Barka da yamma, a cikin labaran da suka gabata mun saba da aikin ELK Stack. Yanzu bari mu tattauna yuwuwar da ƙwararrun tsaro na bayanai zai iya gane su wajen amfani da waɗannan tsarin. Abin da logs zai iya kuma ya kamata a shigar da su cikin bincike na elastick. Bari mu yi la'akari da irin kididdigar da za a iya samu ta hanyar kafa dashboards da ko akwai wata riba a cikin wannan. Ta yaya zaku aiwatar da sarrafa kansa na matakan tsaro na bayanai ta amfani da tari na ELK. Bari mu zana gine-ginen tsarin. A cikin duka, aiwatar da duk ayyukan aiki ne mai girma kuma mai wahala, don haka an ba da maganin suna daban - TS Total Sight.
A halin yanzu, hanyoyin da ke haɓakawa da kuma nazarin abubuwan da suka faru na tsaro na bayanai a wuri ɗaya mai ma'ana suna samun karbuwa cikin sauri, saboda haka, ƙwararren yana karɓar ƙididdiga da iyakokin aiki don inganta yanayin tsaro na bayanai a cikin kungiyar. Mun saita kanmu wannan aikin ta yin amfani da tari na ELK, kuma a sakamakon haka mun raba babban aikin zuwa sassan 4:
- Kididdiga da gani;
- Gano abubuwan tsaro na bayanai;
- Bayar da fifikon abin da ya faru;
- Yin aiki da kai na matakan tsaro na bayanai.
Na gaba, za mu yi nazari sosai kan kowane ɗayansu.
Gano abubuwan tsaro na bayanai
Babban aikin amfani da elasticsearch a cikin yanayinmu shine tattara abubuwan tsaro na bayanai kawai. Kuna iya tattara abubuwan tsaro na bayanai daga kowace hanyar tsaro idan sun goyi bayan aƙalla wasu hanyoyin aika rajistan ayyukan, ma'auni shine syslog ko scp adanawa zuwa fayil.
Kuna iya ba da misalan misalan kayan aikin tsaro da ƙari, daga inda ya kamata ku tsara isar da rajistan ayyukan:
- Duk wani kayan aikin NGFW (Check Point, Fortinet);
- Duk wani na'urar daukar hoto mai rauni (PT Scanner, OpenVas);
- Firewall Application na Yanar Gizo (PT AF);
- netflow analyzers (Flowmon, Cisco StealthWatch);
- AD uwar garken.
Da zarar kun saita aika rajistan ayyukan da fayilolin daidaitawa a cikin Logstash, zaku iya daidaitawa da kwatanta abubuwan da suka faru daga kayan aikin tsaro daban-daban. Don yin wannan, yana da dacewa don amfani da fihirisar da za mu adana duk abubuwan da suka faru da suka shafi takamaiman na'ura. A takaice dai, fihirisa ɗaya duk abin da ya faru ne ga na'ura ɗaya. Ana iya aiwatar da wannan rarraba ta hanyoyi 2.
Zaɓin farko Wannan shine don saita saitin Logstash. Don yin wannan, kuna buƙatar kwafin log ɗin don wasu filayen cikin naúrar daban tare da nau'in daban. Sannan amfani da wannan nau'in a nan gaba. A cikin misali, an kulle rajistan ayyukan daga igiyar IPS na Tacewar Wuta ta Check Point.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
Domin adana irin waɗannan abubuwan da suka faru a cikin keɓancewar fihirisar dangane da filayen log, misali, kamar sa hannun harin IP na Manufa. Kuna iya amfani da ginin irin wannan:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
Kuma ta wannan hanyar, zaku iya adana duk abubuwan da suka faru a cikin fihirisa, misali, ta adireshin IP, ko ta sunan yanki na na'ura. A wannan yanayin, muna ajiye shi zuwa index "smartdefense-%{dst}", ta adireshin IP na wurin sa hannu.
Koyaya, samfuran daban-daban za su sami filayen log daban-daban, wanda zai haifar da hargitsi da amfani da ƙwaƙwalwar da ba dole ba. Kuma a nan za ku ko dai a hankali maye gurbin filayen da ke cikin saitunan saitunan Logstash tare da waɗanda aka riga aka tsara, wanda zai kasance iri ɗaya ga kowane nau'i na al'amura, wanda kuma aiki ne mai wahala.
Zaɓin aiwatarwa na biyu - wannan shine rubuta rubutun ko tsari wanda zai shiga cikin bayanan roba a ainihin lokacin, cire abubuwan da suka dace, kuma ya adana su a cikin sabon index, wannan aiki ne mai wahala, amma yana ba ku damar yin aiki tare da logins kamar yadda kuke so. da kuma daidaita kai tsaye tare da abubuwan da suka faru daga wasu kayan tsaro. Wannan zaɓin yana ba ku damar saita aiki tare da rajistan ayyukan don zama mafi amfani ga shari'ar ku tare da matsakaicin matsakaici, amma a nan matsalar ta taso wajen gano ƙwararren ƙwararren da zai iya aiwatar da wannan.
Kuma tabbas, tambaya mafi mahimmanci, kuma menene za'a iya haɗawa da ganowa??
Wataƙila akwai zaɓuɓɓuka da yawa a nan, kuma ya dogara da waɗanne kayan aikin tsaro ake amfani da su a cikin ababen more rayuwa, misalai biyu:
- Mafi bayyane kuma, daga ra'ayi na, zaɓi mafi ban sha'awa ga waɗanda ke da maganin NGFW da na'urar daukar hoto mai rauni. Wannan kwatancen rajistan ayyukan IPS ne da sakamakon binciken raunin rauni. Idan tsarin IPS ya gano wani harin (ba a toshe shi ba), kuma wannan rashin lafiyar ba a rufe shi a kan na'urar ƙarshe ba bisa ga sakamakon binciken, ya zama dole a busa busa, tun da akwai yuwuwar cewa an yi amfani da rashin lafiyar. .
- Ƙoƙarin shiga da yawa daga na'ura ɗaya zuwa wurare daban-daban na iya nuna alamar aiki mara kyau.
- Mai amfani yana zazzage fayilolin ƙwayoyin cuta saboda ziyartar ɗimbin shafuka masu haɗari.
Ƙididdiga da hangen nesa
Abu mafi bayyane kuma mai fahimta wanda ake buƙatar ELK Stack shine adanawa da hangen nesa na rajistan ayyukan, An nuna yadda zaku iya ƙirƙirar rajistan ayyukan daga na'urori daban-daban ta amfani da Logstash. Bayan rajistan ayyukan sun je Elasticsearch, zaku iya saita dashboards, waɗanda kuma aka ambata , tare da bayanai da ƙididdiga da kuke buƙata ta hanyar gani.
misalai:
- Dashboard don Abubuwan Rigakafin Barazana tare da mafi mahimmancin al'amura. Anan zaku iya yin la'akari da waɗanne sa hannun IPS aka gano da kuma inda suka fito daga ƙasa.
- Dashboard akan amfani da aikace-aikacen mafi mahimmanci waɗanda za a iya fitar da bayanai don su.
- Bincika sakamakon kowane na'urar daukar hotan takardu.
- Active Directory rajistan ayyukan ta mai amfani.
- Dashboard haɗin VPN.
A wannan yanayin, idan kun saita dashboards don sabuntawa kowane ƴan daƙiƙa kaɗan, zaku iya samun ingantaccen tsarin sa ido kan abubuwan da ke faruwa a ainihin lokacin, wanda za'a iya amfani dashi don mafi saurin amsawa ga abubuwan da suka faru na tsaro idan kun sanya dashboards akan wani dabam. allo.
Bayar da fifikon abin da ya faru
A cikin yanayin manyan abubuwan more rayuwa, adadin abubuwan da suka faru na iya yin tafiya da sauri, kuma ƙwararrun ba za su sami lokaci don magance duk abubuwan da suka faru a cikin lokaci ba. A wannan yanayin, ya zama dole, da farko, don haskaka kawai abubuwan da ke haifar da babbar barazana. Don haka, dole ne tsarin ya ba da fifiko ga abubuwan da suka faru dangane da tsananin su dangane da ababen more rayuwa. Yana da kyau a saita faɗakarwar imel ko telegram don waɗannan abubuwan. Ana iya aiwatar da fifiko ta amfani da daidaitattun kayan aikin Kibana ta hanyar saita gani. Amma tare da sanarwar ya fi wahala; ta tsohuwa, ba a haɗa wannan aikin a cikin ainihin sigar Elasticsearch ba, kawai a cikin sigar da aka biya. Don haka, ko dai siyan sigar da aka biya, ko kuma, sake rubuta wani tsari da kanku wanda zai sanar da kwararru a ainihin lokacin ta imel ko telegram.
Yin aiki da kai na matakan tsaro na bayanai
Kuma ɗayan mafi ban sha'awa ɓangarorin shine sarrafa ayyuka ta atomatik don abubuwan tsaro na bayanai. A baya can, mun aiwatar da wannan aikin don Splunk, zaku iya karanta kaɗan a cikin wannan . Babban ra'ayi shine cewa ba a taɓa gwada manufofin IPS ko inganta su ba, kodayake a wasu lokuta yana da mahimmancin matakan tsaro na bayanai. Alal misali, shekara guda bayan aiwatar da NGFW da rashin ayyuka don inganta IPS, za ku tara adadi mai yawa na sa hannu tare da aikin Detect, wanda ba za a toshe shi ba, wanda ya rage girman yanayin tsaro na bayanai a cikin kungiyar. A ƙasa akwai wasu misalan abin da za a iya sarrafawa ta atomatik:
- Canja wurin sa hannun IPS daga Ganewa zuwa Hana. Idan Prevent bai yi aiki ba don sa hannu mai mahimmanci, to wannan ba shi da tsari kuma babban rata a cikin tsarin kariya. Muna canza aiki a cikin manufofin zuwa irin wannan sa hannu. Ana iya aiwatar da wannan aikin idan na'urar NGFW tana da aikin REST API. Wannan yana yiwuwa ne kawai idan kuna da ƙwarewar shirye-shirye; kuna buƙatar cire mahimman bayanai daga Elastcisearch kuma kuyi buƙatun API zuwa uwar garken gudanarwa na NGFW.
- Idan an gano sa hannu da yawa ko aka toshe a cikin zirga-zirgar hanyar sadarwa daga adireshin IP ɗaya, to yana da ma'ana don toshe wannan adireshin IP na ɗan lokaci a cikin manufofin Firewall. Hakanan aiwatarwa ya ƙunshi amfani da API REST.
- Gudun na'urar daukar hoto tare da na'urar daukar hoto mai rauni, idan wannan rundunar tana da adadi mai yawa na sa hannun IPS ko wasu kayan aikin tsaro; idan OpenVas ne, to zaku iya rubuta rubutun da zai haɗa ta ssh zuwa na'urar daukar hotan takardu kuma gudanar da sikanin.
TS Total Ganin
Gabaɗaya, aiwatar da duk ayyuka aiki ne mai girma da wahala. Ba tare da ƙwarewar shirye-shirye ba, zaku iya saita mafi ƙarancin ayyuka, wanda zai iya isa don amfani a samarwa. Amma idan kuna sha'awar duk ayyukan, zaku iya kula da TS Total Sight. Kuna iya samun ƙarin bayani akan mu . A sakamakon haka, dukan tsarin aiki da gine-gine za su yi kama da haka:
ƙarshe
Mun kalli abin da za a iya aiwatarwa ta amfani da ELK Stack. A cikin labaran da ke gaba, za mu yi la'akari daban-daban aikin TS Total Sight daki-daki!
Don haka ku kasance da mu, , , ), .
source: www.habr.com