Tha Elastic Stack na inneal ainmeil ann am margaidh shiostaman SIEM (gu fìrinneach, chan e a-mhàin iad). Faodaidh e tòrr dàta de dhiofar mheudan a chruinneachadh, an dà chuid mothachail agus nach eil gu math mothachail. Chan eil e gu tur ceart mura h-eil ruigsinneachd air na h-eileamaidean Elastic Stack fhèin air a dhìon. Gu gnàthach, bidh a h-uile eileamaid Elastic taobh a-muigh a ’bhogsa (luchd-cruinneachaidh Elasticsearch, Logstash, Kibana, agus Beats) a’ ruith air protocolaidhean fosgailte. Agus ann an Kibana fhèin, tha dearbhadh ciorramach. Faodar na h-eadar-obrachaidhean sin uile a dhèanamh tèarainte agus san artaigil seo innsidh sinn dhut mar a nì thu seo. Airson goireasachd, roinn sinn an aithris ann an 3 blocaichean semantic:
- Modail ruigsinneachd dàta stèidhichte air dreuchd
- Tèarainteachd dàta taobh a-staigh buidheann Elasticsearch
- A’ dìon dàta taobh a-muigh brabhsair Elasticsearch
Mion-fhiosrachadh fon ghearradh.
Modail ruigsinneachd dàta stèidhichte air dreuchd
Ma stàlaicheas tu Elasticsearch agus nach gleus thu e ann an dòigh sam bith, bidh cothrom air a h-uile clàr-amais fosgailte don h-uile duine. Uill, no an fheadhainn as urrainn curl a chleachdadh. Gus seo a sheachnadh, tha modal dreuchd aig Elasticsearch a tha ri fhaighinn a’ tòiseachadh le ballrachd Bunasach (a tha an-asgaidh). Gu sgeamaigeach tha e a’ coimhead rudeigin mar seo:
Dè tha san dealbh
- Is e luchd-cleachdaidh a h-uile duine as urrainn logadh a-steach a’ cleachdadh an teisteanasan.
- Tha dreuchd na sheata de chòraichean.
- Tha còraichean nan seata de shochairean.
- Is e sochairean cead airson sgrìobhadh, leughadh, cuir às, msaa. ()
- Is e goireasan clàran-amais, sgrìobhainnean, raointean, luchd-cleachdaidh, agus buidhnean stòraidh eile (chan eil am modal dreuchd airson cuid de ghoireasan ri fhaighinn ach le fo-sgrìobhaidhean pàighte).
Gu gnàthach tha Elasticsearch air , ris am bheil iad ceangailte . Cho luath ‘s a chuireas tu an comas roghainnean tèarainteachd, faodaidh tu tòiseachadh gan cleachdadh sa bhad.
Gus tèarainteachd a chomasachadh ann an roghainnean Elasticsearch, feumaidh tu a chuir ris an fhaidhle rèiteachaidh (gu gnàthach is e seo elasticsearch/config/elasticsearch.yml) loidhne ùr:
xpack.security.enabled: trueÀs deidh dhut am faidhle rèiteachaidh atharrachadh, cuir air bhog no ath-thòisich Elasticsearch airson na h-atharrachaidhean a thoirt gu buil. Is e an ath cheum faclan-faire a shònrachadh do luchd-cleachdaidh bogsa. Dèanamaid seo gu h-eadar-ghnìomhach a’ cleachdadh an àithne gu h-ìosal:
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y
Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]
Bidh sinn a ’sgrùdadh:
[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1
Faodaidh tu thu fhèin a chuir air a’ chùl - tha na roghainnean air taobh Elasticsearch crìochnaichte. A-nis tha an t-àm ann Kibana a rèiteachadh. Ma ruitheas tu e an-dràsta, nochdaidh mearachdan, agus mar sin tha e cudromach prìomh stòr a chruthachadh. Tha seo air a dhèanamh ann an dà òrdugh (cleachdaiche kibana agus am facal-faire a chaidh a chuir a-steach aig a’ cheum cruthachadh facal-faire ann an Elasticsearch):
[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.username
[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.passwordMa tha a h-uile dad ceart, tòisichidh Kibana ag iarraidh logadh a-steach agus facal-faire. Tha an fho-sgrìobhadh Bunasach a’ toirt a-steach modal dreuchd stèidhichte air luchd-cleachdaidh a-staigh. A’ tòiseachadh le Òr, faodaidh tu siostaman dearbhaidh taobh a-muigh a cheangal - LDAP, PKI, Active Directory agus siostaman soidhnidh singilte.
Faodaidh còraichean-slighe gu nithean taobh a-staigh Elasticsearch a bhith cuibhrichte cuideachd. Ach, airson an aon rud a dhèanamh airson sgrìobhainnean no raointean, bidh feum agad air ballrachd pàighte (bidh an sòghalachd seo a’ tòiseachadh leis an ìre Platinum). Tha na roghainnean sin rim faighinn ann an eadar-aghaidh Kibana no tro . Faodaidh tu sgrùdadh a dhèanamh air a’ chlàr air a bheil thu eòlach mu thràth Dev Tools:
A 'cruthachadh dreuchd
PUT /_security/role/ruslan_i_ludmila_role
{
"cluster": [],
"indices": [
{
"names": [ "ruslan_i_ludmila" ],
"privileges": ["read", "view_index_metadata"]
}
]
}A 'cruthachadh neach-cleachdaidh
POST /_security/user/pushkin
{
"password" : "nataliaonelove",
"roles" : [ "ruslan_i_ludmila_role", "kibana_user" ],
"full_name" : "Alexander Pushkin",
"email" : "[email protected]",
"metadata" : {
"hometown" : "Saint-Petersburg"
}
}Tèarainteachd dàta taobh a-staigh buidheann Elasticsearch
Nuair a bhios Elasticsearch a’ ruith ann am brabhsair (a tha cumanta), bidh suidheachaidhean tèarainteachd taobh a-staigh a’ bhuidheann a’ fàs cudromach. Airson conaltradh tèarainte eadar nodan, bidh Elasticsearch a’ cleachdadh protocol TLS. Gus eadar-obrachadh tèarainte a stèidheachadh eatorra, feumaidh tu teisteanas. Bidh sinn a’ gineadh teisteanas agus iuchair phrìobhaideach ann an cruth PEM:
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pemÀs deidh dhut an àithne gu h-àrd a chuir an gnìomh, san eòlaire /../elasticsearch nochdaidh tasglann elastic-stack-ca.zip. Na bhroinn gheibh thu teisteanas agus iuchair phrìobhaideach le leudachaidhean crt и prìomh fa leth. Tha e ciallach an cur air goireas co-roinnte, a bu chòir a bhith ruigsinneach bho gach nod sa bhuidheann.
Feumaidh gach nód a-nis na teisteanasan agus na h-iuchraichean prìobhaideach aige fhèin stèidhichte air an fheadhainn san eòlaire co-roinnte. Nuair a chuireas tu an àithne an gnìomh, thèid iarraidh ort facal-faire a shuidheachadh. Faodaidh tu roghainnean a bharrachd -ip agus -dns a chur ris airson dearbhadh iomlan air nodan eadar-ghnìomhach.
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.keyMar thoradh air an àithne a chur an gnìomh, gheibh sinn teisteanas agus iuchair phrìobhaideach ann an cruth PKCS#12, air a dhìon le facal-faire. Chan eil air fhàgail ach am faidhle a chaidh a chruthachadh a ghluasad p12 dhan chlàr rèiteachaidh:
[elastic@node1 ~]$ mv elasticsearch/elastic-certificates.p12 elasticsearch/configCuir facal-faire ris an teisteanas san fhòrmat p12 ann an stòr-iuchrach agus stòr earbsa air gach nód:
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_passwordMar-thà aithnichte elasticsearch.yml Chan eil air fhàgail ach loidhnichean a chur ris le dàta teisteanais:
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12Bidh sinn a’ cur air bhog a h-uile nod Elasticsearch agus a’ cur an gnìomh curl. Ma chaidh a h-uile càil a dhèanamh ceart, thèid freagairt le grunn nodan a thilleadh:
[elastic@node1 ~]$ curl node1:9200/_cat/nodes -u elastic:password
172.18.0.3 43 75 4 0.00 0.05 0.05 dim * node2
172.18.0.4 21 75 3 0.00 0.05 0.05 dim - node3
172.18.0.2 39 75 4 0.00 0.05 0.05 dim - node1Tha roghainn tèarainteachd eile ann - sìoladh seòladh IP (ri fhaighinn ann an ballrachdan bhon ìre Òir). Leigidh seo leat liostaichean geal de sheòlaidhean IP a chruthachadh às am faigh thu cead faighinn gu nodan.
A’ dìon dàta taobh a-muigh brabhsair Elasticsearch
Tha taobh a-muigh na buidhne a’ ciallachadh a bhith a’ ceangal innealan bhon taobh a-muigh: Kibana, Logstash, Beats no teachdaichean eile bhon taobh a-muigh.
Gus taic airson https a rèiteachadh (an àite http), cuir loidhnichean ùra ri elasticsearch.yml:
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12
xpack.security.http.ssl.truststore.path: elastic-certificates.p12Air sgàth Tha an teisteanas fo dhìon facal-faire, cuir ris a’ phrìomh stòr agus an stòr earbsa air gach nód:
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_passwordÀs deidh na h-iuchraichean a chuir ris, tha nodan Elasticsearch deiseil airson ceangal tro https. A-nis faodar an cur air bhog.
Is e an ath cheum iuchair a chruthachadh gus Kibana a cheangal agus a chuir ris an rèiteachadh. Stèidhichte air an teisteanas a tha mar-thà suidhichte san eòlaire co-roinnte, cruthaichidh sinn teisteanas ann an cruth PEM (PKCS # 12 Kibana, Logstash agus Beats nach eil a’ toirt taic fhathast):
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key --pemChan eil air fhàgail ach na h-iuchraichean cruthaichte a dhì-phapadh a-steach don phasgan le rèiteachadh Kibana:
[elastic@node1 ~]$ unzip elasticsearch/certificate-bundle.zip -d kibana/configTha na h-iuchraichean ann, agus mar sin chan eil air fhàgail ach an rèiteachadh Kibana atharrachadh gus an tòisich e gan cleachdadh. Anns an fhaidhle rèiteachaidh kibana.yml, atharraich http gu https agus cuir loidhnichean le roghainnean ceangail SSL. Bidh na trì loidhnichean mu dheireadh a’ rèiteachadh conaltradh tèarainte eadar brobhsair an neach-cleachdaidh agus Kibana.
elasticsearch.hosts: ["https://${HOSTNAME}:9200"]
elasticsearch.ssl.certificateAuthorities: /shared_folder/ca/ca.crt
elasticsearch.ssl.verificationMode: certificate
server.ssl.enabled: true
server.ssl.key: /../kibana/config/instance/instance.key
server.ssl.certificate: /../kibana/config/instance/instance.crtMar sin, tha na roghainnean air an crìochnachadh agus tha cothrom air dàta anns a’ bhuidheann Elasticsearch air a chrioptachadh.
Ma tha ceistean agad mu chomas Elastic Stack air ballrachdan an-asgaidh no pàighte, a’ cumail sùil air gnìomhan no a’ cruthachadh siostam SIEM, fàg iarrtas gu air an làrach-lìn againn.
Barrachd de na h-artaigilean againn mu Elastic Stack air Habré:
Source: www.habr.com