Ann an artaigilean roimhe, fhuair sinn beagan eòlach air a’ chruach elk agus a’ stèidheachadh am faidhle rèiteachaidh Logstash airson parser an loga.San artaigil seo, gluaisidh sinn air adhart chun rud as cudromaiche bho shealladh anailis, na tha thu ag iarraidh a dhèanamh. faic bhon t-siostam agus carson a chaidh a h-uile càil a chruthachadh - is iad sin grafaichean agus clàran air an cur còmhla deas-bhòrdan. An-diugh bheir sinn sùil nas mionaidiche air an t-siostam fradharc Kibana, seallaidh sinn ri mar a chruthaicheas tu grafaichean agus clàran, agus mar thoradh air an sin togaidh sinn deas-bhòrd sìmplidh stèidhichte air logaichean bho bhalla-teine Seic Point.
Is e a 'chiad cheum ann a bhith ag obair le kibana cruthachadh pàtran clàr-amais, gu loidsigeach, is e seo bunait de chlàran-amais aonaichte a rèir prionnsapal sònraichte. Gu dearbh, is e dìreach suidheachadh a tha seo gus Kibana a dhèanamh nas freagarraiche airson fiosrachadh a lorg thar gach clàr-amais aig an aon àm. Tha e air a shuidheachadh le bhith a’ maidseadh sreang, can “seicpoint-*” agus ainm a’ chlàr-amais. Mar eisimpleir, bhiodh “checkpoint-2019.12.05” a’ freagairt air a’ phàtran, ach gu sìmplidh chan eil “seic-phuing” ann tuilleadh. Is fhiach iomradh a thoirt air leth gu bheil e do-dhèanta a bhith a’ lorg fiosrachadh mu dhiofar phàtranan clàr-amais aig an aon àm; beagan nas fhaide air adhart anns na h-artaigilean às deidh sin chì sinn gu bheil iarrtasan API air an dèanamh an dàrna cuid le ainm a’ chlàr-amais, no dìreach le aon loidhne a’ phàtrain, faodar cliogadh air an dealbh:
Às deidh seo, nì sinn sgrùdadh anns a’ chlàr Discover gu bheil a h-uile loga air a chlàr-amais agus gu bheil am parser ceart air a rèiteachadh. Ma lorgar neo-chunbhalachd sam bith, mar eisimpleir, ag atharrachadh an t-seòrsa dàta bho shreang gu integer, feumaidh tu am faidhle rèiteachaidh Logstash a dheasachadh, mar thoradh air an sin, thèid logaichean ùra a sgrìobhadh gu ceart. Gus am bi na seann logaichean a 'gabhail ris an fhoirm a tha thu ag iarraidh ron atharrachadh, chan eil ach am pròiseas ath-chlàradh a' cuideachadh; ann an artaigilean às dèidh sin thèid an obair seo a dheasbad nas mionaidiche. Dèan cinnteach gu bheil a h-uile dad ann an òrdugh, faodar cliogadh air an dealbh:
Tha na logaichean nan àite, agus tha sin a’ ciallachadh gun urrainn dhuinn tòiseachadh air clàran-bùird a thogail. Stèidhichte air an anailis air clàran-bùird bho thoraidhean tèarainteachd, tuigidh tu suidheachadh tèarainteachd fiosrachaidh ann am buidheann, faic gu soilleir so-leòntachd sa phoileasaidh gnàthach, agus às deidh sin leasaich dòighean air cuir às dhaibh. Togamaid deas-bhòrd beag a’ cleachdadh grunn innealan seallaidh. Bidh an deas-bhòrd air a dhèanamh suas de 5 phàirtean:
- clàr airson àireamh iomlan nan logaichean obrachadh a-mach le lannan
- clàr air ainmean-sgrìobhte IPS èiginneach
- clàr-cearcaill airson tachartasan Bacadh Cunnart
- clàr de na làraich as mòr-chòrdte air an deach tadhal
- Clàr air cleachdadh nan tagraidhean as cunnartaiche
Gus figearan lèirsinn a chruthachadh, feumaidh tu a dhol chun chlàr-taice Seall a-mach, agus tagh am figear a tha thu ag iarraidh a tha sinn airson a thogail! Rachamaid ann an òrdugh.
Clàr airson obrachadh a-mach an àireamh iomlan de logaichean a rèir lann
Gus seo a dhèanamh, tagh figear Clàr dàta, bidh sinn a’ tuiteam a-steach don uidheamachd airson grafaichean a chruthachadh, air an taobh chlì tha roghainnean an fhigear, air an taobh cheart tha mar a choimheadas e anns na roghainnean gnàthach. An toiseach, seallaidh mi cò ris a bhios an clàr crìochnaichte coltach, às deidh sin thèid sinn tro na roghainnean, faodar cliogadh air an dealbh:
Suidhichidhean nas mionaidiche den fhigear, faodar cliogadh air an dealbh:
Bheir sinn sùil air na roghainnean.
Air a rèiteachadh an toiseach meatrach, is e seo an luach leis am bi na raointean uile air an cruinneachadh. Tha meatrach air a thomhas a rèir luachan a chaidh a thoirt a-mach ann an aon dòigh no ann an dòigh eile bho sgrìobhainnean. Mar as trice tha na luachan air an toirt a-mach à achaidhean sgrìobhainn, ach faodar a chruthachadh cuideachd le bhith a’ cleachdadh sgriobtaichean. Anns a 'chùis seo, chuir sinn a-steach Co-chruinneachadh: Cunnt (àireamh iomlan de logaichean).
Às deidh seo, bidh sinn a 'roinn a' chlàr ann an earrannan (raointean) leis an tèid an meatrach a thomhas. Tha an gnìomh seo air a choileanadh le suidheachadh Buckets, a tha an uair sin air a dhèanamh suas de 2 roghainnean suidheachaidh:
- sgoltadh sreathan - a 'cur cholbhan agus an uairsin a' roinn a 'bhùird ann an sreathan
- clàr roinnte - roinneadh ann an grunn chlàran stèidhichte air luachan raon sònraichte.
В cuinneagan faodaidh tu grunn roinnean a chuir ris gus grunn cholbhan no chlàran a chruthachadh, tha na cuingeadan an seo caran loidsigeach. Ann an cruinneachadh, faodaidh tu taghadh dè an dòigh a thèid a chleachdadh airson a roinn ann an roinnean: raon ipv4, raon cinn-latha, teirmean, msaa. Is e an roghainn as inntinniche gu mionaideach Riaghailtean и Teirmean Cudromach, tha roinneadh ann an earrannan air a dhèanamh a rèir luachan raon clàr-amais sònraichte, tha an eadar-dhealachadh eatarra na laighe anns an àireamh de luachan a chaidh a thilleadh, agus an taisbeanadh. Leis gu bheil sinn airson am bòrd a roinn le ainm nan lannan, bidh sinn a’ taghadh an raon - toradh.keyword agus suidhich am meud gu 25 luachan air ais.
An àite sreangan, bidh elasticsearch a’ cleachdadh 2 sheòrsa dàta - teacsa и prėomh. Ma tha thu airson sgrùdadh làn-theacsa a dhèanamh, bu chòir dhut an seòrsa teacsa a chleachdadh, rud gu math goireasach nuair a bhios tu a’ sgrìobhadh an t-seirbheis sgrùdaidh agad, mar eisimpleir, a’ coimhead airson iomradh air facal ann an raon sònraichte luach (teacsa). Mura h-eil thu ag iarraidh ach maids cheart, bu chòir dhut an seòrsa prìomh fhacal a chleachdadh. Cuideachd, bu chòir an seòrsa dàta prìomh fhacal a chleachdadh airson raointean a dh’ fheumas a sheòrsachadh no a chruinneachadh, is e sin, nar cùise.
Mar thoradh air an sin, bidh Elasticsearch a’ cunntadh an àireamh de logaichean airson ùine sònraichte, air an cruinneachadh leis an luach anns an raon toraidh. Ann an Custom Label, shuidhich sinn ainm a 'cholbh a thèid a thaisbeanadh sa chlàr, suidhich an ùine airson a bhith a' cruinneachadh chlàran, a 'tòiseachadh a' toirt seachad - bidh Kibana a 'cur iarrtas gu rannsachadh elastic, a' feitheamh ri freagairt agus an uairsin a 'sealltainn an dàta a fhuair sinn. Tha am bòrd deiseil!
Clàr-cearcaill airson tachartasan Bacadh Cunnart
Gu sònraichte inntinneach tha am fiosrachadh mu cia mheud ath-bheachdan a tha ann mar cheudad lorg и casg mu thachartasan tèarainteachd fiosrachaidh sa phoileasaidh tèarainteachd làithreach. Tha clàr-cearcaill ag obair gu math airson an t-suidheachaidh seo. Tagh ann an Visualize - Clàr-cearcaill. Cuideachd anns a’ mheatrach shuidhich sinn cruinneachadh a rèir àireamh nan logaichean. Ann am bucaidean chuir sinn Terms => gnìomh.
Tha e coltach gu bheil a h-uile dad ceart, ach tha an toradh a’ sealltainn luachan airson a h-uile lann; feumaidh tu sìoladh a-mhàin leis na lannan sin a tha ag obair taobh a-staigh frèam Bacadh Cunnart. Mar sin, tha sinn gu cinnteach ga stèidheachadh strainer gus fiosrachadh a lorg a-mhàin air lannan a tha an urra ri tachartasan tèarainteachd fiosrachaidh - toradh: (“Anti-Bot” NO “New Anti-Virus” NO “DDoS Protector” NO “SmartDefense” NO “Threat Emulation”). Faodar cliogadh air an dealbh:
Agus roghainnean nas mionaidiche, faodar an dealbh a bhriogadh:
Clàr Tachartas IPS
An ath rud, tha e glè chudromach bho shealladh tèarainteachd fiosrachaidh a bhith a’ coimhead agus a’ sgrùdadh thachartasan air an lann. IPS и Emulation Cunnart, которые nach eil air am bacadh poileasaidh làithreach, gus an dàrna cuid an ainm-sgrìobhte atharrachadh gus casg a chuir air, no ma tha an trafaic dligheach, na thoir sùil air an ainm-sgrìobhte. Bidh sinn a 'cruthachadh a' chlàr san aon dòigh ris a 'chiad eisimpleir, leis an aon eadar-dhealachadh a chruthaicheas sinn grunn cholbhan: protections.keyword, severity.keyword, product.keyword, originsicname.keyword. Dèan cinnteach gun cuir thu sìoltachan air dòigh gus fiosrachadh a lorg a-mhàin air lannan le uallach airson tachartasan tèarainteachd fiosrachaidh - toradh: (“SmartDefense” NO “Threat Emulation”). Faodar cliogadh air an dealbh:
Suidhichidhean nas mionaidiche, faodar an dealbh a bhriogadh:
Clàran airson na làraich as mòr-chòrdte air an deach tadhal
Gus seo a dhèanamh, cruthaich figear - Bàr inghearach. Bidh sinn cuideachd a’ cleachdadh cunntais (Y axis) mar mheatrach, agus air an axis X cleachdaidh sinn ainm làraich air an deach tadhal mar luachan - “appi_name”. Tha beagan cleas an seo: ma ruitheas tu na roghainnean san dreach làithreach, thèid a h-uile làrach a chomharrachadh air a ’chairt leis an aon dath, gus an dèanamh ioma-dathte bidh sinn a’ cleachdadh suidheachadh a bharrachd - “sreath roinnte”, a leigeas leat colbh deiseil a roinn ann an grunn luachan eile, a rèir an raon taghte gu dearbh! Faodar an dearbh sgaradh seo a chleachdadh an dàrna cuid mar aon cholbh ioma-dathte a rèir luachan ann am modh cruachan, no ann am modh àbhaisteach gus grunn cholbhan a chruthachadh a rèir luach sònraichte air an axis X. Anns a’ chùis seo, an seo cleachdaidh sinn an an aon luach agus a tha air an axis X, tha seo ga dhèanamh comasach gach colbh a dhèanamh ioma-dath; bidh iad air an comharrachadh le dathan aig a’ mhullach air an làimh dheis. Anns a’ chriathrag a shuidhich sinn - toradh: “URL Filtering” gus fiosrachadh fhaicinn a-mhàin air làraich air an deach tadhal, faodar cliogadh air an dealbh:
Suidhichidhean:
Diagram air cleachdadh nan tagraidhean as cunnartaiche
Gus seo a dhèanamh, cruthaich figear - Vertical Bar. Bidh sinn cuideachd a’ cleachdadh cunntais (Y axis) mar mheatrach, agus air an axis X cleachdaidh sinn ainm nan tagraidhean a chaidh a chleachdadh - “appi_name” mar luachan. Is e an rud as cudromaiche an suidheachadh sìoltachain - toradh: “Smachd tagraidh” AGUS app_risk: (4 NO 5 NO 3 ) AGUS gnìomh: “gabhail ris”. Bidh sinn a’ sìoladh nan logaichean le lann smachd an tagraidh, a’ gabhail a-steach dìreach na làraich sin a tha air an seòrsachadh mar làraich le cunnart èiginneach, àrd, meadhanach agus dìreach ma tha cothrom air na làraichean sin ceadaichte. Faodar cliogadh air an dealbh:
Roghainnean, cliogadh:
Deas-bhòrd
Tha a bhith a’ coimhead agus a’ cruthachadh deas-bhòrdan ann an nì clàr air leth - Dashboard. Tha a h-uile dad sìmplidh an seo, tha deas-bhòrd ùr air a chruthachadh, tha fradharc air a chuir ris, air a chuir na àite agus sin e!
Tha sinn a’ cruthachadh deas-bhòrd leis an tuig thu suidheachadh bunaiteach staid tèarainteachd fiosrachaidh ann am buidheann, gu dearbh, dìreach aig ìre Check Point, faodar cliogadh air an dealbh:
Stèidhichte air na grafaichean sin, tuigidh sinn dè na h-ainmean èiginneach nach eil air am bacadh air a’ bhalla-teine, far am bi luchd-cleachdaidh a’ dol, agus dè na h-aplacaidean as cunnartaiche a bhios iad a’ cleachdadh.
co-dhùnadh
Choimhead sinn air comasan lèirsinn bunaiteach ann an Kibana agus thog sinn deas-bhòrd, ach chan eil an seo ach pàirt bheag. Nas fhaide air adhart sa chùrsa bidh sinn a’ coimhead air leth air stèidheachadh mhapaichean, ag obair leis an t-siostam elasticsearch, a’ faighinn eòlas air iarrtasan API, fèin-ghluasad agus mòran a bharrachd!
Mar sin cùm sùil air, , , ), .
Source: www.habr.com