Boas tardes, en artigos anteriores coñecemos o traballo de ELK Stack. Agora imos discutir as posibilidades que pode realizar un especialista en seguridade da información ao usar estes sistemas. Que rexistros poden e deben introducirse en elasticsearch. Consideremos que estatísticas se poden obter mediante a creación de paneis e se hai algún beneficio nisto. Como se pode implementar a automatización dos procesos de seguridade da información usando a pila ELK. Elaboremos a arquitectura do sistema. En total, a implementación de todas as funcionalidades é unha tarefa moi grande e difícil, polo que a solución recibiu un nome separado: TS Total Sight.
Actualmente, as solucións que consolidan e analizan os incidentes de seguridade da información nun só lugar lóxico están gañando popularidade rapidamente, como resultado, o especialista recibe estatísticas e unha fronteira de acción para mellorar o estado da seguridade da información na organización. Establecémonos esta tarefa usando a pila ELK e, como resultado, dividimos a funcionalidade principal en 4 seccións:
- Estatística e visualización;
- Detección de incidentes de seguridade da información;
- Priorización de incidencias;
- Automatización dos procesos de seguridade da información.
A continuación, analizaremos cada un individualmente.
Detección de incidencias de seguridade da información
A principal tarefa de usar elasticsearch no noso caso é recoller só incidentes de seguridade da información. Podes recoller incidentes de seguridade da información desde calquera medio de seguridade se admiten polo menos algúns modos de envío de rexistros, o estándar é o gardar syslog ou scp nun ficheiro.
Podes dar exemplos estándar de ferramentas de seguridade e moito máis, desde onde debes configurar o reenvío de rexistros:
- Calquera ferramenta NGFW (Check Point, Fortinet);
- Calquera escáner de vulnerabilidade (PT Scanner, OpenVas);
- Firewall de aplicacións web (PT AF);
- analizadores de netflow (Flowmon, Cisco StealthWatch);
- Servidor AD.
Unha vez que teña configurado o envío de rexistros e ficheiros de configuración en Logstash, pode correlacionar e comparar con incidentes procedentes de varias ferramentas de seguridade. Para iso, é conveniente utilizar índices nos que almacenaremos todas as incidencias relacionadas cun dispositivo concreto. Noutras palabras, un índice son todos os incidentes dun dispositivo. Esta distribución pódese implementar de 2 xeitos.
A primeira opción Isto é para configurar a configuración de Logstash. Para iso, cómpre duplicar o rexistro de determinados campos nunha unidade separada cun tipo diferente. E despois use este tipo no futuro. No exemplo, os rexistros son clonados desde a lámina IPS do firewall de Check Point.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
Para gardar tales eventos nun índice separado dependendo dos campos de rexistro, por exemplo, como sinaturas de ataque IP de destino. Podes usar unha construción similar:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
E deste xeito, pode gardar todas as incidencias nun índice, por exemplo, por enderezo IP, ou por nome de dominio da máquina. Neste caso, gardámolo no índice "smartdefense-%{dst}", polo enderezo IP do destino da sinatura.
Non obstante, os diferentes produtos terán campos de rexistro diferentes, o que provocará un caos e un consumo de memoria innecesario. E aquí terás que substituír coidadosamente os campos da configuración de Logstash por outros deseñados previamente, que serán os mesmos para todo tipo de incidentes, o que tamén é unha tarefa difícil.
Segunda opción de implementación - é escribir un script ou proceso que accederá á base de datos elástica en tempo real, sacará as incidencias necesarias e gardalas nun novo índice, esta é unha tarefa difícil, pero permíteche traballar cos rexistros como queiras, e correlacionarse directamente con incidentes doutros equipos de seguridade. Esta opción permíteche configurar o traballo con rexistros para que sexa máis útil para o teu caso coa máxima flexibilidade, pero aquí xorde o problema de atopar un especialista que poida implementar isto.
E, por suposto, a pregunta máis importante, e que se pode correlacionar e detectar??
Pode haber varias opcións aquí, e depende das ferramentas de seguridade que se utilicen na súa infraestrutura, un par de exemplos:
- A opción máis obvia e, dende o meu punto de vista, a máis interesante para aqueles que teñan unha solución NGFW e un escáner de vulnerabilidades. Esta é unha comparación dos rexistros IPS e os resultados da exploración de vulnerabilidades. Se un ataque foi detectado (non bloqueado) polo sistema IPS, e esta vulnerabilidade non se pecha na máquina final en función dos resultados da dixitalización, é necesario facer sonar o asubío, xa que existe unha alta probabilidade de que a vulnerabilidade sexa explotada. .
- Moitos intentos de inicio de sesión desde unha máquina a diferentes lugares poden simbolizar actividade maliciosa.
- Usuario descargando ficheiros de virus debido a visitar un gran número de sitios potencialmente perigosos.
Estatística e visualización
O máis obvio e comprensible para o que se necesita ELK Stack é o almacenamento e visualización de rexistros. mostrouse como pode crear rexistros desde varios dispositivos usando Logstash. Despois de que os rexistros vaian a Elasticsearch, pode configurar paneis de control, que tamén se mencionaron , coa información e estatísticas que necesites mediante a visualización.
Exemplos:
- Panel de control para eventos de prevención de ameazas cos eventos máis críticos. Aquí pode reflectir que sinaturas IPS se detectaron e de onde proceden xeograficamente.
- Panel de control sobre o uso das aplicacións máis críticas para as que se pode filtrar información.
- Escanear os resultados de calquera escáner de seguridade.
- Rexistros de Active Directory por usuario.
- Panel de control de conexión VPN.
Neste caso, se configuras os paneis de control para que se actualicen cada poucos segundos, podes obter un sistema bastante cómodo para supervisar eventos en tempo real, que se pode usar para a resposta máis rápida aos incidentes de seguridade da información se colocas os paneis nun outro lugar. pantalla.
Priorización de incidencias
En condicións de grandes infraestruturas, o número de incidencias pode ir fóra de escala, e os especialistas non terán tempo para afrontar todas as incidencias a tempo. Neste caso, cómpre, en primeiro lugar, destacar só aqueles incidentes que supoñen unha gran ameaza. Polo tanto, o sistema debe priorizar as incidencias en función da súa gravidade en relación coa súa infraestrutura. É recomendable configurar unha alerta por correo electrónico ou telegrama para estes eventos. A priorización pódese implementar usando ferramentas estándar de Kibana configurando a visualización. Pero coas notificacións é máis difícil; por defecto, esta funcionalidade non está incluída na versión básica de Elasticsearch, só na versión de pago. Polo tanto, compra unha versión de pago ou, de novo, escribe ti mesmo un proceso que notificará aos especialistas en tempo real por correo electrónico ou telegrama.
Automatización dos procesos de seguridade da información
E unha das partes máis interesantes é a automatización das accións ante incidentes de seguridade da información. Anteriormente, implementamos esta funcionalidade para Splunk, podes ler un pouco máis neste . A idea principal é que a política IPS nunca sexa probada nin optimizada, aínda que nalgúns casos é unha parte crítica dos procesos de seguridade da información. Por exemplo, un ano despois da implantación de NGFW e da ausencia de accións para optimizar IPS, acumulará un gran número de firmas coa acción Detect, que non se bloqueará, o que reduce moito o estado da seguridade da información na organización. A continuación móstranse algúns exemplos do que se pode automatizar:
- Transferencia da sinatura IPS de Detect a Prevent. Se Prevent non funciona para as sinaturas críticas, isto está fóra de orde e é unha lagoa grave no sistema de protección. Cambiamos a acción na política a tales sinaturas. Esta funcionalidade pódese implementar se o dispositivo NGFW ten a funcionalidade da API REST. Isto só é posible se tes habilidades de programación; necesitas extraer a información necesaria de Elastcisearch e facer solicitudes de API ao servidor de xestión de NGFW.
- Se se detectaron ou bloquearon varias sinaturas no tráfico de rede desde un enderezo IP, ten sentido bloquear este enderezo IP durante un tempo na política do Firewall. A implementación tamén consiste en utilizar a API REST.
- Executa unha exploración do host cun escáner de vulnerabilidades, se este host ten un gran número de sinaturas IPS ou outras ferramentas de seguridade; se é OpenVas, podes escribir un script que se conectará mediante ssh ao escáner de seguranza e executar a exploración.
TS Vista total
En total, a implementación de todas as funcionalidades é unha tarefa moi grande e difícil. Sen ter habilidades de programación, pode configurar a funcionalidade mínima, que pode ser suficiente para o seu uso en produción. Pero se estás interesado en todas as funcionalidades, podes prestar atención a TS Total Sight. Podes atopar máis detalles no noso . Como resultado, todo o esquema operativo e a arquitectura terán o seguinte aspecto:
Conclusión
Observamos o que se pode implementar usando ELK Stack. En artigos posteriores, consideraremos por separado a funcionalidade de TS Total Sight con máis detalle.
Así que estade atentos (, , , ), .
Fonte: www.habr.com