ProHoster > Blog > Administrasyon an > TS Total Vue. Koleksyon Evènman, Analiz Ensidan, ak Zouti Otomatik Repons pou Menas

TS Total Vue. Koleksyon Evènman, Analiz Ensidan, ak Zouti Otomatik Repons pou Menas

TS Total Vue. Koleksyon Evènman, Analiz Ensidan, ak Zouti Otomatik Repons pou Menas

Bon apremidi, nan atik anvan nou te fè konesans ak travay ELK Stack la. Epi kounye a nou pral diskite sou posiblite yo ki ka reyalize pa yon espesyalis sekirite enfòmasyon nan lè l sèvi avèk sistèm sa yo. Ki mòso bwa ki ka epi ki ta dwe ajoute nan elasticsearch. Ann konsidere ki estatistik yo ka jwenn nan mete kanpe tablodbò ak si gen yon pwofi nan sa a. Kouman mwen ka aplike automatisation nan pwosesis sekirite enfòmasyon lè l sèvi avèk pil ELK la. Ann kreye achitekti sistèm lan. Nan sòm, aplikasyon an nan tout fonksyonalite a se yon travay trè gwo ak difisil, kidonk yo te bay solisyon an yon non separe - TS Total Sight.

Kounye a, solisyon ki konsolide ak analize enfòmasyon sekirite ensidan nan yon sèl kote ki lojik yo pran popilarite, kòm yon rezilta, yon espesyalis resevwa estatistik ak yon devan pou aksyon amelyore eta a nan sekirite enfòmasyon nan yon òganizasyon. Nou te fikse tèt nou tankou yon travay nan lè l sèvi avèk pil ELK la, kòm yon rezilta, nou seleksyone fonksyonalite prensipal la nan 4 seksyon:

  1. Estatistik ak vizyalizasyon;
  2. IS deteksyon ensidan;
  3. Priyorite ensidan yo;
  4. Otomatik nan pwosesis sekirite enfòmasyon.

Ann pran yon gade pi pre nan chak youn nan plis detay.

Deteksyon ensidan sekirite enfòmasyon

Travay prensipal la nan itilize elastiksearch nan ka nou an se kolekte sèlman ensidan sekirite enfòmasyon. Ou ka kolekte enfòmasyon sekirite ensidan nan nenpòt mwayen pwoteksyon si yo sipòte omwen kèk mòd transfè boutèy demi lit, yon sèl estanda a se syslog oswa scp ekonomize nan yon dosye.

Ou ka bay egzanp estanda zouti pwoteksyon epi pa sèlman nan kote ou ta dwe konfigirasyon voye mòso bwa yo:

  1. Nenpòt lajan NGFW (Check Point, Fortinet);
  2. Nenpòt eskanè vilnerabilite (PT Scanner, OpenVas);
  3. Firewall Aplikasyon Web (PTAF);
  4. Netflow analizeur (Flowmon, Cisco StealthWatch);
  5. AD sèvè.

Yon fwa ou mete Logstash pou voye mòso bwa ak dosye konfigirasyon, ou ka korelasyon ak konpare ak ensidan ki soti nan divès zouti sekirite. Pou fè sa, li se pratik yo sèvi ak endèks, nan ki nou pral estoke tout ensidan ki gen rapò ak yon aparèy patikilye. Nan lòt mo, yon endèks se tout ensidan pou yon aparèy. Distribisyon sa a ka aplike nan de fason.

Opsyon nan premye se konfigirasyon Logstash konfigirasyon. Pou fè sa, ou bezwen kopi boutèy la pou sèten jaden nan yon inite separe ak yon kalite diferan. Apre sa, pita sèvi ak kalite sa a. Egzanp yo klon mòso bwa ki soti nan lam IPS firewall Check Point la.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Yo nan lòd yo estoke evènman sa yo nan yon endèks separe depann sou jaden yo nan mòso bwa yo, pou egzanp, tankou IP Destinasyon siyati atak la. Ou ka itilize yon konstriksyon menm jan an:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Ak nan fason sa a, ou ka sove tout ensidan nan endèks la, pou egzanp, pa adrès IP, oswa pa non an domèn nan machin nan. Nan ka sa a, nou sere nan endèks la "smartdefense-%{dst}", pa adrès IP destinasyon siyati a.

Sepandan, pwodwi diferan yo pral gen diferan jaden boutèy demi lit, sa ki lakòz dezòd ak gaspiye memwa. Ak isit la li pral nesesè swa ak anpil atansyon ranplase jaden yo nan anviwònman yo konfigirasyon Logstash ak sa ki pre-ki fèt, ki pral menm bagay la tou pou tout kalite ensidan, ki se tou yon travay difisil.

Dezyèm opsyon aplikasyon an - sa a se ekri yon script oswa pwosesis ki pral jwenn aksè nan baz elastik la an tan reyèl, rale ensidan ki nesesè yo, epi sove yo nan yon nouvo endèks, sa a se yon travay difisil, men li pèmèt ou travay ak mòso bwa yo jan ou vle. , ak korelasyon dirèkteman ak ensidan soti nan lòt zouti sekirite. Opsyon sa a pèmèt ou personnaliser travay la ak mòso bwa kòm itil ke posib pou ka w la ak fleksibilite maksimòm, men isit la gen yon pwoblèm nan jwenn yon espesyalis ki ka aplike sa a.

Epi, nan kou, kesyon ki pi enpòtan an ki sa ki ka korelasyon ak detekte?

Gen plizyè opsyon isit la, epi tou depann de ki zouti sekirite yo itilize nan enfrastrikti ou a, yon koup nan egzanp:

  1. Ki pi evidan ak nan pwen de vi mwen opsyon ki pi enteresan pou moun ki gen yon solisyon NGFW ak yon eskanè vilnerabilite. Sa a se yon konparezon nan IPS mòso bwa ak rezilta eskanè vilnerabilite yo. Si yon atak te detekte (pa bloke) pa sistèm nan IPS, ak vilnerabilite sa a pa fèmen sou machin nan fen ki baze sou rezilta yo nan eskanè a, li nesesè soufle tout tiyo, depi gen yon gwo pwobabilite ke vilnerabilite a te. eksplwate.
  2. Anpil tantativ konekte soti nan yon machin nan diferan kote ka senbolize aktivite move.
  3. Telechaje dosye viris pa itilizatè a akòz vizite yon gwo kantite sit ki kapab danjere.

Estatistik ak vizyalizasyon

Objektif ki pi evidan ak konprann ELK Stack la se depo ak vizyalizasyon mòso bwa, nan atik ki sot pase yo li te montre ki jan ou ka jwenn mòso bwa nan divès aparèy lè l sèvi avèk Logstash. Apre mòso bwa yo ale nan Elasticsearch, ou ka mete kanpe tablodbò, ki te mansyone tou nan atik ki sot pase yo, ak enfòmasyon ak estatistik ou bezwen atravè vizyalizasyon.

Egzanp:

  1. Dashboard evènman prevansyon menas ak evènman ki pi enpòtan yo. Isit la ou ka reflete ki siyati IPS yo te detekte, kote yo soti nan jeyografik.

    TS Total Vue. Koleksyon Evènman, Analiz Ensidan, ak Zouti Otomatik Repons pou Menas

  2. Dashboard sou itilizasyon aplikasyon ki pi enpòtan pou enfòmasyon yo ka koule.

    TS Total Vue. Koleksyon Evènman, Analiz Ensidan, ak Zouti Otomatik Repons pou Menas

  3. Eskane rezilta nan nenpòt eskanè sekirite.

    TS Total Vue. Koleksyon Evènman, Analiz Ensidan, ak Zouti Otomatik Repons pou Menas

  4. Logs soti nan Active Directory pa itilizatè yo.

    TS Total Vue. Koleksyon Evènman, Analiz Ensidan, ak Zouti Otomatik Repons pou Menas

  5. tablodbò koneksyon VPN.

Nan ka sa a, si ou mete dashboard yo mete ajou chak kèk segond, ou ka jwenn yon sistèm jistis pratik pou kontwole evènman an tan reyèl, ki ka Lè sa a, itilize pou reponn a ensidan sekirite enfòmasyon pi vit ke posib si ou mete tablodbò sou yon ekran separe.

Priyorite ensidan

Nan kondisyon yon gwo enfrastrikti, kantite ensidan yo ka ale nan echèl, ak espesyalis pa pral gen tan analize tout ensidan nan tan. Nan ka sa a, li nesesè anvan tout moun sèlman soti ensidan sa yo ki pote yon gwo menas. Se poutèt sa, sistèm nan dwe priyorite ensidan selon severite yo an relasyon ak enfrastrikti ou. Li rekòmande pou mete yon notifikasyon nan lapòs oswa telegram nan evènman sa yo. Priyorite ka aplike lè l sèvi avèk zouti regilye Kibana, pa mete kanpe vizyalizasyon. Men, ak yon notifikasyon li pi difisil, pa default fonksyonalite sa a pa enkli nan vèsyon debaz Elasticsearch, sèlman nan youn nan peye. Se poutèt sa, swa achte yon vèsyon peye, oswa, ankò, ekri yon pwosesis tèt ou ki pral avize espesyalis an tan reyèl pa lapòs oswa telegram.

Otomatik nan pwosesis sekirite enfòmasyon

Ak youn nan pati ki pi enteresan yo se automatisation nan aksyon pou ensidan sekirite enfòmasyon. Précédemment, nou te aplike fonksyonalite sa a pou Splunk, ou ka li yon ti kras plis nan sa a Atik. Lide debaz la se ke politik IPS la pa janm teste oswa optimize, byenke nan kèk ka li se yon pati esansyèl nan pwosesis sekirite enfòmasyon yo. Pou egzanp, yon ane apre aplikasyon an nan NGFW ak absans la nan aksyon yo optimize IPS, ou pral akimile yon gwo kantite siyati ak aksyon an Detekte ki pa pral bloke, ki redwi anpil eta a nan sekirite enfòmasyon nan òganizasyon an. Men kèk egzanp sou sa ki ka otomatize:

  1. Chanje siyati IPS a soti nan Detekte pou Prevni. Si Prevent pa travay sou siyati kritik yo, lè sa a sa a pa nan lòd, ak yon vyolasyon grav nan sistèm pwoteksyon an. Nou chanje aksyon an nan politik la nan siyati sa yo. Fonksyonalite sa a ka aplike si aparèy NGFW a gen fonksyonalite REST API. Sa a se sèlman posib si ou gen ladrès pwogramasyon, ou bezwen rale enfòmasyon ki nesesè nan Elastcisearch epi egzekite demann API nan sèvè kontwòl NGFW la.
  2. Si yon anpil nan siyati yo te detekte oswa bloke nan trafik rezo a soti nan yon adrès IP, Lè sa a, li fè sans yo bloke adrès IP sa a pou kèk tan nan règleman Firewall la. Aplikasyon an konsiste tou de itilize API REST la.
  3. Lanse yon eskanè lame ak yon eskanè vilnerabilite si lame sa a gen yon gwo kantite siyati pou IPS oswa lòt zouti sekirite, si li se OpenVas, Lè sa a, ou ka ekri yon script ki pral konekte via ssh ak eskanè sekirite a epi kouri eskanè a.

TS Total Vue. Koleksyon Evènman, Analiz Ensidan, ak Zouti Otomatik Repons pou Menas

TS Total Vue

Nan sòm, aplikasyon an nan tout fonksyonalite a se yon travay trè gwo ak difisil. San yo pa ladrès pwogramasyon, ou ka mete kanpe fonksyonalite a minimòm, ki ka ase pou itilize nan pwodiktivite. Men, si ou enterese nan tout fonksyonalite a, ou ka peye atansyon sou TS Total Sight. Ou ka jwenn plis detay sou nou an Online. Kòm yon rezilta, plan an antye nan travay ak achitekti pral sanble sa a:

TS Total Vue. Koleksyon Evènman, Analiz Ensidan, ak Zouti Otomatik Repons pou Menas

Konklizyon

Nou te gade sa ki ka aplike lè l sèvi avèk ELK Stack la. Nan atik ki vin apre yo, nou pral konsidere separeman an plis detay fonksyonalite TS Total Sight!

Se konsa, rete brancheTelegram, Facebook, VK, TS solisyon Blog), Yandex Zen.

Sous: www.habr.com

Add nouvo kòmantè