Korábbi cikkeinkben egy kicsit megismerkedtünk az elk verem és a naplóelemző Logstash konfigurációs fájljának beállításával, ebben a cikkben áttérünk az elemzési szempontból legfontosabb dologra, hogy mit szeretne látni a rendszerből, és azt, hogy mi mindenre jött létre - ezek grafikonok és táblázatok összevonva műszerfalak. Ma közelebbről megvizsgáljuk a vizualizációs rendszert kibana, megvizsgáljuk, hogyan hozhatunk létre grafikonokat és táblázatokat, és ennek eredményeként egy egyszerű irányítópultot készítünk a Check Point tűzfal naplói alapján.
A kibanával való munka első lépése az alkotás index minta, logikusan ez egy bizonyos elv szerint egyesített indexek bázisa. Természetesen ez pusztán egy beállítás annak érdekében, hogy a Kibana kényelmesebben keressen információkat az összes indexben egyszerre. A beállítás egy karakterlánc, mondjuk „checkpoint-*” és az index nevének egyeztetésével történik. Például a „checkpoint-2019.12.05” megfelelne a mintának, de egyszerűen „ellenőrzőpont” már nem létezik. Külön érdemes megemlíteni, hogy a keresés során nem lehet egyszerre különböző indexmintázatokra keresni, kicsit később a következő cikkekben látni fogjuk, hogy az API kérések vagy az index neve alapján, vagy csak egy a minta sora, a kép kattintható:
Ezt követően a Discover menüben ellenőrizzük, hogy minden napló indexelve van-e, és a megfelelő értelmező be van állítva. Ha bármilyen inkonzisztenciát talál, például az adattípust karakterláncról egész számra módosítja, szerkesztenie kell a Logstash konfigurációs fájlt, ennek eredményeként az új naplók helyesen lesznek írva. Annak érdekében, hogy a régi naplók a változtatás előtt a kívánt formát öltsék, csak az újraindexelési folyamat segít, a következő cikkekben erről a műveletről részletesebben lesz szó. Győződjünk meg róla, hogy minden rendben van, a kép kattintható:
A rönkök a helyükön vannak, ami azt jelenti, hogy elkezdhetjük a műszerfalak építését. A biztonsági termékek irányítópultjainak elemzése alapján megértheti a szervezet információbiztonságának állapotát, tisztán láthatja a jelenlegi szabályzat sérülékenységeit, majd kidolgozhatja azok megszüntetésének módjait. Készítsünk egy kis irányítópultot többféle vizualizációs eszköz segítségével. A műszerfal 5 részből áll:
- táblázat a rönkök teljes számának pengenkénti kiszámításához
- táblázat a kritikus IPS aláírásokról
- A fenyegetésmegelőzési események kördiagramja
- a legnépszerűbb oldalak diagramja
- táblázat a legveszélyesebb alkalmazások használatáról
Vizualizációs figurák létrehozásához a menübe kell lépnie Képzeld el, és válassza ki a kívánt figurát, amelyet meg akarunk építeni! Menjünk sorban.
Táblázat a rönkök teljes számának pengenkénti kiszámításához
Ehhez válasszon ki egy figurát Adattáblában, a grafikonok készítésének berendezésébe csöppenünk, bal oldalon az ábra beállításai, jobb oldalon az, hogy hogyan fog kinézni az aktuális beállítások mellett. Először bemutatom, hogy fog kinézni az elkészült táblázat, utána végigmegyünk a beállításokon, a kép kattintható:
Az ábra részletesebb beállításai, a kép kattintható:
Nézzük a beállításokat.
Kezdetben konfigurálva mérőszámok, ez az az érték, amellyel az összes mező összesítésre kerül. A mutatók kiszámítása a dokumentumokból így vagy úgy kinyert értékek alapján történik. Az értékeket általában innen nyerik ki mezők dokumentum, hanem szkriptek segítségével is előállítható. Ebben az esetben betesszük Összesítés: Számol (rönkök teljes száma).
Ezt követően a táblázatot szegmensekre (mezőkre) osztjuk, amelyek alapján a metrika kiszámításra kerül. Ezt a funkciót a Buckets beállítás hajtja végre, amely viszont 2 beállítási lehetőségből áll:
- sorok felosztása - oszlopok hozzáadása, majd a táblázat sorokra osztása
- osztott táblázat - felosztás több táblázatra egy adott mező értékei alapján.
В kanalak Több felosztás hozzáadásával több oszlopot vagy táblázatot hozhat létre, a korlátozások itt meglehetősen logikusak. Az összesítés során kiválaszthatja, hogy melyik módszert használja a szegmensekre: ipv4 tartomány, dátumtartomány, feltételek stb. A legérdekesebb választás pontosan Szabályzatok и Jelentős kifejezések, a szegmensekre osztás egy adott indexmező értékei szerint történik, a különbség a visszaadott értékek számában és azok megjelenítésében rejlik. Mivel a táblázatot fel akarjuk osztani a pengék nevével, a - termék.kulcsszó és állítsa be a méretet 25 visszaadott értékre.
Karakterláncok helyett az elasticsearch 2 adattípust használ - szöveg и kulcsszó. Ha teljes szöveges keresést szeretne végezni, használja a szövegtípust, ami nagyon kényelmes dolog a keresőszolgáltatás megírásakor, például ha egy szó említését keresi egy adott mezőértékben (szöveg). Ha csak pontos egyezést szeretne, használja a kulcsszótípust. Szintén a kulcsszó adattípust kell használni a rendezést vagy összesítést igénylő mezőknél, vagyis esetünkben.
Ennek eredményeként az Elasticsearch megszámolja a naplók számát egy bizonyos ideig, a termékmező értékével összesítve. Az Egyéni címkében beállítjuk a táblázatban megjelenő oszlop nevét, beállítjuk, hogy mennyi időre gyűjtsük a naplókat, kezdjük el a renderelést - a Kibana kérést küld az elasticsearch-nek, megvárja a választ, majd megjeleníti a kapott adatokat. Kész az asztal!
Kördiagram a fenyegetésmegelőzési eseményekhez
Különösen érdekes az az információ, hogy hány reakció van százalékban kimutatására и megakadályozása az információbiztonsági incidensekről a jelenlegi biztonsági politikában. A kördiagram jól működik ebben a helyzetben. Válassza ki a Vizualizálásban - Kördiagram. A metrikában is beállítjuk a naplók száma szerinti összesítést. Vödörbe rakjuk a Terms => action kifejezést.
Úgy tűnik, minden helyes, de az eredmény az összes penge értékeit mutatja; csak azokra a pengékre kell szűrni, amelyek a fenyegetésmegelőzés keretein belül működnek. Ezért mindenképpen beállítottuk szűrő annak érdekében, hogy csak az információbiztonsági incidensekért felelős pengékről keressen információkat - termék: ("Anti-Bot" VAGY "Új víruskereső" VAGY "DDoS Protector" VAGY "SmartDefense" VAGY "Threat Emulation"). A kép kattintható:
És a részletesebb beállítások, a kép kattintható:
IPS eseménytáblázat
Következő, információbiztonsági szempontból nagyon fontos a penge eseményeinek megtekintése és ellenőrzése. IPS и Fenyegetés emuláció, которые nincsenek blokkolva jelenlegi szabályzatot, annak érdekében, hogy utólag vagy módosítsa az aláírást a megelőzés érdekében, vagy ha a forgalom érvényes, ne ellenőrizze az aláírást. A táblázatot ugyanúgy hozzuk létre, mint az első példában, azzal a különbséggel, hogy több oszlopot hozunk létre: protections.keyword, verity.keyword, product.keyword, originsicname.keyword. Ügyeljen arra, hogy beállítson egy szűrőt, hogy csak az információbiztonsági incidensekért felelős paneleken keressen információkat – termék: („SmartDefense” VAGY „Threat Emulation”). A kép kattintható:
Részletesebb beállítások, a képre kattintva:
A legnépszerűbb webhelyek diagramjai
Ehhez hozzon létre egy figurát - Függőleges sáv. A számlálást (Y tengely) is használjuk mérőszámként, az X tengelyen pedig a meglátogatott webhelyek nevét használjuk értékként – „appi_name”. Van itt egy kis trükk: ha az aktuális verzióban futtatja a beállításokat, akkor az összes webhely azonos színnel lesz megjelölve a diagramon, hogy többszínűvé tegyük, további beállítást használunk - „split series”, amely lehetővé teszi, hogy egy kész oszlopot több értékre ossza fel, természetesen a kiválasztott mezőtől függően! Ez a felosztás használható egy többszínű oszlopként az értékek szerint halmozott módban, vagy normál módban, hogy az X tengelyen egy bizonyos érték szerint több oszlopot hozzon létre. Ebben az esetben itt a ugyanaz az érték, mint az X tengelyen, ez lehetővé teszi az összes oszlop többszínűvé tételét; ezeket a jobb felső sarokban színekkel jelöljük. Az általunk beállított szűrőben - termék: „URL-szűrés”, hogy csak a meglátogatott webhelyekről lássunk információkat, a kép kattintható:
Beállítások:
Diagram a legveszélyesebb alkalmazások használatáról
Ehhez hozzon létre egy ábrát - Függőleges sáv. A számlálást (Y tengely) is használjuk metrikaként, az X tengelyen pedig a használt alkalmazások nevét - „appi_name” értékként használjuk. A legfontosabb a szűrőbeállítás - termék: “Application Control” ÉS app_risk: (4 VAGY 5 VAGY 3 ) ÉS művelet: “elfogadás”. A naplókat az Alkalmazásvezérlő panel alapján szűrjük, és csak a kritikus, magas, közepes kockázatú helyek közé soroljuk, és csak akkor, ha ezekhez a webhelyekhez való hozzáférés engedélyezett. A kép kattintható:
Beállítások, kattintható:
Vezérlőpult
Az irányítópultok megtekintése és létrehozása külön menüpontban található - Műszerfal. Itt minden egyszerű, létrejön egy új műszerfal, vizualizáció kerül hozzá, a helyére kerül, és kész!
Készítünk egy dashboard-ot, amivel megértheti egy szervezet információbiztonsági állapotának alaphelyzetét, természetesen csak Check Point szinten, a kép kattintható:
Ezen grafikonok alapján megérthetjük, hogy mely kritikus aláírások nincsenek blokkolva a tűzfalon, hová mennek a felhasználók, és melyek a legveszélyesebb alkalmazások.
Következtetés
Megnéztük a Kibana alapvető vizualizációjának lehetőségeit, és építettünk egy műszerfalat, de ez csak egy kis rész. A továbbiakban a kurzuson külön foglalkozunk a térképek beállításával, az elaszticsearch rendszerrel való munkavégzéssel, az API kérésekkel való ismerkedéssel, az automatizálással és még sok minden mással!
Szóval maradj velünk, , , ), .
Forrás: will.com