Pada artikel sebelumnya, kita telah sedikit mengenal tumpukan elk dan pengaturan berkas konfigurasi Logstash untuk pengurai log. Dalam artikel ini, kita akan membahas hal terpenting dari sudut pandang analitis, yaitu apa yang ingin Anda lihat dari sistem dan untuk apa semua ini dibuat - yaitu grafik dan tabel yang digabungkan menjadi dasborHari ini kita akan melihat lebih dekat pada sistem visualisasi. Kibana, kita akan melihat cara membuat grafik dan tabel, dan akhirnya membangun dasbor sederhana berdasarkan log dari firewall Check Point.
Langkah pertama dalam bekerja dengan kibana adalah membuat pola indeksSecara logis, ini adalah basis data indeks yang mengikuti pola tertentu. Tentu saja, ini murni pengaturan agar Kibana dapat mencari informasi di semua indeks secara bersamaan dengan lebih mudah. Pengaturan ini didefinisikan dengan mencocokkan string, misalnya "checkpoint-*", dengan nama indeks. Misalnya, "checkpoint-2019.12.05" akan cocok dengan polanya, tetapi "checkpoint" saja tidak. Perlu dicatat bahwa pencarian informasi di berbagai pola indeks secara bersamaan tidak dimungkinkan. Nanti di artikel ini, kita akan melihat bahwa permintaan API dibuat berdasarkan nama indeks atau berdasarkan satu string di dalam pola. Gambar ini dapat diklik:
Setelah ini, periksa di menu Discover apakah semua log telah diindeks dan parser yang benar telah dikonfigurasi. Jika ditemukan inkonsistensi, misalnya, perubahan tipe data dari string menjadi integer, Anda perlu mengedit berkas konfigurasi Logstash. Ini akan memastikan log baru ditulis dengan benar. Untuk memastikan log lama diformat dengan benar sebelum perubahan, hanya pengindeksan ulang yang dimungkinkan; proses ini akan dibahas lebih detail di artikel selanjutnya. Untuk memastikan semuanya beres, gambar berikut dapat diklik:
Log sudah tersedia, jadi kita bisa mulai membangun dasbor. Dengan menggunakan analitik dasbor dari produk keamanan, kita dapat memahami status keamanan informasi suatu organisasi, mengidentifikasi kerentanan dalam kebijakan yang ada dengan jelas, dan mengembangkan solusi untuk mengatasinya. Mari kita buat dasbor kecil menggunakan beberapa alat visualisasi. Dasbor ini akan terdiri dari lima komponen:
- tabel untuk menghitung jumlah total log berdasarkan blade
- tabel tanda tangan IPS kritis
- Diagram Lingkaran Acara Pencegahan Ancaman
- grafik situs yang paling banyak dikunjungi
- grafik aplikasi paling berbahaya yang digunakan
Untuk membuat gambar visualisasi, Anda perlu masuk ke menu Membayangkan, dan pilih figur yang ingin kita bangun! Mari kita lanjutkan langkah demi langkah.
Tabel untuk menghitung jumlah total log berdasarkan bilah
Untuk melakukan ini, kita memilih gambar Data Tabel, kita masuk ke alat pembuat bagan. Di sebelah kiri, Anda akan melihat pengaturan gambar, dan di sebelah kanan, Anda akan melihat tampilannya dengan pengaturan saat ini. Pertama, saya akan menunjukkan tampilan tabel yang sudah jadi, lalu kita akan membahas pengaturannya. Gambarnya bisa diklik:
Pengaturan gambar lebih rinci, gambar yang dapat diklik:
Mari kita lihat pengaturannya.
Awalnya dikonfigurasi metrik, ini adalah nilai yang digunakan untuk menggabungkan semua kolom. Metrik dihitung berdasarkan nilai yang diekstrak dari dokumen dengan satu atau lain cara. Nilai biasanya diekstrak dari ladang dokumen, tetapi juga dapat dibuat menggunakan skrip. Dalam hal ini, kami memasukkan Agregasi: Hitung (jumlah total log).
Selanjutnya, kami membagi tabel menjadi beberapa segmen (kolom) yang metriknya akan dihitung. Fungsi ini dijalankan oleh pengaturan Bucket, yang terdiri dari dua opsi konfigurasi:
- membagi baris — menambahkan kolom lalu membagi tabel menjadi baris
- tabel terpisah — pembagian menjadi beberapa tabel berdasarkan nilai bidang tertentu.
В Ember Anda dapat menambahkan beberapa divisi untuk membuat beberapa kolom atau tabel; batasan di sini lebih logis. Dalam agregasi, Anda dapat memilih metode pembagian ke dalam segmen: rentang IPv4, rentang tanggal, Istilah, dll. Pilihan yang paling menarik justru Syarat и Istilah Penting, pembagian ke dalam segmen dilakukan berdasarkan nilai bidang indeks tertentu. Perbedaan di antara keduanya terletak pada jumlah nilai yang dikembalikan dan tampilannya. Karena kita ingin membagi tabel berdasarkan nama bilah, kita memilih bidang— kata kunci produk dan atur ukuran ke 25 nilai pengembalian.
Alih-alih string, elasticsearch menggunakan 2 tipe data - teks и kata kunciJika Anda ingin melakukan pencarian teks lengkap, gunakan tipe teks. Ini sangat praktis saat menulis layanan pencarian Anda sendiri, misalnya, saat mencari kata dalam nilai bidang tertentu (teks). Jika Anda hanya menginginkan kecocokan persis, gunakan tipe kata kunci. Tipe data kata kunci juga sebaiknya digunakan untuk bidang yang memerlukan pengurutan atau agregasi, seperti dalam kasus kami.
Hasilnya, Elasticsearch menghitung jumlah log untuk waktu tertentu, mengagregasinya berdasarkan nilai di kolom produk. Di Label Kustom, kami menentukan nama kolom yang akan ditampilkan di tabel, mengatur periode waktu pengumpulan log, dan menjalankan proses rendering. Kibana mengirimkan permintaan ke Elasticsearch, menunggu respons, lalu memvisualisasikan data yang diterima. Tabel sudah siap!
Diagram Lingkaran Acara Pencegahan Ancaman
Yang menarik adalah informasi tentang berapa banyak reaksi yang ada dalam persentase menemukan и mencegah untuk insiden keamanan informasi dalam kebijakan keamanan saat ini. Diagram lingkaran adalah pilihan yang baik untuk kasus ini. Pilih di Visualisasikan— Pie chartKami juga mengatur agregasi berdasarkan jumlah log dalam metrik. Dalam bucket, kami mengatur Ketentuan => tindakan.
Semuanya tampak benar, tetapi hasilnya menunjukkan nilai untuk semua blade. Anda hanya perlu memfilter blade yang berjalan di bawah Pencegahan Ancaman. Oleh karena itu, pastikan untuk mengonfigurasi menyaring Untuk mencari informasi hanya pada blade yang bertanggung jawab atas insiden keamanan informasi, gunakan produk: ("Anti-Bot" ATAU "New Anti-Virus" ATAU "DDoS Protector" ATAU "SmartDefense" ATAU "Threat Emulation"). Gambar yang dapat diklik:
Dan pengaturan yang lebih rinci, gambar dapat diklik:
Tabel Acara IPS
Selanjutnya, sangat penting dari sudut pandang keamanan informasi untuk melihat dan memeriksa peristiwa berdasarkan blade IPS и Emulasi AncamanBahwa tidak diblokir Kebijakan saat ini kemudian akan mengonversi tanda tangan untuk mencegah atau, jika lalu lintas valid, tidak memeriksa tanda tangan. Kita akan membuat tabel dengan cara yang sama seperti contoh pertama, hanya saja kita akan membuat beberapa kolom: protections.keyword, severity.keyword, product.keyword, dan originsicname.keyword. Pastikan untuk menyiapkan filter agar hanya mencari blade yang bertanggung jawab atas insiden keamanan informasi—product: ("SmartDefense" atau "Threat Emulation"). Gambar dapat diklik:
Pengaturan lebih rinci, gambar yang dapat diklik:
Grafik situs yang paling banyak dikunjungi
Untuk melakukan ini, kita membuat gambar - Bilah VertikalKita juga akan menggunakan metrik jumlah (sumbu Y), dan pada sumbu X, kita akan menggunakan nama situs web yang dikunjungi—"appi_name"—sebagai nilai. Ada sedikit trik di sini: jika Anda menjalankan pengaturan saat ini, semua situs web akan ditandai pada grafik dengan satu warna. Untuk membuatnya multiwarna, kita menggunakan pengaturan tambahan—"split series"—yang memungkinkan Anda membagi kolom yang ada menjadi beberapa nilai lagi, tentu saja tergantung pada kolom yang dipilih! Pembagian ini dapat digunakan sebagai satu kolom multiwarna berdasarkan nilai dalam mode bertumpuk, atau dalam mode normal untuk membuat beberapa kolom berdasarkan nilai tertentu pada sumbu X. Dalam hal ini, kita akan menggunakan nilai yang sama seperti pada sumbu X, yang memungkinkan kita untuk membuat semua kolom multiwarna, dan kolom-kolom tersebut akan ditandai dengan warna di sudut kanan atas. Pada filter, kita mengatur product: "URL Filtering" untuk menampilkan informasi hanya untuk situs web yang dikunjungi. Gambar dapat diklik:
Pengaturan:
Grafik aplikasi paling berbahaya yang digunakan
Untuk melakukan ini, kita akan membuat bentuk Batang Vertikal. Kita juga akan menggunakan count sebagai metrik (sumbu Y), dan pada sumbu X, kita akan menggunakan nama aplikasi yang digunakan (appi_name) sebagai nilai. Pengaturan filter yang paling penting adalah product: "Application Control" DAN app_risk: (4 ATAU 5 ATAU 3) DAN action: "accept." Kita akan memfilter log berdasarkan bilah Application Control, hanya memilih situs yang dikategorikan berisiko Kritis, Tinggi, atau Sedang, dan hanya jika akses ke situs tersebut diizinkan. Gambar dapat diklik:
Pengaturan, dapat diklik:
Dasbor
Melihat dan membuat dasbor terletak di item menu terpisah - Menu UtamaSederhana saja: buat dasbor baru, tambahkan visualisasi, atur, dan selesai!
Kami sedang membuat dasbor yang akan memberikan pemahaman dasar tentang situasi keamanan informasi organisasi, jelas di tingkat Check Point, dan gambarnya dapat diklik:
Berdasarkan grafik ini, kita dapat memahami tanda tangan kritis mana yang tidak diblokir oleh firewall, ke mana pengguna pergi, dan aplikasi paling berbahaya apa yang mereka gunakan.
Kesimpulan
Kita telah membahas kemampuan visualisasi dasar Kibana dan membangun dasbornya, tetapi itu baru permulaan. Nanti di kursus ini, kita akan membahas pengaturan peta, bekerja dengan sistem ElasticSearch, permintaan API, otomatisasi, dan banyak lagi!
Jadi pantau terus (, , , ), .
Sumber: www.habr.com
