Նախորդ հոդվածներում մենք մի փոքր ծանոթացանք elk stack-ին և Logstash կոնֆիգուրացիայի ֆայլի տեղադրմանը log վերլուծիչի համար: Այս հոդվածում մենք կանցնենք վերլուծական տեսանկյունից ամենակարևոր բանին, թե ինչ եք ուզում: տեսեք համակարգից և ինչի համար է ստեղծվել ամեն ինչ. սրանք գրաֆիկներ և աղյուսակներ են՝ միավորված վահանակներ. Այսօր մենք ավելի մանրամասն կանդրադառնանք վիզուալիզացիայի համակարգին Կիբանա, մենք կնայենք, թե ինչպես ստեղծել գրաֆիկներ և աղյուսակներ, և արդյունքում մենք կկառուցենք պարզ վահանակ՝ հիմնված Check Point firewall-ի տեղեկամատյանների վրա:
Կիբանայի հետ աշխատելու առաջին քայլը ստեղծագործելն է ինդեքսային օրինակ, տրամաբանորեն սա որոշակի սկզբունքով միավորված ցուցանիշների բազա է։ Իհարկե, սա զուտ պարամետր է, որպեսզի Kibana-ն ավելի հարմար կերպով փնտրի տեղեկատվություն բոլոր ինդեքսներում միաժամանակ: Այն սահմանվում է համապատասխան տողով, ասեք «հսկիչ կետ-*» և ինդեքսի անվանումը: Օրինակ՝ «անցակետ-2019.12.05»-ը կհամապատասխանի օրինաչափությանը, բայց պարզապես «անցակետ»-ն այլևս գոյություն չունի: Առանձին-առանձին հարկ է նշել, որ որոնման ընթացքում անհնար է միաժամանակ փնտրել տեղեկատվություն տարբեր ինդեքսների օրինաչափությունների վերաբերյալ, մի փոքր ուշ հաջորդ հոդվածներում կտեսնենք, որ API հարցումները կատարվում են կամ ինդեքսի անունով, կամ պարզապես մեկով: նախշի գիծը, նկարը սեղմելի է.
Դրանից հետո «Բացահայտեք» ընտրացանկից ստուգում ենք, որ բոլոր տեղեկամատյանները ինդեքսավորված են և ճիշտ վերլուծիչը կազմաձևված է: Եթե որևէ անհամապատասխանություն հայտնաբերվի, օրինակ՝ տվյալների տեսակը տողից ամբողջ թվի փոխելով, պետք է խմբագրել Logstash կազմաձևման ֆայլը, արդյունքում նոր տեղեկամատյանները ճիշտ կգրվեն: Որպեսզի հին տեղեկամատյանները մինչև փոփոխությունը ստանան ցանկալի ձևը, օգնում է միայն վերաինդեքսավորման գործընթացը, հաջորդ հոդվածներում այս գործողությունը ավելի մանրամասն կքննարկվի: Եկեք համոզվենք, որ ամեն ինչ կարգին է, նկարը սեղմելի է.
Տեղեկամատյանները տեղում են, ինչը նշանակում է, որ մենք կարող ենք սկսել վահանակներ կառուցել: Անվտանգության արտադրանքների վահանակների վերլուծության հիման վրա դուք կարող եք հասկանալ կազմակերպության տեղեկատվական անվտանգության վիճակը, հստակ տեսնել ընթացիկ քաղաքականության խոցելիությունը և հետագայում դրանք վերացնելու ուղիներ մշակել: Եկեք կառուցենք փոքրիկ վահանակ՝ օգտագործելով մի քանի վիզուալիզացիոն գործիքներ: Վահանակը բաղկացած կլինի 5 բաղադրիչից.
- Աղյուսակ՝ ըստ շեղբերների գերանների ընդհանուր քանակի հաշվարկման
- աղյուսակ IPS-ի կարևոր ստորագրությունների վերաբերյալ
- Վտանգների կանխարգելման միջոցառումների կարկանդակ գծապատկեր
- ամենահայտնի այցելած կայքերի աղյուսակը
- ամենավտանգավոր հավելվածների օգտագործման աղյուսակը
Վիզուալիզացիայի թվեր ստեղծելու համար հարկավոր է գնալ մենյու Պատկերացրեք, և ընտրեք ցանկալի գործիչը, որը մենք ցանկանում ենք կառուցել: Գնանք կարգով։
Աղյուսակ՝ ըստ շեղբերով գերանների ընդհանուր քանակի հաշվարկման
Դա անելու համար ընտրեք գործիչ Տվյալների աղյուսակ, մենք ընկնում ենք գրաֆիկների ստեղծման սարքավորումների մեջ, ձախ կողմում պատկերի կարգավորումներն են, աջ կողմում՝ ինչպես այն կանդրադառնա ընթացիկ պարամետրերում: Նախ, ես ցույց կտամ, թե ինչ տեսք կունենա պատրաստի աղյուսակը, որից հետո մենք կանցնենք պարամետրերը, նկարը կտտացնում է.
Նկարի ավելի մանրամասն կարգավորումները, նկարը կարելի է սեղմել.
Եկեք նայենք պարամետրերին:
Սկզբում կազմաձևված է չափումներ, սա այն արժեքն է, որով բոլոր դաշտերը կհավաքվեն: Չափումները հաշվարկվում են փաստաթղթերից այս կամ այն կերպ արդյունահանված արժեքների հիման վրա: Արժեքները սովորաբար հանվում են դաշտերը փաստաթուղթ, բայց կարող է ստեղծվել նաև սկրիպտների միջոցով: Այս դեպքում մենք դնում ենք Համախմբում (տեղեկամատյանների ընդհանուր թիվը):
Դրանից հետո մենք աղյուսակը բաժանում ենք հատվածների (դաշտերի), որոնցով կհաշվարկվի մետրիկը: Այս գործառույթը կատարվում է Buckets պարամետրով, որն իր հերթին բաղկացած է կարգավորումների 2 տարբերակից.
- պառակտված տողեր - սյունակներ ավելացնելով և այնուհետև աղյուսակը տողերի բաժանելով
- պառակտված աղյուսակ - բաժանում մի քանի աղյուսակների, որոնք հիմնված են որոշակի դաշտի արժեքների վրա:
В դույլեր Դուք կարող եք ավելացնել մի քանի բաժանումներ մի քանի սյունակներ կամ աղյուսակներ ստեղծելու համար, այստեղ սահմանափակումները բավականին տրամաբանական են: Համախմբման դեպքում դուք կարող եք ընտրել, թե որ մեթոդը կօգտագործվի սեգմենտների բաժանելու համար՝ ipv4 միջակայք, ամսաթվերի միջակայք, պայմաններ և այլն: Ամենահետաքրքիր ընտրությունը հենց այն է Պայմաններ и Նշանակալից պայմաններ, հատվածների բաժանումն իրականացվում է ըստ որոշակի ինդեքսի դաշտի արժեքների, նրանց միջև տարբերությունը կայանում է վերադարձված արժեքների քանակի և դրանց ցուցադրման մեջ: Քանի որ մենք ցանկանում ենք աղյուսակը բաժանել շեղբերների անունով, մենք ընտրում ենք դաշտը. ապրանք.հիմնաբառ և չափը սահմանեք 25 վերադարձված արժեքների:
Տողերի փոխարեն elasticsearch-ն օգտագործում է տվյալների 2 տեսակ՝ տեքստ и Բառը. Եթե ցանկանում եք կատարել ամբողջական տեքստի որոնում, ապա պետք է օգտագործեք տեքստի տեսակը, որը շատ հարմար բան է ձեր որոնման ծառայությունը գրելիս, օրինակ՝ փնտրելով բառի հիշատակում կոնկրետ դաշտի արժեքում (տեքստ): Եթե ցանկանում եք միայն ճշգրիտ համընկնում, ապա պետք է օգտագործեք հիմնաբառի տեսակը: Բացի այդ, բանալի բառի տվյալների տեսակը պետք է օգտագործվի այն դաշտերի համար, որոնք պահանջում են տեսակավորում կամ համախմբում, այսինքն՝ մեր դեպքում:
Արդյունքում, Elasticsearch-ը հաշվում է տեղեկամատյանների քանակը որոշակի ժամանակում՝ ագրեգացված արտադրանքի դաշտի արժեքով: Custom Label-ում մենք սահմանում ենք այն սյունակի անունը, որը կցուցադրվի աղյուսակում, սահմանում ենք այն ժամանակը, որի համար մենք հավաքում ենք տեղեկամատյանները, սկսում ենք արտապատկերումը - Kibana-ն հարցում է ուղարկում elasticsearch-ին, սպասում է պատասխանի և այնուհետև պատկերացնում է ստացված տվյալները: Սեղանը պատրաստ է։
Սպառնալիքների կանխարգելման միջոցառումների կարկանդակ գծապատկեր
Առանձնահատուկ հետաքրքրություն է ներկայացնում այն տեղեկատվությունը, թե որքան արձագանքներ կան որպես տոկոս հայտնաբերել и կանխել ընթացիկ անվտանգության քաղաքականության մեջ տեղեկատվական անվտանգության միջադեպերի վերաբերյալ: Կարկանդակ աղյուսակը լավ է աշխատում այս իրավիճակի համար: Ընտրեք Visualize-ում - Կարկանդակ գծապատկեր. Նաև չափման մեջ մենք սահմանում ենք ագրեգացիա ըստ տեղեկամատյանների քանակի: Դույլերում մենք դնում ենք Terms => գործողություն:
Թվում է, թե ամեն ինչ ճիշտ է, բայց արդյունքը ցույց է տալիս արժեքներ բոլոր շեղբերների համար, դուք պետք է զտեք միայն այն շեղբերով, որոնք աշխատում են սպառնալիքների կանխարգելման շրջանակներում: Հետևաբար, մենք անպայման ստեղծեցինք այն զտել տեղեկատվություն փնտրելու համար միայն տեղեկատվական անվտանգության միջադեպերի համար պատասխանատու շեղբերների մասին՝ արտադրանք. Նկարը սեղմելի է.
Իսկ ավելի մանրամասն կարգավորումներ, նկարը կարելի է սեղմել.
IPS իրադարձությունների աղյուսակ
Հաջորդը, տեղեկատվական անվտանգության տեսանկյունից շատ կարևոր է դիտել և ստուգել իրադարձությունները սայրի վրա: IPS и Սպառնալիքների էմուլյացիաՈր արգելափակված չեն ընթացիկ քաղաքականությունը, որպեսզի հետագայում կամ փոխեք ստորագրությունը կանխելու համար, կամ եթե երթևեկությունը վավեր է, մի ստուգեք ստորագրությունը: Աղյուսակը մենք ստեղծում ենք այնպես, ինչպես առաջին օրինակում, միայն այն տարբերությամբ, որ ստեղծում ենք մի քանի սյունակներ՝ protects.keyword, severity.keyword, product.keyword, originsicname.keyword: Համոզվեք, որ տեղադրեք զտիչ, որպեսզի տեղեկատվություն փնտրեք միայն տեղեկատվական անվտանգության միջադեպերի համար պատասխանատու շեղբերների վրա՝ արտադրանք. («SmartDefense» ԿԱՄ «Սպառնալիքների էմուլացիա»): Նկարը սեղմելի է.
Ավելի մանրամասն կարգավորումներ, նկարը կարելի է սեղմել.
Ամենատարածված այցելած կայքերի գծապատկերները
Դա անելու համար ստեղծեք գործիչ. Ուղղահայաց բար. Մենք նաև օգտագործում ենք count (Y առանցք) որպես չափիչ, իսկ X առանցքի վրա որպես արժեքներ կօգտագործենք այցելած կայքերի անվանումը՝ «appi_name»: Այստեղ կա մի փոքրիկ հնարք. եթե կարգավորումները գործարկեք ընթացիկ տարբերակով, ապա բոլոր կայքերը գծապատկերում կնշվեն նույն գույնով, որպեսզի դրանք բազմագույն դառնան, մենք օգտագործում ենք լրացուցիչ պարամետր՝ «բաժանված շարք», որը թույլ է տալիս պատրաստի սյունակը բաժանել ևս մի քանի արժեքների՝ կախված ընտրված դաշտից, իհարկե: Հենց այս բաժանումը կարող է օգտագործվել կամ որպես մեկ բազմագույն սյունակ՝ ըստ արժեքների կուտակված ռեժիմում, կամ նորմալ ռեժիմում՝ X առանցքի վրա որոշակի արժեքի համաձայն մի քանի սյունակ ստեղծելու համար: Այս դեպքում, այստեղ մենք օգտագործում ենք նույն արժեքը, ինչ X առանցքի վրա, դա հնարավորություն է տալիս բոլոր սյունակները դարձնել բազմագույն, դրանք կնշվեն գույներով վերևի աջ մասում: Զտիչում մենք սահմանել ենք՝ արտադրանք՝ «URL Filtering», որպեսզի տեսնեք տեղեկատվությունը միայն այցելած կայքերում, նկարը կարելի է սեղմել.
Կարգավորումներ:
Ամենավտանգավոր հավելվածների օգտագործման դիագրամ
Դա անելու համար ստեղծեք գործիչ՝ Ուղղահայաց բար: Մենք նաև օգտագործում ենք count (Y առանցք) որպես չափիչ, իսկ X առանցքի վրա մենք կօգտագործենք օգտագործվող հավելվածների անվանումը՝ «appi_name» որպես արժեքներ: Ամենակարևորը ֆիլտրի կարգավորումն է. արտադրանքը՝ «Application Control» ԵՎ հավելվածի ռիսկը՝ (4 ԿԱՄ 5 ԿԱՄ 3) ԵՎ գործողությունը՝ «ընդունել»: Մենք զտում ենք տեղեկամատյանները Application control blade-ով, վերցնելով միայն այն կայքերը, որոնք դասակարգված են որպես Կրիտիկական, Բարձր, Միջին ռիսկի կայքեր և միայն այն դեպքում, եթե մուտքն այդ կայքերը թույլատրված է: Նկարը սեղմելի է.
Կարգավորումներ, սեղմելի՝
Վահանակ
Վահանակների դիտումը և ստեղծումը ընտրացանկի առանձին տարրում է. Կարգավորման հարթակ. Այստեղ ամեն ինչ պարզ է, ստեղծվում է նոր վահանակ, դրան ավելացվում է վիզուալիզացիա, տեղադրվում է իր տեղում և վերջ:
Մենք ստեղծում ենք վահանակ, որով դուք կարող եք հասկանալ կազմակերպությունում տեղեկատվական անվտանգության վիճակի հիմնական իրավիճակը, իհարկե, միայն Check Point մակարդակում, նկարը սեղմելի է.
Այս գրաֆիկների հիման վրա մենք կարող ենք հասկանալ, թե որ կրիտիկական ստորագրություններն արգելափակված չեն firewall-ում, ուր են գնում օգտվողները և որո՞նք են ամենավտանգավոր հավելվածները:
Ամփոփում
Մենք նայեցինք Kibana-ում հիմնական վիզուալիզացիայի հնարավորություններին և ստեղծեցինք վահանակ, բայց սա միայն փոքր մասն է: Դասընթացի ընթացքում մենք առանձին կանդրադառնանք քարտեզների տեղադրմանը, elasticsearch համակարգի հետ աշխատանքին, API-ի հարցումներին ծանոթանալուն, ավտոմատացմանը և շատ ավելին:
Ուրեմն մնացեք լարված, , , ), .
Source: www.habr.com