Cibiyar tsaron yanar gizo ta mu ita ce ke da alhakin tsaron kayan aikin gidan yanar gizon abokin ciniki kuma tana tunkude hare-hare akan rukunin yanar gizon abokin ciniki. Don kare kai daga hare-hare, muna amfani da FortiWeb Web Application Firewalls (WAFs). Amma ko da mafi kyawun WAF ba magani ba ne kuma baya kare "daga cikin akwatin" daga hare-haren da aka yi niyya.
Saboda haka, ban da WAF, muna amfani . Yana taimakawa wajen tattara duk abubuwan da suka faru a wuri ɗaya, tara ƙididdiga, hangen nesa kuma yana ba mu damar ganin harin da aka yi niyya a cikin lokaci.
A yau zan gaya muku dalla-dalla yadda muka ketare bishiyar Kirsimeti tare da WAF da abin da ya zo daga gare ta.
Labarin harin daya: yadda komai yayi aiki kafin canzawa zuwa ELK
A cikin gajimare mu, abokin ciniki ya tura aikace-aikacen a bayan WAF ɗin mu. Daga 10 zuwa 000 masu amfani da ke da alaƙa da rukunin yanar gizon kowace rana, adadin haɗin ya kai miliyan 100 a kowace rana. Daga cikin waɗannan, masu amfani da 000-20 sun kasance masu kutse kuma sun yi ƙoƙarin yin kutse a shafin.
FortiWeb ta toshe ƙaƙƙarfan ƙaƙƙarfan da aka saba daga adireshin IP ɗaya cikin sauƙi. Yawan hits zuwa rukunin yanar gizon a minti daya ya fi na halaltattun masu amfani. Mun kawai saita ƙofofin ayyuka daga adireshi ɗaya kuma mun dakile harin.
Yana da matukar wahala a magance "hankali hare-hare", lokacin da maharan suka yi a hankali kuma suka canza kansu a matsayin abokan ciniki na yau da kullun. Suna amfani da adiresoshin IP na musamman. Irin wannan aikin bai yi kama da babban ƙarfi ga WAF ba, ya fi wahalar bin sa ta atomatik. Kuma akwai kuma haɗarin toshe masu amfani da al'ada. Mun nemi wasu alamun harin kuma mun kafa wata manufa don toshe adiresoshin IP ta atomatik bisa wannan alamar. Misali, yawancin zaman da ba bisa doka ba suna da filayen gama-gari a cikin buƙatun buƙatun http. Yawancin lokaci dole ne ku nemi irin waɗannan filayen da hannu a cikin rajistan ayyukan FortiWeb.
Ya yi tsayi kuma bai ji daɗi ba. A cikin daidaitaccen aikin FortiWeb, ana yin rikodin abubuwan da suka faru a cikin rubutu a cikin rajistan ayyukan 3 daban-daban: harin da aka gano, bayanai game da buƙatu, da saƙon tsarin game da aikin WAF. Daruruwan ko ma ɗaruruwan abubuwan hari na iya zuwa cikin minti ɗaya.
Ba da yawa ba, amma dole ne ku hau da hannu ta hanyar rajistan ayyukan da yawa kuma ku maimaita kan layi da yawa:
A cikin bayanan harin, muna ganin adiresoshin mai amfani da yanayin aikin.
Bai isa kawai duba teburin log ɗin ba. Don nemo mafi ban sha'awa da amfani game da yanayin harin, kuna buƙatar duba cikin takamaiman taron:
Filayen da aka haska suna taimakawa wajen gano "kai hari a hankali". Source: hoton allo daga .
To, babbar matsalar ita ce ƙwararren FortiWeb ne kawai zai iya gano ta. Idan a cikin lokutan kasuwanci har yanzu za mu iya bin diddigin ayyukan da ake tuhuma a ainihin lokacin, to ana iya jinkirta binciken abubuwan da suka faru na dare. Lokacin da manufofin FortiWeb ba su yi aiki ba saboda wasu dalilai, injiniyoyin motsi na dare da ke bakin aiki ba su iya tantance halin da ake ciki ba tare da samun damar shiga WAF ba kuma sun farkar da ƙwararrun FortiWeb. Mun duba cikin katako na tsawon sa'o'i da yawa kuma mun gano lokacin da aka kai harin.
Tare da irin waɗannan ɗimbin bayanai, yana da wuya a fahimci babban hoto a kallo kuma a yi aiki da hankali. Sa'an nan kuma muka yanke shawarar tattara bayanai a wuri guda don nazarin komai a cikin sigar gani, gano farkon harin, gano alkibla da hanyar toshewa.
Me kuka zaba
Da farko, mun duba hanyoyin da aka riga aka yi amfani da su, don kada a ninka ƙungiyoyi ba dole ba.
Ɗaya daga cikin zaɓuɓɓukan farko shine Nagioswanda muke amfani da shi don saka idanu , , faɗakarwar gaggawa. Jami'an tsaro kuma suna amfani da shi wajen sanar da ma'aikatan idan akwai tuhuma, amma ba ta san yadda ake tattara itacen da aka tarwatsa ba don haka ya ɓace.
Akwai zaɓi don haɗa komai da shi MySQL da PostgreSQL ko kuma wata alaƙar bayanai. Amma don fitar da bayanan, ya zama dole a sassaka aikace-aikacen ku.
A matsayin masu tara katako a cikin kamfaninmu kuma suna amfani da su FortiAnalyzer daga Fortinet. Amma a wannan yanayin, shi ma bai dace ba. Da fari dai, an fi kaifi don aiki tare da Tacewar zaɓi Tiungiyoyin kuɗi. Na biyu, saituna da yawa sun ɓace, kuma hulɗa tare da shi yana buƙatar ingantaccen ilimin tambayoyin SQL. Kuma na uku, amfani da shi zai kara farashin sabis ga abokin ciniki.
Wannan shine yadda muka zo don buɗe tushen a fuska ELK.
Me yasa zabar ELK
ELK saitin shirye-shiryen tushen buɗaɗɗe ne:
- Elasticsearch - bayanai na jerin lokaci, wanda aka halicce shi kawai don yin aiki tare da manyan kundin rubutu;
- Logstash - tsarin tattara bayanai wanda zai iya canza rajistan ayyukan zuwa tsarin da ake so;
- Kibana - mai kyau visualizer, kazalika da adalci sada zumunci ke dubawa don sarrafa Elasticsearch. Kuna iya amfani da shi don gina jadawali waɗanda injiniyoyin aiki za su iya kulawa da dare.
Matsakaicin shigarwa na ELK yayi ƙasa. Duk abubuwan asali kyauta ne. Me kuma ake buƙata don farin ciki.
Ta yaya kuka haɗa su duka a cikin tsari ɗaya?
Ƙirƙiri fihirisa kuma an bar bayanan da suka dace kawai. Mun loda duk rajistan ayyukan FortiWEB guda uku a cikin ELK - abin da aka fitar shine fihirisa. Waɗannan fayiloli ne tare da duk rajistan ayyukan da aka tattara na ɗan lokaci, misali, rana ɗaya. Idan muka hango su nan da nan, za mu ga yanayin hare-haren ne kawai. Don cikakkun bayanai, kuna buƙatar "faɗi ta hanyar" cikin kowane hari kuma ku kalli takamaiman filayen.
Mun fahimci cewa da farko muna buƙatar saita tantance bayanan da ba a tsara su ba. Mun ɗauki dogayen filaye azaman kirtani, kamar "Saƙon" da "URL", kuma mun rarraba su don samun ƙarin bayani don yanke shawara.
Misali, ta amfani da tantancewa, mun fitar da wurin mai amfani daban. Wannan ya taimaka nan da nan ya nuna hare-hare daga ketare a kan shafuka don masu amfani da Rasha. Ta hanyar toshe duk haɗin gwiwa daga wasu ƙasashe, mun rage yawan hare-hare sau 2 kuma muna iya magance hare-hare a cikin Rasha cikin sauƙi.
Bayan sun gama tantancewa, sai suka fara nemo irin bayanan da za su adana da gani. Barin duk abin da ke cikin log ɗin bai dace ba: girman index ɗaya babba - 7 GB. ELK ya ɗauki lokaci mai tsawo don aiwatar da fayil ɗin. Duk da haka, ba duka bayanai sun kasance masu amfani ba. An kwafi wani abu kuma ya ɗauki ƙarin sarari - ya zama dole don ingantawa.
Da farko, mun kawai duba cikin fihirisar kuma mun cire abubuwan da ba dole ba. Wannan ya zama mafi rashin jin daɗi kuma ya fi tsayi fiye da yin aiki tare da rajistan ayyukan akan FortiWeb kanta. Iyakar abin da aka samu daga "Bishiyar Kirsimeti" a wannan mataki shine cewa mun sami damar hango babban lokaci akan allo ɗaya.
Ba mu fidda rai ba, mun ci gaba da cin cactus da nazarin ELK kuma mun yi imani cewa za mu iya fitar da mahimman bayanai. Bayan tsaftace fihirisar, mun fara ganin abin da yake. Don haka mun zo manyan dashboards. Mun buga widget din - gani da kyan gani, ainihin Ёlka!
An kama lokacin da aka kai harin. Yanzu ya zama dole a fahimci yadda farkon harin ke kallon ginshiƙi. Don gano shi, mun kalli martanin uwar garken ga mai amfani (lambobin dawowa). Muna sha'awar martanin uwar garken tare da irin waɗannan lambobin (rc):
Code (rc)
Title
Description
0
SHA
An katange buƙatun ga uwar garken
200
Ok
An aiwatar da buƙatar cikin nasara
400
Tambaya maras kyau
Tambaya maras kyau
403
An haramta
An ƙi izini
500
Kuskuren na Cikin Saba
Babu sabis
Idan wani ya fara kai hari kan rukunin yanar gizon, adadin lambobin ya canza:
- Idan akwai ƙarin buƙatun kuskure tare da lambar 400, da adadin adadin buƙatun na yau da kullun tare da lambar 200, to, wani yana ƙoƙarin hack shafin.
- Idan, a lokaci guda, buƙatun tare da lambar 0 suma sun girma, to, 'yan siyasa na FortiWeb suma sun "ga" harin kuma sun yi amfani da shinge akan shi.
- Idan adadin saƙonni tare da lambar 500 ya karu, to, shafin ba ya samuwa don waɗannan adiresoshin IP - kuma wani nau'i na toshewa.
A wata na uku, mun kafa dashboard don bin diddigin wannan aikin.
Don kada a saka idanu da komai da hannu, mun kafa haɗin kai tare da Nagios, wanda ya yi amfani da ELK a wasu lokuta. Idan ta rubuta nasarar ƙimar ƙofa ta lambobin, ta aika da sanarwa ga jami'an da ke aiki game da ayyukan da ake tuhuma.
Haɗe taswira 4 a cikin tsarin kulawa. Yanzu yana da mahimmanci a gani a kan jadawali lokacin da ba a toshe harin ba kuma ana buƙatar sa baki na injiniya. A kan zane-zane 4 daban-daban, idanunmu sun yi duhu. Saboda haka, mun haɗu da ginshiƙi kuma muka fara lura da komai akan allo ɗaya.
A kan saka idanu, mun kalli yadda zane-zane na launuka daban-daban ke canzawa. Fashewar ja ya nuna cewa an fara harin, yayin da jadawali na lemu da shudi suka nuna martanin FortiWeb:
Komai yana da kyau a nan: an sami ƙaruwar ayyukan "ja", amma FortiWeb ta jimre kuma jadawalin harin ya ƙare.
Mun kuma zana wa kanmu misali na jadawali da ke buƙatar sa baki:
Anan zamu iya ganin cewa FortiWeb ya haɓaka aiki, amma jajayen harin bai ragu ba. Kuna buƙatar canza saitunan WAF.
Binciken abubuwan da suka faru na dare kuma ya zama mai sauƙi. Hoton nan da nan yana nuna lokacin da lokaci ya yi don zuwa kare shafin.
Abin da ke faruwa a wasu lokuta da daddare ke nan. Jan jadawali - harin ya fara. Blue - Ayyukan FortiWeb. Harin dai ba a tare shi gaba daya ba, dole ne mu shiga tsakani.
Ina zamu dosa
Yanzu muna horar da masu gudanar da aiki don yin aiki tare da ELK. Masu halarta sun koyi tantance halin da ake ciki a kan dashboard kuma su yanke shawara: lokaci ya yi da za a haɓaka zuwa ƙwararren FortiWeb, ko manufofin akan WAF za su isa su tunkuɗe harin ta atomatik. Don haka muna rage nauyi akan injiniyoyin tsaro na bayanai da dare kuma muna rarraba ayyukan tallafi a matakin tsarin. Samun damar zuwa FortiWeb ya rage kawai tare da cibiyar tsaro ta yanar gizo, kuma kawai suna yin canje-canje ga saitunan WAF lokacin da ake bukata cikin gaggawa.
Muna kuma aiki akan bayar da rahoto ga abokan ciniki. Mun shirya cewa bayanai kan ƙarfin aikin WAF za su kasance a cikin keɓaɓɓen asusun abokin ciniki. ELK zai sa lamarin ya kasance a bayyane ba tare da buƙatar komawa ga WAF kanta ba.
Idan abokin ciniki yana son saka idanu akan kariyar su a ainihin lokacin, ELK shima zai zo da amfani. Ba za mu iya ba da damar zuwa WAF ba, tunda sa hannun abokin ciniki a cikin aikin na iya shafar sauran. Amma kuna iya ɗaukar ELK daban kuma ku ba shi don "wasa a kusa".
Waɗannan su ne yanayin amfani da bishiyar Kirsimeti da muka tara kwanan nan. Raba ra'ayoyin ku akan wannan kuma kar ku manta don kauce wa leaks na bayanai.
source: www.habr.com