TS ընդհանուր տեսողություն. Իրադարձությունների հավաքագրում, միջադեպերի վերլուծություն և սպառնալիքների արձագանքման ավտոմատացման գործիք

Բարի լույս, նախորդ հոդվածներում մենք ծանոթացանք ELK Stack-ի աշխատանքին։ Եվ հիմա մենք կքննարկենք այն հնարավորությունները, որոնք կարող է իրացնել տեղեկատվական անվտանգության մասնագետը այս համակարգերից օգտվելիս։ Ինչ տեղեկամատյաններ կարող են և պետք է ավելացվեն elasticsearch-ում: Եկեք քննարկենք, թե ինչ վիճակագրություն կարելի է ձեռք բերել վահանակներ տեղադրելով և արդյոք դրա մեջ շահույթ կա: Ինչպես կարող եմ իրականացնել տեղեկատվական անվտանգության գործընթացների ավտոմատացում՝ օգտագործելով ELK stack-ը: Եկեք կազմենք համակարգի ճարտարապետությունը. Ընդհանուր առմամբ, ամբողջ ֆունկցիոնալության իրականացումը շատ մեծ և բարդ խնդիր է, ուստի լուծմանը տրվեց առանձին անվանում՝ TS Total Sight:

Ներկայումս լուծումները, որոնք համախմբում և վերլուծում են տեղեկատվական անվտանգության միջադեպերը մեկ տրամաբանական վայրում, դառնում են ժողովրդականություն, արդյունքում մասնագետը ստանում է վիճակագրություն և ձեռնարկությունում տեղեկատվական անվտանգության վիճակը բարելավելու համար գործողությունների ճակատ: Մենք ինքներս մեզ նման խնդիր դրեցինք ELK կույտը օգտագործելու համար, արդյունքում մենք առանձնացրինք հիմնական ֆունկցիոնալությունը 4 բաժիններում.

1. Վիճակագրություն և պատկերացում;
2. IS միջադեպի հայտնաբերում;
3. Միջադեպերի առաջնահերթություն;
4. Տեղեկատվական անվտանգության գործընթացների ավտոմատացում:

Եկեք ավելի մանրամասն նայենք յուրաքանչյուրին ավելի մանրամասն:

Տեղեկատվական անվտանգության միջադեպերի հայտնաբերում

Մեր դեպքում elasticsearch-ի օգտագործման հիմնական խնդիրը միայն տեղեկատվական անվտանգության միջադեպերի հավաքումն է: Դուք կարող եք հավաքել տեղեկատվական անվտանգության միջադեպերը պաշտպանության ցանկացած միջոցներից, եթե դրանք աջակցում են տեղեկամատյանների փոխանցման առնվազն որոշ ռեժիմներ, ստանդարտը syslog կամ scp ֆայլի պահպանումն է:

Դուք կարող եք տալ պաշտպանության գործիքների ստանդարտ օրինակներ և ոչ միայն այնտեղից, որտեղ դուք պետք է կարգավորեք տեղեկամատյանների վերահասցեավորումը.

1. Ցանկացած NGFW միջոցներ (Check Point, Fortinet);
2. Ցանկացած խոցելիության սկաներներ (PT Scanner, OpenVas);
3. Web Application Firewall (PTAF);
4. Netflow անալիզատորներ (Flowmon, Cisco StealthWatch);
5. AD սերվեր:

Երբ Logstash-ը կարգավորեք՝ տեղեկամատյաններ և կազմաձևման ֆայլեր ուղարկելու համար, կարող եք կապել և համեմատել անվտանգության տարբեր գործիքներից ստացվող միջադեպերի հետ: Դա անելու համար հարմար է օգտագործել ինդեքսներ, որոնցում մենք կպահենք կոնկրետ սարքի հետ կապված բոլոր միջադեպերը: Այլ կերպ ասած, մեկ ինդեքսը բոլոր միջադեպերն են մեկ սարքի համար: Այս բաշխումը կարող է իրականացվել երկու եղանակով.

Առաջին տարբերակ Logstash-ի կազմաձևումը կարգավորելն է: Դա անելու համար դուք պետք է կրկնօրինակեք որոշակի դաշտերի գրանցամատյանը մեկ այլ տիպի առանձին միավորի մեջ: Եվ հետո ավելի ուշ օգտագործեք այս տեսակը: Օրինակը կլոնավորում է տեղեկամատյանները Check Point firewall-ի IPS սայրից:

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Նման իրադարձությունները առանձին ինդեքսում պահելու համար՝ կախված տեղեկամատյանների դաշտերից, օրինակ՝ հարձակման ստորագրության նպատակակետի IP-ն։ Դուք կարող եք օգտագործել նմանատիպ շինարարություն.

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Եվ այս կերպ դուք կարող եք պահպանել բոլոր միջադեպերը ինդեքսում, օրինակ՝ IP հասցեով կամ մեքենայի տիրույթի անունով: Այս դեպքում մենք պահում ենք ինդեքսում «smartdefense-%{dst}», ստորագրության նպատակակետի IP հասցեով:

Այնուամենայնիվ, տարբեր ապրանքներ կունենան տեղեկամատյանների տարբեր դաշտեր, ինչը կհանգեցնի քաոսի և վատնված հիշողության: Եվ այստեղ անհրաժեշտ կլինի կամ զգուշորեն փոխարինել Logstash կոնֆիգուրացիայի կարգավորումներում գտնվող դաշտերը նախապես մշակվածներով, որոնք նույնը կլինեն բոլոր տեսակի միջադեպերի դեպքում, ինչը նույնպես բարդ խնդիր է։

Իրականացման երկրորդ տարբերակը - սա սցենար կամ գործընթաց գրելն է, որն իրական ժամանակում մուտք կգործի առաձգական բազա, դուրս կբերի անհրաժեշտ միջադեպերը և կպահի դրանք նոր ինդեքսում, սա բարդ խնդիր է, բայց այն թույլ է տալիս աշխատել տեղեկամատյանների հետ, ինչպես ցանկանում եք: և ուղղակիորեն փոխկապակցված են այլ անվտանգության գործիքների միջադեպերի հետ: Այս տարբերակը թույլ է տալիս առավելագույն ճկունությամբ հարմարեցնել աշխատանքը ձեր գործի համար հնարավորինս օգտակար տեղեկամատյաններով, բայց այստեղ խնդիր կա գտնելու մասնագետ, ով կարող է դա իրականացնել:

Եվ, իհարկե, ամենակարեւոր հարցը ինչ կարելի է կապել և հայտնաբերել?

Այստեղ կարող են լինել մի քանի տարբերակներ, և կախված նրանից, թե անվտանգության ինչ գործիքներ են օգտագործվում ձեր ենթակառուցվածքում, մի քանի օրինակ.

1. Ամենաակնհայտ և իմ տեսանկյունից ամենահետաքրքիր տարբերակը նրանց համար, ովքեր ունեն NGFW լուծում և խոցելիության սկաներ։ Սա IPS տեղեկամատյանների և խոցելիության սկանավորման արդյունքների համեմատությունն է: Եթե ​​հարձակումը հայտնաբերվել է (ոչ արգելափակվել) IPS համակարգի կողմից, և այդ խոցելիությունը վերջնական մեքենայի վրա փակված չէ սկանավորման արդյունքների հիման վրա, ապա անհրաժեշտ է փչել բոլոր խողովակները, քանի որ մեծ հավանականություն կա, որ խոցելիությունը եղել է: շահագործվել։
2. Մեկ մեքենայից տարբեր վայրեր մուտք գործելու բազմաթիվ փորձեր կարող են խորհրդանշել վնասակար գործունեությունը:
3. Օգտագործողի կողմից վիրուսային ֆայլերի ներբեռնում՝ պոտենցիալ վտանգավոր կայքերի հսկայական քանակի այցելության պատճառով:

Վիճակագրություն և պատկերացում

ELK Stack-ի առավել ակնհայտ և հասկանալի նպատակը տեղեկամատյանների պահպանումն ու արտացոլումն է, անցյալ հոդվածներում ցույց տրվեց, թե ինչպես կարելի է Logstash-ի միջոցով տարբեր սարքերից տեղեկամատյաններ ստանալ: Այն բանից հետո, երբ տեղեկամատյանները գնում են Elasticsearch, կարող եք տեղադրել վահանակներ, որոնք նույնպես նշված էին անցյալ հոդվածներում, վիզուալիզացիայի միջոցով ձեզ անհրաժեշտ տեղեկատվության և վիճակագրության հետ:

Օրինակներ

1. Վտանգների կանխարգելման միջոցառումների վահանակ՝ ամենակարևոր իրադարձություններով: Այստեղ դուք կարող եք արտացոլել, թե որ IPS ստորագրությունները են հայտնաբերվել, որտեղից են դրանք աշխարհագրորեն:

   

2. Վահանակ՝ ամենակարևոր հավելվածների օգտագործման վերաբերյալ, որոնց վերաբերյալ տեղեկատվությունը կարող է արտահոսել:

   

3. Ստուգեք արդյունքները ցանկացած անվտանգության սկաներից:

   

4. Տեղեկամատյաններ Active Directory-ից օգտվողների կողմից:

   

5. VPN կապի վահանակ.

Այս դեպքում, եթե կարգավորեք վահանակները, որպեսզի թարմացնեք ամեն մի քանի վայրկյանը մեկ, դուք կարող եք ձեռք բերել բավականին հարմար համակարգ իրական ժամանակում իրադարձությունների մոնիտորինգի համար, որը կարող է օգտագործվել տեղեկատվական անվտանգության միջադեպերին հնարավորինս արագ արձագանքելու համար, եթե վահանակները տեղադրեք առանձին էկրան:

Միջադեպերի առաջնահերթություն

Մեծ ենթակառուցվածքի պայմաններում միջադեպերի թիվը կարող է դուրս գալ մասշտաբներից, և մասնագետները ժամանակին չեն հասցնի վերլուծել բոլոր միջադեպերը։ Այս պարագայում անհրաժեշտ է նախ առանձնացնել միայն այն միջադեպերը, որոնք մեծ վտանգ են պարունակում։ Հետևաբար, համակարգը պետք է առաջնահերթություն տա միջադեպերին՝ ըստ ձեր ենթակառուցվածքի հետ կապված դրանց ծանրության: Ցանկալի է այս իրադարձությունների մասին փոստով կամ հեռագրերով ծանուցում տեղադրել: Առաջնահերթությունները կարող են իրականացվել Kibana-ի սովորական գործիքների միջոցով՝ կարգավորելով վիզուալիզացիան: Բայց ծանուցման դեպքում ավելի դժվար է, լռելյայն այս գործառույթը ներառված չէ Elasticsearch-ի հիմնական տարբերակում, միայն վճարովի: Հետևաբար, կա՛մ գնեք վճարովի տարբերակ, կա՛մ, կրկին, ինքներդ գրեք մի գործընթաց, որն իրական ժամանակում փոստով կամ հեռագրով կտեղեկացնի մասնագետներին։

Տեղեկատվական անվտանգության գործընթացների ավտոմատացում

Իսկ ամենահետաքրքիր մասերից մեկը տեղեկատվական անվտանգության միջադեպերի գործողությունների ավտոմատացումն է։ Նախկինում մենք իրականացրել ենք այս ֆունկցիոնալությունը Splunk-ի համար, այստեղ կարող եք մի փոքր ավելին կարդալ Հոդված. Հիմնական գաղափարն այն է, որ IPS քաղաքականությունը երբեք չի փորձարկվում կամ օպտիմիզացվում, թեև որոշ դեպքերում այն ​​տեղեկատվական անվտանգության գործընթացների էական մասն է: Օրինակ, NGFW-ի ներդրումից և IPS-ի օպտիմալացման գործողությունների բացակայությունից մեկ տարի անց, դուք կհավաքեք մեծ թվով ստորագրություններ Detect գործողությամբ, որոնք չեն արգելափակվի, ինչը մեծապես նվազեցնում է կազմակերպության տեղեկատվական անվտանգության վիճակը: Ահա մի քանի օրինակներ, թե ինչ կարելի է ավտոմատացնել.

1. Փոխարկել IPS ստորագրությունը «Հայտնաբերել»՝ «Կանխարգելել»: Եթե ​​Prevent-ը չի աշխատում քննադատական ​​ստորագրությունների վրա, ապա սա անսարք է, և լուրջ խախտում է պաշտպանության համակարգում։ Մենք քաղաքականության մեջ գործողությունը փոխում ենք նման ստորագրությունների։ Այս գործառույթը կարող է իրականացվել, եթե NGFW սարքն ունի REST API գործառույթ: Դա հնարավոր է միայն այն դեպքում, եթե դուք ունեք ծրագրավորման հմտություններ, դուք պետք է դուրս բերեք անհրաժեշտ տեղեկատվությունը Elastcisearch-ից և կատարեք API հարցումները NGFW կառավարման սերվերին:
2. Եթե ​​մեկ IP հասցեից ցանցային տրաֆիկում հայտնաբերվել կամ արգելափակվել են բազմաթիվ ստորագրություններ, ապա իմաստ ունի արգելափակել այս IP հասցեն որոշ ժամանակով Firewall քաղաքականության մեջ: Իրականացումը բաղկացած է նաև REST API-ի օգտագործումից:
3. Գործարկեք հոսթի սկան խոցելիության սկաներով, եթե այս հոսթն ունի մեծ թվով ստորագրություններ IPS-ի կամ անվտանգության այլ գործիքների համար, եթե դա OpenVas-ն է, ապա կարող եք գրել սկրիպտ, որը ssh-ի միջոցով կմիանա անվտանգության սկաներին և գործարկի սկանավորումը:

TS ընդհանուր տեսողություն

Ընդհանուր առմամբ, ամբողջ ֆունկցիոնալության իրականացումը շատ մեծ և բարդ խնդիր է: Առանց ծրագրավորման հմտությունների, դուք կարող եք սահմանել նվազագույն ֆունկցիոնալությունը, որը կարող է բավարար լինել արտադրողականության մեջ օգտագործելու համար: Բայց եթե ձեզ հետաքրքրում է ամբողջ ֆունկցիոնալությունը, կարող եք ուշադրություն դարձնել TS Total Sight-ին։ Մանրամասներին կարող եք ծանոթանալ մեր կայքում Առցանց. Արդյունքում, աշխատանքի և ճարտարապետության ամբողջ սխեման այսպիսի տեսք կունենա.

Ամփոփում

Մենք նայեցինք, թե ինչ կարող է իրականացվել՝ օգտագործելով ELK Stack-ը: Հետագա հոդվածներում մենք առանձին-առանձին ավելի մանրամասն կքննարկենք TS Total Sight-ի ֆունկցիոնալությունը:

Ուրեմն մնացեք լարվածTelegram, facebook, VK, TS Solution բլոգ), Յանդեքս Զեն.

Source: www.habr.com