathoibriú na bpróiseas slándála faisnéise a chur i bhfeidhm ag baint úsáide as cruachta ELK. A ligean ar a chruthú ar an ailtireacht an chórais. Go hachomair, is tasc an-mhór agus deacair é an fheidhmiúlacht go léir a chur i bhfeidhm, agus mar sin tugadh ainm ar leith don réiteach - TS Total Sight.

Faoi láthair, tá tóir ag teacht ar réitigh a chomhdhlúthaíonn agus a anailísíonn teagmhais slándála faisnéise in aon áit loighciúil amháin, mar thoradh air sin, faigheann speisialtóir staitisticí agus tosaigh le haghaidh gníomhaíochta chun staid slándála faisnéise in eagraíocht a fheabhsú. Leagamar a leithéid de thasc dúinn féin maidir le húsáid an chruach ELK, mar thoradh air sin, shonraigh muid an phríomhfheidhmíocht i 4 rannóg:

1. Staitisticí agus léirshamhlú;
2. braite teagmhais IS;
3. Tosaíocht a thabhairt do theagmhais;
4. Uathoibriú na bpróiseas slándála faisnéise.

Breathnaímis ar gach ceann acu níos mine.

Teagmhais slándála faisnéise a bhrath

Is é an príomhthasc maidir le elasticsearch a úsáid inár gcás ná teagmhais slándála faisnéise amháin a bhailiú. Is féidir leat teagmhais slándála faisnéise a bhailiú ó aon mhodh cosanta má thacaíonn siad le roinnt modhanna aistrithe loga ar a laghad, is é an ceann caighdeánach ná syslog nó scp a shábháil chuig comhad.

Is féidir leat samplaí caighdeánacha d’uirlisí cosanta a thabhairt agus ní hamháin ón áit ar cheart duit cur ar aghaidh na logaí a chumrú:

1. Aon chistí NGFW (Seiceáil Pointe, Fortinet);
2. Aon scanóirí leochaileachta (Scanóir PT, OpenVas);
3. Balla Dóiteáin Feidhmchláir Ghréasáin (PTAF);
4. Anailíseoirí Netflow (Flowmon, Cisco StealthWatch);
5. Freastalaí AD.

Nuair a bheidh Logstash socraithe agat chun logs agus comhaid chumraíochta a sheoladh, is féidir leat comhghaolú agus comparáid a dhéanamh le teagmhais a thagann ó uirlisí slándála éagsúla. Chun seo a dhéanamh, tá sé áisiúil innéacsanna a úsáid, ina stórálfaimid gach teagmhas a bhaineann le feiste áirithe. I bhfocail eile, is éard is innéacs amháin ann ná gach teagmhas d’fheiste amháin. Is féidir an dáileadh seo a chur i bhfeidhm ar dhá bhealach.

An Chéad embodiment is é sin Logstash a chumrú. Chun seo a dhéanamh, ní mór duit an logáil do réimsí áirithe a dhúbailt in aonad ar leith le cineál difriúil. Agus ansin níos déanaí bain úsáid as an gcineál seo. Logálann an sampla clónáil ó lann IPS an bhalla dóiteáin Check Point.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

D'fhonn imeachtaí den sórt sin a stóráil in innéacs ar leith ag brath ar réimsí na logs, mar shampla, mar an IP Ceann Scríbe an síniú ionsaí. Is féidir leat tógáil den chineál céanna a úsáid:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Agus ar an mbealach seo, is féidir leat gach teagmhas a shábháil ar an innéacs, mar shampla, trí sheoladh IP, nó trí ainm fearainn an mheaisín. Sa chás seo, stóráilimid san innéacs "smartdefense- %{dst}", ag seoladh IP an chinn scríbe sínithe.

Mar sin féin, beidh réimsí logála éagsúla ag táirgí éagsúla, rud a fhágann go mbeidh caos agus cuimhne amú. Agus anseo beidh sé riachtanach ceachtar a chur in ionad go cúramach na réimsí i socruithe Logstash config le cinn réamh-deartha, a bheidh mar an gcéanna do gach cineál na n-eachtra, a bhfuil freisin tasc deacair.

An dara rogha cur chun feidhme - tá sé seo ag scríobh script nó próiseas a gheobhaidh rochtain ar an mbonn leaisteacha i bhfíor-am, na teagmhais riachtanacha a tharraingt amach, agus iad a shábháil ar innéacs nua, is tasc deacair é seo, ach ligeann sé duit oibriú leis na logaí mar is mian leat , agus comhghaolú go díreach le teagmhais ó uirlisí slándála daoine eile. Ligeann an rogha seo duit an obair a shaincheapadh le logs chomh úsáideach agus is féidir do do chás leis an tsolúbthacht uasta, ach anseo tá fadhb ann maidir le speisialtóir a aimsiú ar féidir leo é seo a chur i bhfeidhm.

Agus, ar ndóigh, an cheist is tábhachtaí cad is féidir a chomhghaolú agus a bhrath?

D’fhéadfadh go mbeadh roinnt roghanna anseo, agus ag brath ar na huirlisí slándála a úsáidtear i do bhonneagar, cúpla sampla:

1. An ceann is soiléire agus ó mo thaobh an rogha is suimiúla dóibh siúd a bhfuil réiteach NGFW agus scanóir leochaileachta acu. Seo comparáid idir logaí IPS agus torthaí scanadh leochaileachta. Má aimsíodh ionsaí (gan bac) ag an gcóras IPS, agus nach bhfuil an leochaileacht seo dúnta ar an meaisín deiridh bunaithe ar thorthaí an scanadh, is gá gach píopa a shéideadh, ós rud é go bhfuil dóchúlacht ard ann go raibh an leochaileacht ann. shaothrú.
2. Is féidir le go leor iarrachtaí logáil isteach ó mheaisín amháin go háiteanna éagsúla a bheith ina siombail de ghníomhaíocht mhailíseach.
3. Comhaid víreas a íoslódáil ag an úsáideoir mar gheall ar cuairt ar líon mór de láithreáin a d'fhéadfadh a bheith contúirteach.

Staitisticí agus léirshamhlú

Is é an cuspóir is soiléire agus is intuigthe atá ag an ELK Stack ná logaí a stóráil agus a léirshamhlú, in altanna anuas léiríodh conas is féidir leat logaí a fháil ó ghléasanna éagsúla ag baint úsáide as Logstash. Tar éis na logaí dul go Elasticsearch, is féidir leat dashboards a shocrú, a luadh freisin in altanna anuas, leis an bhfaisnéis agus na staitisticí a theastaíonn uait trí léirshamhlú.

Samplaí:

1. Painéal na n-imeachtaí Cosc Bagairtí leis na himeachtaí is tábhachtaí. Anseo is féidir leat a léiriú cé na sínithe IPS a braitheadh, cé as a dtagann siad go geografach.

   

2. Painéal ar úsáid na bhfeidhmchlár is tábhachtaí ar féidir faisnéis a sceitheadh ​​ina leith.

   

3. Scan torthaí ó aon scanóir slándála.

   

4. Logchomhaid ón Eolaire Gníomhach ag úsáideoirí.

   

5. Painéal nasc VPN.

Sa chás seo, má bhunaíonn tú deais chun gach cúpla soicind a nuashonrú, is féidir leat córas measartha áisiúil a fháil chun monatóireacht a dhéanamh ar imeachtaí i bhfíor-am, ar féidir é a úsáid ansin chun freagairt a thabhairt ar theagmhais slándála faisnéise chomh tapa agus is féidir má chuireann tú deais ar a scáileán ar leith.

Tosaíocht do Theagmhais

I gcoinníollacha bonneagair mhóra, is féidir líon na n-eachtraí dul as scála, agus ní bheidh am ag speisialtóirí anailís a dhéanamh ar gach teagmhas in am. Sa chás seo, ní mór ar an gcéad dul síos ach na teagmhais sin a bhfuil bagairt mhór orthu a shonrú. Mar sin, ní mór don chóras tosaíocht a thabhairt do theagmhais de réir a ndéine maidir le do bhonneagar. Tá sé inmholta fógra a chur ar bun sa phost nó i dteileagraim faoi na himeachtaí seo. Is féidir tosaíocht a chur i bhfeidhm trí úsáid a bhaint as uirlisí rialta Kibana, trí léirshamhlú a chur ar bun. Ach le fógra tá sé níos deacra, de réir réamhshocraithe níl an fheidhmiúlacht seo san áireamh sa bhunleagan de Elasticsearch, ach amháin sa leagan íoctha. Dá bhrí sin, ceannaigh leagan íoctha, nó, arís, scríobh próiseas duit féin a chuirfidh in iúl do speisialtóirí i bhfíor-am tríd an bpost nó teileagram.

Uathoibriú na bpróiseas slándála faisnéise

Agus is é ceann de na codanna is suimiúla ná uathoibriú gníomhartha le haghaidh teagmhais slándála faisnéise. Roimhe seo, chuireamar an fheidhmiúlacht seo i bhfeidhm do Splunk, is féidir leat beagán níos mó a léamh faoi seo Airteagal. Is é an bunsmaoineamh ná nach ndéantar tástáil nó optamú riamh ar bheartas an IPS, cé gur cuid riachtanach de phróisis slándála faisnéise é i gcásanna áirithe. Mar shampla, bliain tar éis cur i bhfeidhm NGFW agus easpa gníomhartha chun IPS a bharrfheabhsú, carnfaidh tú líon mór sínithe leis an ngníomh Braith nach gcuirfear bac orthu, rud a laghdaíonn go mór staid na slándála faisnéise san eagraíocht. Seo roinnt samplaí de na rudaí is féidir a uathoibriú:

1. An síniú IPS a aistriú ó Detect to Prevent. Mura n-oibríonn Prevent ar shínithe criticiúla, tá sé seo as ord, agus sárú tromchúiseach ar an gcóras cosanta. Athraíonn muid an gníomh sa pholasaí go sínithe den sórt sin. Is féidir an fheidhmiúlacht seo a chur i bhfeidhm má tá feidhmiúlacht REST API ag gléas NGFW. Níl sé seo indéanta ach amháin má tá scileanna ríomhchlárúcháin agat, ní mór duit an fhaisnéis riachtanach a tharraingt amach ó Elastcisearch agus iarratais API a fhorghníomhú chuig freastalaí rialaithe NGFW.
2. Má aimsíodh go leor sínithe nó má cuireadh bac orthu i dtrácht líonra ó sheoladh IP amháin, tá sé ciallmhar an seoladh IP seo a bhlocáil ar feadh tamaill sa bheartas Balla Dóiteáin. Cuimsíonn an cur i bhfeidhm freisin úsáid a bhaint as an REST API.
3. Seol scanadh óstach le scanóir leochaileachta má tá líon mór sínithe ag an ósta seo le haghaidh IPS nó uirlisí slándála eile, más OpenVas é, ansin is féidir leat script a scríobh a nascfaidh trí ssh leis an scanóir slándála agus an scanadh a rith.

TS Radharc Iomlán

Go hachomair, is tasc an-mhór agus deacair é an fheidhmiúlacht go léir a chur i bhfeidhm. Gan scileanna ríomhchlárúcháin, is féidir leat an fheidhmiúlacht íosta a shocrú, a d'fhéadfadh a bheith go leor le húsáid i dtáirgiúlacht. Ach má tá suim agat sa fheidhmiúlacht go léir, is féidir leat aird a thabhairt ar TS Total Sight. Is féidir leat tuilleadh sonraí a fháil ar ár Líne. Mar thoradh air sin, beidh an scéim oibre iomlán agus ailtireacht cuma mar seo:

Conclúid

D’fhéachamar ar cad is féidir a chur i bhfeidhm ag baint úsáide as an gCruach ELK. In ailt ina dhiaidh sin, déanfaimid breithniú níos mionsonraithe ar fheidhmiúlacht TS Total Sight!

Mar sin fanacht tunedTelegram, Facebook, VK, Blag Réiteach TS), Yandex Zen.

Foinse: will.com