Dobar dan, u prethodnim člancima upoznali smo se s radom ELK Stacka. A sada ćemo razgovarati o mogućnostima koje stručnjak za informacijsku sigurnost može ostvariti korištenjem ovih sustava. Koji se dnevnici mogu i trebaju dodati u elasticsearch. Razmotrimo koje se statistike mogu dobiti postavljanjem nadzornih ploča i ima li u tome zarade. Kako mogu implementirati automatizaciju procesa informacijske sigurnosti koristeći ELK stack. Kreirajmo arhitekturu sustava. Ukratko, implementacija svih funkcionalnosti je vrlo velik i težak zadatak, pa je rješenje dobilo zaseban naziv - TS Total Sight.
Trenutno, rješenja koja konsolidiraju i analiziraju incidente informacijske sigurnosti na jednom logičnom mjestu dobivaju na popularnosti, kao rezultat toga, stručnjak dobiva statistiku i prednju akciju za poboljšanje stanja informacijske sigurnosti u organizaciji. Postavili smo si takav zadatak u korištenju ELK stoga, kao rezultat toga, izdvojili smo glavnu funkcionalnost u 4 odjeljka:
- Statistika i vizualizacija;
- detekcija IS incidenta;
- Određivanje prioriteta incidenata;
- Automatizacija procesa informacijske sigurnosti.
Pogledajmo svaki od njih pobliže i detaljnije.
Otkrivanje incidenata informacijske sigurnosti
Glavni zadatak u korištenju elastičnog pretraživanja u našem slučaju je prikupljanje samo incidenata sigurnosti informacija. Incidente informacijske sigurnosti možete prikupljati iz bilo kojeg sredstva zaštite ako podržavaju barem neke načine prijenosa dnevnika, standardni je syslog ili scp spremanje u datoteku.
Možete dati standardne primjere alata za zaštitu, a ne samo odakle biste trebali konfigurirati prosljeđivanje zapisa:
- Sva NGFW sredstva (Check Point, Fortinet);
- Bilo koji skeneri ranjivosti (PT Scanner, OpenVas);
- Vatrozid web aplikacije (PTAF);
- Netflow analizatori (Flowmon, Cisco StealthWatch);
- AD poslužitelj.
Nakon što ste postavili Logstash za slanje zapisa i konfiguracijskih datoteka, možete povezati i usporediti s incidentima koji dolaze iz različitih sigurnosnih alata. Da biste to učinili, prikladno je koristiti indekse, u koje ćemo pohraniti sve incidente povezane s određenim uređajem. Drugim riječima, jedan indeks su svi incidenti za jedan uređaj. Ova distribucija se može provesti na dva načina.
Prva opcija je konfigurirati Logstash config. Da biste to učinili, morate duplicirati zapisnik za određena polja u zasebnu jedinicu različite vrste. I onda kasnije koristite ovu vrstu. Primjer klonira zapise iz IPS bladea vatrozida Check Point.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
Za pohranjivanje takvih događaja u zasebnom indeksu ovisno o poljima dnevnika, na primjer, kao što je odredišni IP potpisa napada. Možete koristiti sličnu konstrukciju:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
Na taj način možete spremiti sve incidente u indeks, na primjer, prema IP adresi ili nazivu domene stroja. U ovom slučaju pohranjujemo u indeks "pametna obrana-%{dst}", prema IP adresi odredišta potpisa.
Međutim, različiti proizvodi imat će različita polja dnevnika, što će rezultirati kaosom i izgubljenom memorijom. I ovdje će biti potrebno ili pažljivo zamijeniti polja u Logstash konfiguracijskim postavkama unaprijed dizajniranim, koja će biti ista za sve vrste incidenata, što je također težak zadatak.
Druga mogućnost implementacije - ovo je pisanje skripte ili procesa koji će pristupiti elastičnoj bazi u stvarnom vremenu, izvući potrebne incidente i spremiti ih u novi indeks, ovo je težak zadatak, ali vam omogućuje da radite sa zapisima kako želite , i izravno korelirati s incidentima iz drugih sigurnosnih alata. Ova opcija vam omogućuje da prilagodite rad sa zapisima što je moguće korisnije za vaš slučaj uz maksimalnu fleksibilnost, ali ovdje postoji problem u pronalaženju stručnjaka koji to može implementirati.
I, naravno, najvažnije pitanje što se može povezati i detektirati?
Ovdje može postojati nekoliko opcija, a ovisno o tome koji se sigurnosni alati koriste u vašoj infrastrukturi, nekoliko primjera:
- Najočitija i s moje točke gledišta najzanimljivija opcija za one koji imaju NGFW rješenje i skener ranjivosti. Ovo je usporedba IPS zapisa i rezultata skeniranja ranjivosti. Ako je napad detektiran (nije blokiran) od strane IPS sustava, a ova ranjivost nije zatvorena na krajnjem računalu na temelju rezultata skeniranja, potrebno je propuhati sve cijevi, jer postoji velika vjerojatnost da je ranjivost bila iskorištavali.
- Mnogi pokušaji prijave s jednog računala na različita mjesta mogu simbolizirati zlonamjernu aktivnost.
- Preuzimanje virusnih datoteka od strane korisnika zbog posjeta velikom broju potencijalno opasnih stranica.
Statistika i vizualizacija
Najočitija i najrazumljivija svrha ELK Stacka je pohrana i vizualizacija zapisa,
Primjeri:
- Nadzorna ploča događaja sprječavanja prijetnji s najkritičnijim događajima. Ovdje možete prikazati koji su IPS potpisi otkriveni, odakle geografski dolaze.
- Nadzorna ploča o korištenju najkritičnijih aplikacija za koje može doći do curenja informacija.
- Rezultati skeniranja iz bilo kojeg sigurnosnog skenera.
- Zapisi korisnika iz aktivnog imenika.
- Nadzorna ploča VPN veze.
U ovom slučaju, ako postavite nadzorne ploče da se ažuriraju svakih nekoliko sekundi, možete dobiti prilično zgodan sustav za praćenje događaja u stvarnom vremenu, koji se zatim može koristiti za što brži odgovor na incidente informacijske sigurnosti ako postavite nadzorne ploče na odvojeni ekran.
Prioritet incidenta
U uvjetima velike infrastrukture, broj incidenata može biti izvan razmjera, a stručnjaci neće imati vremena analizirati sve incidente na vrijeme. U ovom slučaju potrebno je prije svega izdvojiti samo one incidente koji nose veliku prijetnju. Stoga sustav mora dati prioritet incidentima prema njihovoj ozbiljnosti u odnosu na vašu infrastrukturu. Preporučljivo je postaviti obavijest o tim događajima putem pošte ili telegrama. Prioritizacija se može implementirati korištenjem uobičajenih Kibana alata, postavljanjem vizualizacije. Ali s obavijesti je teže, prema zadanim postavkama ova funkcionalnost nije uključena u osnovnu verziju Elasticsearcha, samo u verziju koja se plaća. Stoga ili kupite plaćenu verziju ili, opet, sami napišite proces koji će u stvarnom vremenu obavijestiti stručnjake poštom ili telegramom.
Automatizacija procesa informacijske sigurnosti
A jedan od najzanimljivijih dijelova je automatizacija akcija za incidente informacijske sigurnosti. Prethodno smo implementirali ovu funkcionalnost za Splunk, možete pročitati nešto više u ovome
- Prebacivanje IPS potpisa s Otkrij na Spriječi. Ako Prevent ne radi na kritičnim potpisima, onda je to neispravno i ozbiljno kršenje sustava zaštite. Mijenjamo akciju u politici za takve potpise. Ova se funkcionalnost može implementirati ako NGFW uređaj ima REST API funkcionalnost. Ovo je moguće samo ako imate vještine programiranja, trebate izvući potrebne informacije iz Elastcisearcha i izvršiti API zahtjeve prema NGFW kontrolnom poslužitelju.
- Ako je mnogo potpisa otkriveno ili blokirano u mrežnom prometu s jedne IP adrese, tada ima smisla blokirati ovu IP adresu neko vrijeme u pravilima vatrozida. Implementacija se također sastoji od korištenja REST API-ja.
- Pokrenite skeniranje hosta sa skenerom ranjivosti ako ovaj host ima velik broj potpisa za IPS ili druge sigurnosne alate, ako je OpenVas, tada možete napisati skriptu koja će se povezati preko ssh-a sa sigurnosnim skenerom i pokrenuti skeniranje.
TS Total Sight
Ukratko, implementacija svih funkcionalnosti je vrlo velik i težak zadatak. Bez vještina programiranja, možete postaviti minimalnu funkcionalnost, koja može biti dovoljna za korištenje u produktivnosti. Ali ako ste zainteresirani za sve funkcionalnosti, možete obratiti pozornost na TS Total Sight. Više detalja možete pronaći na našem
Zaključak
Pogledali smo što se može implementirati pomoću ELK Stacka. U sljedećim člancima ćemo zasebno detaljnije razmotriti funkcionalnost TS Total Sight!
Zato ostanite s nama
Izvor: www.habr.com