🥇TS sealladh iomlan. Cruinneachadh Tachartas, Mion-sgrùdadh Tachartas, agus Automation Freagairt Bagairt

Feasgar math, ann an artaigilean roimhe fhuair sinn eòlas air obair an ELK Stack. Agus a-nis bruidhnidh sinn mu na cothroman a dh'fhaodas eòlaiche tèarainteachd fiosrachaidh a thoirt gu buil ann a bhith a 'cleachdadh nan siostaman sin. Dè na logaichean a ghabhas agus a bu chòir a chur ri elasticsearch. Beachdaichidh sinn air dè na staitistig a gheibhear le bhith a 'stèidheachadh clàran-dannsa agus a bheil prothaid ann an seo. Ciamar as urrainn dhomh fèin-ghluasad de phròiseasan tèarainteachd fiosrachaidh a chuir an gnìomh a’ cleachdadh stac ELK. Nach cruthaich sinn ailtireachd an t-siostam. Gu h-iomlan, tha buileachadh a h-uile gnìomh na obair gu math mòr agus duilich, agus mar sin chaidh ainm air leth a thoirt don fhuasgladh - TS Total Sight.

An-dràsta, tha fuasglaidhean a tha a’ daingneachadh agus a’ sgrùdadh thachartasan tèarainteachd fiosrachaidh ann an aon àite loidsigeach a’ fàs mòr-chòrdte, mar thoradh air an sin, bidh speisealaiche a’ faighinn staitistig agus aghaidh airson gnìomh gus staid tèarainteachd fiosrachaidh ann am buidheann a leasachadh. Shuidhich sinn a leithid de ghnìomh ann a bhith a’ cleachdadh a’ chruach ELK, mar thoradh air an sin, chomharraich sinn na prìomh ghnìomhachd ann an 4 earrannan:

Staitistig agus fradharc;
lorg tachartas IS;
prìomhachasadh thachartasan;
Automation de phròiseasan tèarainteachd fiosrachaidh.

Bheir sinn sùil nas mionaidiche air gach fear dhiubh ann am barrachd mionaideachd.

Lorgaidh tachartas tèarainteachd fiosrachaidh

Is e am prìomh obair ann a bhith a’ cleachdadh elasticsearch anns a’ chùis againn ach tachartasan tèarainteachd fiosrachaidh a chruinneachadh. Faodaidh tu tachartasan tèarainteachd fiosrachaidh a chruinneachadh bho dhòigh dìon sam bith ma bheir iad taic do co-dhiù cuid de mhodhan gluasad log, is e am fear àbhaisteach syslog no scp sàbhaladh gu faidhle.

Faodaidh tu eisimpleirean àbhaisteach de dh’ innealan dìon a thoirt seachad agus chan ann a-mhàin far am bu chòir dhut cur air adhart logaichean a rèiteachadh:

Maoin NGFW sam bith (Check Point, Fortinet);
Sganadairean so-leòntachd sam bith (PT Scanner, OpenVas);
Balla-teine Iarrtas Lìn (PTAF);
sgrùdairean Netflow (Flowmon, Cisco StealthWatch);
frithealaiche AD.

Aon uair ‘s gu bheil thu air Logstash a stèidheachadh gus logaichean agus faidhlichean rèiteachaidh a chuir, faodaidh tu co-cheangal agus coimeas a dhèanamh ri tachartasan a’ tighinn bho dhiofar innealan tèarainteachd. Gus seo a dhèanamh, tha e goireasach clàran-amais a chleachdadh, anns am bi sinn a’ stòradh a h-uile tachartas co-cheangailte ri inneal sònraichte. Ann am faclan eile, is e aon chlàr-amais a h-uile tachartas airson aon inneal. Faodar an sgaoileadh seo a chuir an gnìomh ann an dà dhòigh.

A 'chiad roghainn a bhith a' rèiteachadh Logstash config. Gus seo a dhèanamh, feumaidh tu an log airson raointean sònraichte a dhùblachadh ann an aonad air leth le seòrsa eadar-dhealaichte. Agus an uairsin cleachd an seòrsa seo nas fhaide air adhart. Bidh an eisimpleir clones a’ logadh bho lann IPS de bhalla-teine Seic Point.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Gus tachartasan mar seo a stòradh ann an clàr-amais fa leth a rèir raointean nan logaichean, mar eisimpleir, leithid IP Ceann-uidhe an ainm-sgrìobhte ionnsaigh. Faodaidh tu togail coltach ris a chleachdadh:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Agus san dòigh seo, faodaidh tu a h-uile tachartas a shàbhaladh chun chlàr-amais, mar eisimpleir, le seòladh IP, no le ainm àrainn an inneil. Anns a 'chùis seo, bidh sinn a' stòradh sa chlàr-amais "smartdefense- %{dst}", le seòladh IP ceann-uidhe an ainm-sgrìobhte.

Ach, bidh diofar raointean log aig diofar thoraidhean, a’ leantainn gu mì-riaghailt agus caitheamh cuimhne. Agus an seo bidh e riatanach an dàrna cuid na raointean ann an roghainnean rèiteachaidh Logstash a chuir an àite gu faiceallach le feadhainn ro-dhealbhaichte, a bhios an aon rud airson gach seòrsa tachartas, a tha cuideachd na obair dhoirbh.

An dàrna roghainn buileachaidh - tha seo a ’sgrìobhadh sgriobt no pròiseas a gheibh cothrom air a’ bhunait elastagach ann an àm fìor, tarraing a-mach na tachartasan riatanach, agus sàbhail iad gu clàr-amais ùr, is e obair dhoirbh a tha seo, ach leigidh e leat obrachadh leis na logaichean mar a thogras tu , agus co-cheangailte gu dìreach ri tachartasan bho innealan tèarainteachd eile. Tha an roghainn seo a 'toirt cothrom dhut an obair le logaichean a ghnàthachadh cho feumail' sa ghabhas airson do chùis le sùbailteachd as motha, ach an seo tha duilgheadas ann a bhith a 'lorg eòlaiche as urrainn seo a chur an gnìomh.

Agus, gu dearbh, a 'cheist as cudromaiche dè a dh'fhaodar a lorg agus a cheangal?

Faodaidh grunn roghainnean a bhith an seo, agus a rèir dè na h-innealan tèarainteachd a thathas a’ cleachdadh sa bhun-structar agad, eisimpleir no dhà:

An rud as fhollaisiche agus bho mo shealladh an roghainn as inntinniche dhaibhsan aig a bheil fuasgladh NGFW agus sganair so-leòntachd. Is e seo coimeas eadar logaichean IPS agus toraidhean sgan so-leòntachd. Ma chaidh ionnsaigh a lorg (gun bhacadh) leis an t-siostam IPS, agus nach eil an so-leòntachd seo dùinte air an inneal crìochnachaidh stèidhichte air toraidhean an sgrùdaidh, feumar a h-uile pìob a shèideadh, leis gu bheil coltas ann gu bheil an so-leòntachd ann. air a chleachdadh.
Faodaidh mòran oidhirpean logadh a-steach bho aon inneal gu diofar àiteachan a bhith a’ samhlachadh gnìomhachd droch-rùnach.
Luchdaich sìos faidhlichean bhìoras leis an neach-cleachdaidh air sgàth tadhal air àireamh mhòr de làraich a dh’ fhaodadh a bhith cunnartach.

Staitistig agus lèirsinn

Is e an adhbhar as fhollaisiche agus as so-thuigsinn aig an ELK Stack stòradh agus fradharc logaichean, ann an artaigilean a chaidh seachad chaidh a shealltainn mar a gheibh thu logaichean bho dhiofar innealan a’ cleachdadh Logstash. Às deidh na logaichean a dhol gu Elasticsearch, faodaidh tu clàran-dannsa a stèidheachadh, a chaidh ainmeachadh cuideachd ann an artaigilean a chaidh seachad, leis an fhiosrachadh agus na staitistig a dh’ fheumas tu tro fhradharc.

eisimpleirean:

Deas-bhòrd de thachartasan Bacadh Cunnart leis na tachartasan as deatamaich. An seo faodaidh tu sealltainn dè na ainmean-sgrìobhte IPS a chaidh a lorg, cò às a tha iad a’ tighinn.
Deas-bhòrd air cleachdadh nan tagraidhean as deatamaiche airson am faodar fiosrachadh a leigeil ma sgaoil.
Sgan toraidhean bho sganair tèarainteachd sam bith.
Logaichean bho Active Directory le luchd-cleachdaidh.
Deas-bhòrd ceangail VPN.

Anns a ’chùis seo, ma shuidhicheas tu clàran-dannsa airson ùrachadh a h-uile diog no dhà, gheibh thu siostam a tha gu math goireasach airson sùil a chumail air tachartasan ann an àm fìor, a dh’ fhaodar a chleachdadh an uairsin gus dèiligeadh ri tachartasan tèarainteachd fiosrachaidh cho luath ‘s a ghabhas ma chuireas tu clàran-bùird air a sgrion air leth.

Prìomhachas tachartas

Ann an suidheachaidhean bun-structair mòr, faodaidh an àireamh de thachartasan a dhol far sgèile, agus cha bhi ùine aig eòlaichean sgrùdadh a dhèanamh air a h-uile tachartas ann an ùine. Anns a 'chùis seo, tha e riatanach an toiseach a bhith a' comharrachadh a-mhàin na tachartasan sin a tha nan cunnart mòr. Mar sin, feumaidh an siostam prìomhachas a thoirt do thachartasan a rèir cho dona sa tha iad a thaobh do bhun-structair. Tha e ciallach fios a chuir air dòigh sa phost no ann an teileagraman mu na tachartasan sin. Faodar prìomhachasadh a chuir an gnìomh le bhith a’ cleachdadh innealan Kibana cunbhalach, le bhith a’ stèidheachadh fradharc. Ach le fios tha e nas duilghe, gu bunaiteach chan eil an gnìomh seo air a ghabhail a-steach san dreach bunaiteach de Elasticsearch, dìreach anns an fhear pàighte. Mar sin, an dàrna cuid ceannaich dreach pàighte, no, a-rithist, sgrìobh pròiseas thu fhèin a chuireas fios gu eòlaichean ann an àm fìor tron phost no teileagram.

Automation de phròiseasan tèarainteachd fiosrachaidh

Agus is e aon de na pàirtean as inntinniche fèin-ghluasad ghnìomhan airson tachartasan tèarainteachd fiosrachaidh. Roimhe sin, chuir sinn an gnìomh seo an gnìomh airson Splunk, faodaidh tu beagan a bharrachd a leughadh ann an seo artaigil. Is e am beachd bunaiteach nach tèid poileasaidh IPS a dhearbhadh no a bharrrachadh a-riamh, ged a tha e ann an cuid de chùisean tha e na phàirt riatanach de phròiseasan tèarainteachd fiosrachaidh. Mar eisimpleir, bliadhna às deidh buileachadh NGFW agus às aonais gnìomhan gus an IPS a bharrachadh, cruinnichidh tu àireamh mhòr de ainmean-sgrìobhte leis a ’ghnìomh Lorg nach tèid a bhacadh, a lughdaicheas gu mòr an staid tèarainteachd fiosrachaidh sa bhuidheann. Seo eisimpleirean de na ghabhas dèanamh fèin-ghluasadach:

Ag atharrachadh ainm-sgrìobhte IPS bho Detect to Prevent. Mura obraich Prevent air ainmean-sgrìobhte èiginneach, tha seo a-mach à òrdugh, agus fìor bhriseadh san t-siostam dìon. Bidh sinn ag atharrachadh a’ ghnìomhachd sa phoileasaidh gu ainmean-sgrìobhte mar sin. Faodar an gnìomh seo a chuir an gnìomh ma tha comas-gnìomh REST API aig inneal NGFW. Chan eil seo comasach ach ma tha sgilean prògramadh agad, feumaidh tu am fiosrachadh riatanach a tharraing a-mach bho Elastcisearch agus cuir an gnìomh iarrtasan API gu frithealaiche smachd NGFW.
Ma chaidh tòrr ainmean-sgrìobhte a lorg no a bhacadh ann an trafaic lìonra bho aon sheòladh IP, tha e ciallach an seòladh IP seo a bhacadh airson ùine ann am poileasaidh Firewall. Tha am buileachadh cuideachd a’ toirt a-steach cleachdadh an REST API.
Cuir air bhog scan aoigheachd le sganair so-leòntachd ma tha àireamh mhòr de ainmean-sgrìobhte aig an aoigh seo airson IPS no innealan tèarainteachd eile, mas e OpenVas a th’ ann, faodaidh tu sgriobt a sgrìobhadh a cheanglas tro ssh ris an sganair tèarainteachd agus an scan a ruith.