U prethodnim člancima malo smo se upoznali s elk stackom i postavljanjem Logstash konfiguracijske datoteke za parser dnevnika. U ovom ćemo članku prijeći na najvažniju stvar s analitičke točke gledišta, što želite vidjeti iz sustava i za što je sve stvoreno - to su grafikoni i tablice spojeni u nadzorne ploče. Danas ćemo pobliže pogledati sustav vizualizacije kibana, pogledat ćemo kako izraditi grafikone i tablice, a kao rezultat toga izgradit ćemo jednostavnu nadzornu ploču temeljenu na zapisnicima vatrozida Check Point.
Prvi korak u radu s kibanom je stvaranje uzorak indeksa, logično, radi se o bazi indeksa objedinjenih po određenom principu. Naravno, ovo je samo postavka kako bi Kibana lakše pretraživala informacije u svim indeksima u isto vrijeme. Postavlja se podudaranjem niza, recimo “checkpoint-*” i naziva indeksa. Na primjer, "kontrolna točka-2019.12.05" odgovarala bi obrascu, ali jednostavno "kontrolna točka" više ne postoji. Vrijedno je posebno spomenuti da je u pretraživanju nemoguće tražiti informacije o različitim obrascima indeksa u isto vrijeme; malo kasnije u sljedećim člancima vidjet ćemo da se API zahtjevi podnose ili prema nazivu indeksa, ili samo prema jednom linija uzorka, slika se može kliknuti:
Nakon toga provjeravamo u izborniku Discover jesu li svi zapisnici indeksirani i je li konfiguriran ispravan parser. Ako se pronađu bilo kakve nedosljednosti, na primjer, promjena vrste podataka iz niza u cijeli broj, morate urediti Logstash konfiguracijsku datoteku, kao rezultat toga, novi će dnevnici biti ispravno napisani. Da bi stari dnevnici poprimili željeni oblik prije promjene, pomaže samo postupak ponovnog indeksiranja; u sljedećim člancima o ovoj će se operaciji detaljnije raspravljati. Uvjerimo se da je sve u redu, slika se može kliknuti:
Dnevnici su postavljeni, što znači da možemo početi s izgradnjom nadzornih ploča. Na temelju analitike nadzornih ploča iz sigurnosnih proizvoda, možete razumjeti stanje informacijske sigurnosti u organizaciji, jasno vidjeti ranjivosti u trenutnoj politici i naknadno razviti načine za njihovo uklanjanje. Napravimo malu nadzornu ploču pomoću nekoliko alata za vizualizaciju. Nadzorna ploča će se sastojati od 5 komponenti:
- tablica za izračun ukupnog broja trupaca po oštricama
- tablica o kritičnim IPS potpisima
- tortni grafikon za događaje sprječavanja prijetnji
- grafikon najpopularnijih posjećenih stranica
- grafikon o korištenju najopasnijih aplikacija
Da biste stvorili figure za vizualizaciju, morate otići u izbornik Vizualizirajte, i odaberite željenu figuru koju želimo izgraditi! Idemo redom.
Tablica za izračun ukupnog broja trupaca po oštrici
Da biste to učinili, odaberite figuru Tablica podataka, ulazimo u opremu za izradu grafikona, lijevo su postavke figure, desno kako će izgledati u trenutnim postavkama. Prvo ću pokazati kako će izgledati gotova tablica, nakon toga ćemo proći kroz postavke, slika se može kliknuti:
Detaljnije postavke figure, slika se može kliknuti:
Pogledajmo postavke.
Prvobitno konfigurirano metrika, ovo je vrijednost po kojoj će se agregirati sva polja. Mjerni podaci se izračunavaju na temelju vrijednosti izvučenih na ovaj ili onaj način iz dokumenata. Vrijednosti se obično izvlače iz polja dokument, ali se također može generirati pomoću skripti. U ovom slučaju stavljamo Agregacija: Broj (ukupan broj trupaca).
Nakon toga tablicu dijelimo na segmente (polja) po kojima će se izračunavati metrika. Ovu funkciju obavlja postavka Buckets, koja se pak sastoji od 2 opcije postavki:
- split rows - dodavanje stupaca i naknadno dijeljenje tablice u retke
- podijeljena tablica - podjela na nekoliko tablica na temelju vrijednosti određenog polja.
В kante možete dodati nekoliko podjela da biste stvorili nekoliko stupaca ili tablica, ograničenja su ovdje prilično logična. U agregaciji možete odabrati koja će se metoda koristiti za podjelu u segmente: ipv4 raspon, datumski raspon, uvjeti itd. Najzanimljiviji izbor je upravo Uvjeti и Značajni uvjeti, podjela na segmente provodi se prema vrijednostima određenog polja indeksa, razlika između njih leži u broju vraćenih vrijednosti i njihovom prikazu. Budući da želimo podijeliti tablicu po nazivu lopatica, odabiremo polje - proizvod.ključna riječ i postavite veličinu na 25 vraćenih vrijednosti.
Umjesto nizova, elasticsearch koristi 2 tipa podataka - tekst и ključne riječi. Ako želite izvršiti pretraživanje cijelog teksta, trebali biste upotrijebiti vrstu teksta, vrlo praktičnu stvar kada pišete svoju uslugu pretraživanja, na primjer, tražeći spominjanje riječi u određenoj vrijednosti polja (tekst). Ako želite samo točno podudaranje, trebali biste koristiti vrstu ključne riječi. Također, tip podataka ključne riječi trebao bi se koristiti za polja koja zahtijevaju sortiranje ili agregiranje, tj. u našem slučaju.
Kao rezultat toga, Elasticsearch broji broj dnevnika za određeno vrijeme, agregiran prema vrijednosti u polju proizvoda. U Custom Labelu postavljamo naziv stupca koji će biti prikazan u tablici, postavljamo vrijeme za koje prikupljamo logove, pokrećemo renderiranje – Kibana šalje zahtjev elasticsearch-u, čeka odgovor i zatim vizualizira primljene podatke. Stol je spreman!
Tortni grafikon za događaje sprječavanja prijetnji
Posebno je zanimljiv podatak koliko je reakcija u postocima otkriti и spriječiti o incidentima informacijske sigurnosti u trenutnoj sigurnosnoj politici. Tortni grafikon dobro funkcionira u ovoj situaciji. Odaberite u Vizualizaciji - Kružni graf. Također u metrici postavljamo agregaciju prema broju dnevnika. U kante stavljamo Terms => action.
Čini se da je sve točno, ali rezultat pokazuje vrijednosti za sve oštrice; trebate filtrirati samo one oštrice koje rade u okviru Prevencije prijetnji. Stoga smo ga svakako postavili filter kako biste tražili informacije samo o blade-ovima odgovornim za incidente informacijske sigurnosti - proizvod: (“Anti-Bot” ILI “New Anti-Virus” ILI “DDoS Protector” ILI “SmartDefense” ILI “Threat Emulation”). Na sliku se može kliknuti:
I detaljnije postavke, slika se može kliknuti:
IPS tablica događaja
Sljedeće, vrlo važno sa stajališta informacijske sigurnosti je pregled i provjera događaja na oštrici. IPS и Emulacija prijetnjiDa nisu blokirani trenutna pravila, kako bi se naknadno ili promijenio potpis kako bi se spriječilo, ili ako je promet valjan, ne provjeravati potpis. Tablicu kreiramo na isti način kao u prvom primjeru, s jedinom razlikom što kreiramo nekoliko stupaca: protections.keyword, severity.keyword, product.keyword, originsicname.keyword. Obavezno postavite filtar kako biste tražili informacije samo o blade-ovima odgovornim za incidente informacijske sigurnosti - proizvod: (“SmartDefense” ILI “Threat Emulation”). Na sliku se može kliknuti:
Detaljnije postavke, slika se može kliknuti:
Ljestvice za najpopularnije posjećene stranice
Da biste to učinili, stvorite figuru - Okomita šipka. Također koristimo brojanje (Y os) kao metriku, a na X osi koristit ćemo nazive posjećenih stranica kao vrijednosti – “appi_name”. Ovdje postoji mali trik: ako pokrenete postavke u trenutnoj verziji, tada će sve stranice biti označene na grafikonu istom bojom, kako bi bile višebojne, koristimo dodatnu postavku - "razdijeljena serija", koji vam omogućuje da već gotovi stupac podijelite na još nekoliko vrijednosti, ovisno o odabranom polju naravno! Upravo ova podjela može se koristiti ili kao jedan višebojni stupac prema vrijednostima u složenom načinu rada ili u normalnom načinu rada kako bi se stvorilo nekoliko stupaca prema određenoj vrijednosti na osi X. U ovom slučaju, ovdje koristimo iste vrijednosti kao na X osi, to omogućuje da svi stupci budu višebojni; oni će biti označeni bojama u gornjem desnom kutu. U filtru koji smo postavili - proizvod: “URL Filtering” kako bismo vidjeli informacije samo o posjećenim stranicama, slika se može kliknuti:
Postavke:
Dijagram korištenja najopasnijih aplikacija
Da biste to učinili, stvorite lik - okomitu traku. Također koristimo count (Y os) kao metriku, a na X osi koristit ćemo naziv korištenih aplikacija - “appi_name” kao vrijednosti. Najvažnija je postavka filtera - proizvod: “Kontrola aplikacije” I app_risk: (4 ILI 5 ILI 3 ) I radnja: “prihvati”. Filtriramo zapisnike pomoću kontrolne oštrice aplikacije, uzimajući samo ona mjesta koja su kategorizirana kao mjesta kritičnog, visokog i srednjeg rizika i samo ako je pristup tim stranicama dopušten. Na sliku se može kliknuti:
Postavke, moguće kliknuti:
Nadzorna ploča
Pregled i izrada nadzornih ploča nalazi se u zasebnoj stavci izbornika - Nadzorna ploča. Ovdje je sve jednostavno, kreira se nova nadzorna ploča, doda joj se vizualizacija, postavi na svoje mjesto i to je to!
Izrađujemo nadzornu ploču pomoću koje možete razumjeti osnovnu situaciju stanja informacijske sigurnosti u organizaciji, naravno samo na razini Check Pointa, slika je klikabilna:
Na temelju ovih grafikona možemo razumjeti koji kritični potpisi nisu blokirani na vatrozidu, kamo korisnici idu i koje su najopasnije aplikacije koje koriste.
Zaključak
Pogledali smo mogućnosti osnovne vizualizacije u Kibani i napravili nadzornu ploču, ali ovo je samo mali dio. Dalje u tečaju ćemo posebno pogledati postavljanje karata, rad sa elasticsearch sustavom, upoznavanje sa API zahtjevima, automatizaciju i još mnogo toga!
Zato ostanite s nama, , , ), .
Izvor: www.habr.com