ProHoster > Blog > uprava > TS Total Sight. Alat za automatizaciju prikupljanja događaja, analize incidenata i odgovora na prijetnje

TS Total Sight. Alat za automatizaciju prikupljanja događaja, analize incidenata i odgovora na prijetnje

TS Total Sight. Alat za automatizaciju prikupljanja događaja, analize incidenata i odgovora na prijetnje

Dobar dan, u prethodnim člancima upoznali smo se s radom ELK Stacka. A sada ćemo razgovarati o mogućnostima koje stručnjak za informacijsku sigurnost može ostvariti korištenjem ovih sustava. Koji se dnevnici mogu i trebaju dodati u elasticsearch. Razmotrimo koje se statistike mogu dobiti postavljanjem nadzornih ploča i ima li u tome zarade. Kako mogu implementirati automatizaciju procesa informacijske sigurnosti koristeći ELK stack. Kreirajmo arhitekturu sustava. Ukratko, implementacija svih funkcionalnosti je vrlo velik i težak zadatak, pa je rješenje dobilo zaseban naziv - TS Total Sight.

Trenutno, rješenja koja konsolidiraju i analiziraju incidente informacijske sigurnosti na jednom logičnom mjestu dobivaju na popularnosti, kao rezultat toga, stručnjak dobiva statistiku i prednju akciju za poboljšanje stanja informacijske sigurnosti u organizaciji. Postavili smo si takav zadatak u korištenju ELK stoga, kao rezultat toga, izdvojili smo glavnu funkcionalnost u 4 odjeljka:

  1. Statistika i vizualizacija;
  2. detekcija IS incidenta;
  3. Određivanje prioriteta incidenata;
  4. Automatizacija procesa informacijske sigurnosti.

Pogledajmo svaki od njih pobliže i detaljnije.

Otkrivanje incidenata informacijske sigurnosti

Glavni zadatak u korištenju elastičnog pretraživanja u našem slučaju je prikupljanje samo incidenata sigurnosti informacija. Incidente informacijske sigurnosti možete prikupljati iz bilo kojeg sredstva zaštite ako podržavaju barem neke načine prijenosa dnevnika, standardni je syslog ili scp spremanje u datoteku.

Možete dati standardne primjere alata za zaštitu, a ne samo odakle biste trebali konfigurirati prosljeđivanje zapisa:

  1. Sva NGFW sredstva (Check Point, Fortinet);
  2. Bilo koji skeneri ranjivosti (PT Scanner, OpenVas);
  3. Vatrozid web aplikacije (PTAF);
  4. Netflow analizatori (Flowmon, Cisco StealthWatch);
  5. AD poslužitelj.

Nakon što ste postavili Logstash za slanje zapisa i konfiguracijskih datoteka, možete povezati i usporediti s incidentima koji dolaze iz različitih sigurnosnih alata. Da biste to učinili, prikladno je koristiti indekse, u koje ćemo pohraniti sve incidente povezane s određenim uređajem. Drugim riječima, jedan indeks su svi incidenti za jedan uređaj. Ova distribucija se može provesti na dva načina.

Prva opcija je konfigurirati Logstash config. Da biste to učinili, morate duplicirati zapisnik za određena polja u zasebnu jedinicu različite vrste. I onda kasnije koristite ovu vrstu. Primjer klonira zapise iz IPS bladea vatrozida Check Point.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Za pohranjivanje takvih događaja u zasebnom indeksu ovisno o poljima dnevnika, na primjer, kao što je odredišni IP potpisa napada. Možete koristiti sličnu konstrukciju:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Na taj način možete spremiti sve incidente u indeks, na primjer, prema IP adresi ili nazivu domene stroja. U ovom slučaju pohranjujemo u indeks "pametna obrana-%{dst}", prema IP adresi odredišta potpisa.

Međutim, različiti proizvodi imat će različita polja dnevnika, što će rezultirati kaosom i izgubljenom memorijom. I ovdje će biti potrebno ili pažljivo zamijeniti polja u Logstash konfiguracijskim postavkama unaprijed dizajniranim, koja će biti ista za sve vrste incidenata, što je također težak zadatak.

Druga mogućnost implementacije - ovo je pisanje skripte ili procesa koji će pristupiti elastičnoj bazi u stvarnom vremenu, izvući potrebne incidente i spremiti ih u novi indeks, ovo je težak zadatak, ali vam omogućuje da radite sa zapisima kako želite , i izravno korelirati s incidentima iz drugih sigurnosnih alata. Ova opcija vam omogućuje da prilagodite rad sa zapisima što je moguće korisnije za vaš slučaj uz maksimalnu fleksibilnost, ali ovdje postoji problem u pronalaženju stručnjaka koji to može implementirati.

I, naravno, najvažnije pitanje što se može povezati i detektirati?

Ovdje može postojati nekoliko opcija, a ovisno o tome koji se sigurnosni alati koriste u vašoj infrastrukturi, nekoliko primjera:

  1. Najočitija i s moje točke gledišta najzanimljivija opcija za one koji imaju NGFW rješenje i skener ranjivosti. Ovo je usporedba IPS zapisa i rezultata skeniranja ranjivosti. Ako je napad detektiran (nije blokiran) od strane IPS sustava, a ova ranjivost nije zatvorena na krajnjem računalu na temelju rezultata skeniranja, potrebno je propuhati sve cijevi, jer postoji velika vjerojatnost da je ranjivost bila iskorištavali.
  2. Mnogi pokušaji prijave s jednog računala na različita mjesta mogu simbolizirati zlonamjernu aktivnost.
  3. Preuzimanje virusnih datoteka od strane korisnika zbog posjeta velikom broju potencijalno opasnih stranica.

Statistika i vizualizacija

Najočitija i najrazumljivija svrha ELK Stacka je pohrana i vizualizacija zapisa, u prošlim člancima prikazano je kako pomoću Logstasha možete dobiti zapise s raznih uređaja. Nakon što zapisnici odu u Elasticsearch, možete postaviti nadzorne ploče, koje smo također spomenuli u prošlim člancima, s informacijama i statistikom koja vam je potrebna putem vizualizacije.

Primjeri:

  1. Nadzorna ploča događaja sprječavanja prijetnji s najkritičnijim događajima. Ovdje možete prikazati koji su IPS potpisi otkriveni, odakle geografski dolaze.

    TS Total Sight. Alat za automatizaciju prikupljanja događaja, analize incidenata i odgovora na prijetnje

  2. Nadzorna ploča o korištenju najkritičnijih aplikacija za koje može doći do curenja informacija.

    TS Total Sight. Alat za automatizaciju prikupljanja događaja, analize incidenata i odgovora na prijetnje

  3. Rezultati skeniranja iz bilo kojeg sigurnosnog skenera.

    TS Total Sight. Alat za automatizaciju prikupljanja događaja, analize incidenata i odgovora na prijetnje

  4. Zapisi korisnika iz aktivnog imenika.

    TS Total Sight. Alat za automatizaciju prikupljanja događaja, analize incidenata i odgovora na prijetnje

  5. Nadzorna ploča VPN veze.

U ovom slučaju, ako postavite nadzorne ploče da se ažuriraju svakih nekoliko sekundi, možete dobiti prilično zgodan sustav za praćenje događaja u stvarnom vremenu, koji se zatim može koristiti za što brži odgovor na incidente informacijske sigurnosti ako postavite nadzorne ploče na odvojeni ekran.

Prioritet incidenta

U uvjetima velike infrastrukture, broj incidenata može biti izvan razmjera, a stručnjaci neće imati vremena analizirati sve incidente na vrijeme. U ovom slučaju potrebno je prije svega izdvojiti samo one incidente koji nose veliku prijetnju. Stoga sustav mora dati prioritet incidentima prema njihovoj ozbiljnosti u odnosu na vašu infrastrukturu. Preporučljivo je postaviti obavijest o tim događajima putem pošte ili telegrama. Prioritizacija se može implementirati korištenjem uobičajenih Kibana alata, postavljanjem vizualizacije. Ali s obavijesti je teže, prema zadanim postavkama ova funkcionalnost nije uključena u osnovnu verziju Elasticsearcha, samo u verziju koja se plaća. Stoga ili kupite plaćenu verziju ili, opet, sami napišite proces koji će u stvarnom vremenu obavijestiti stručnjake poštom ili telegramom.

Automatizacija procesa informacijske sigurnosti

A jedan od najzanimljivijih dijelova je automatizacija akcija za incidente informacijske sigurnosti. Prethodno smo implementirali ovu funkcionalnost za Splunk, možete pročitati nešto više u ovome članak. Osnovna ideja je da se IPS politika nikada ne testira ili optimizira, iako je u nekim slučajevima bitan dio procesa informacijske sigurnosti. Primjerice, godinu dana nakon implementacije NGFW-a i izostanka radnji za optimizaciju IPS-a, skupit ćete veliki broj potpisa s akcijom Detect koji neće biti blokirani, što uvelike smanjuje stanje informacijske sigurnosti u organizaciji. Evo nekoliko primjera onoga što se može automatizirati:

  1. Prebacivanje IPS potpisa s Otkrij na Spriječi. Ako Prevent ne radi na kritičnim potpisima, onda je to neispravno i ozbiljno kršenje sustava zaštite. Mijenjamo akciju u politici za takve potpise. Ova se funkcionalnost može implementirati ako NGFW uređaj ima REST API funkcionalnost. Ovo je moguće samo ako imate vještine programiranja, trebate izvući potrebne informacije iz Elastcisearcha i izvršiti API zahtjeve prema NGFW kontrolnom poslužitelju.
  2. Ako je mnogo potpisa otkriveno ili blokirano u mrežnom prometu s jedne IP adrese, tada ima smisla blokirati ovu IP adresu neko vrijeme u pravilima vatrozida. Implementacija se također sastoji od korištenja REST API-ja.
  3. Pokrenite skeniranje hosta sa skenerom ranjivosti ako ovaj host ima velik broj potpisa za IPS ili druge sigurnosne alate, ako je OpenVas, tada možete napisati skriptu koja će se povezati preko ssh-a sa sigurnosnim skenerom i pokrenuti skeniranje.

TS Total Sight. Alat za automatizaciju prikupljanja događaja, analize incidenata i odgovora na prijetnje

TS Total Sight

Ukratko, implementacija svih funkcionalnosti je vrlo velik i težak zadatak. Bez vještina programiranja, možete postaviti minimalnu funkcionalnost, koja može biti dovoljna za korištenje u produktivnosti. Ali ako ste zainteresirani za sve funkcionalnosti, možete obratiti pozornost na TS Total Sight. Više detalja možete pronaći na našem Online. Kao rezultat toga, cijela shema rada i arhitekture izgledat će ovako:

TS Total Sight. Alat za automatizaciju prikupljanja događaja, analize incidenata i odgovora na prijetnje

Zaključak

Pogledali smo što se može implementirati pomoću ELK Stacka. U sljedećim člancima ćemo zasebno detaljnije razmotriti funkcionalnost TS Total Sight!

Zato ostanite s namaTelegram, Facebook, VK, Blog o TS rješenjima), Yandex Zen.

Izvor: www.habr.com

Dodajte komentar