Pada artikel sebelumnya, kita sedikit mengenal tumpukan elk dan menyiapkan file konfigurasi Logstash untuk parser log. Pada artikel ini, kita akan beralih ke hal terpenting dari sudut pandang analitis, apa yang ingin Anda lakukan lihat dari sistem dan untuk apa segala sesuatunya dibuat - ini adalah grafik dan tabel yang digabungkan menjadi dasbor. Hari ini kita akan melihat lebih dekat sistem visualisasi Kibana, kita akan melihat cara membuat grafik dan tabel, dan sebagai hasilnya kita akan membuat dasbor sederhana berdasarkan log dari firewall Check Point.
Langkah pertama dalam bekerja dengan kibana adalah mencipta pola indeks, secara logika, ini adalah basis indeks yang disatukan menurut prinsip tertentu. Tentu saja, ini murni pengaturan agar Kibana lebih nyaman mencari informasi di semua indeks secara bersamaan. Ini diatur dengan mencocokkan string, katakanlah “pos pemeriksaan-*” dan nama indeks. Misalnya, “checkpoint-2019.12.05” akan sesuai dengan pola tersebut, namun “checkpoint” saja sudah tidak ada lagi. Perlu disebutkan secara terpisah bahwa dalam pencarian tidak mungkin untuk mencari informasi tentang pola indeks yang berbeda secara bersamaan; nanti di artikel berikutnya kita akan melihat bahwa permintaan API dibuat berdasarkan nama indeks, atau hanya dengan satu indeks. garis polanya, gambarnya dapat diklik:
Setelah ini, kami memeriksa di menu Discover bahwa semua log telah diindeks dan parser yang benar telah dikonfigurasi. Jika ditemukan ketidakkonsistenan, misalnya mengubah tipe data dari string menjadi integer, Anda perlu mengedit file konfigurasi Logstash, sehingga log baru akan ditulis dengan benar. Agar log lama mengambil bentuk yang diinginkan sebelum perubahan, hanya proses pengindeksan ulang yang membantu, artikel selanjutnya akan membahas operasi ini secara lebih rinci. Mari pastikan semuanya beres, gambar dapat diklik:
Log sudah ada, yang berarti kita dapat mulai membuat dasbor. Berdasarkan analisis dasbor dari produk keamanan, Anda dapat memahami keadaan keamanan informasi dalam suatu organisasi, melihat dengan jelas kerentanan dalam kebijakan saat ini, dan selanjutnya mengembangkan cara untuk menghilangkannya. Mari buat dasbor kecil menggunakan beberapa alat visualisasi. Dasbor akan terdiri dari 5 komponen:
- tabel untuk menghitung jumlah total kayu gelondongan menurut bilahnya
- tabel tentang tanda tangan IPS kritis
- diagram lingkaran untuk acara Pencegahan Ancaman
- bagan situs yang paling populer dikunjungi
- bagan tentang penggunaan aplikasi paling berbahaya
Untuk membuat gambar visualisasi, Anda perlu masuk ke menu Membayangkan, dan pilih gambar yang diinginkan yang ingin kita buat! Ayo berangkat secara berurutan.
Tabel untuk menghitung jumlah total kayu gelondongan menurut bilahnya
Untuk melakukan ini, pilih gambar Data Tabel, kita masuk ke peralatan untuk membuat grafik, di sebelah kiri adalah pengaturan gambar, di sebelah kanan adalah tampilannya di pengaturan saat ini. Pertama saya akan mendemonstrasikan seperti apa tabel yang sudah jadi, setelah itu kita akan melalui pengaturannya, gambarnya bisa diklik:
Pengaturan gambar lebih detail, gambar dapat diklik:
Mari kita lihat pengaturannya.
Awalnya dikonfigurasi metrik, ini adalah nilai yang akan digunakan untuk menggabungkan semua bidang. Metrik dihitung berdasarkan nilai yang diekstraksi dengan satu atau lain cara dari dokumen. Nilai biasanya diambil dari bidang dokumen, tetapi juga dapat dibuat menggunakan skrip. Dalam hal ini kami memasukkan Agregasi: Hitung (jumlah total log).
Setelah ini, kami membagi tabel menjadi segmen (bidang) yang akan digunakan untuk menghitung metrik. Fungsi ini dilakukan oleh pengaturan Bucket, yang terdiri dari 2 opsi pengaturan:
- membagi baris - menambahkan kolom dan kemudian membagi tabel menjadi beberapa baris
- tabel terpisah - pembagian menjadi beberapa tabel berdasarkan nilai bidang tertentu.
В Ember Anda dapat menambahkan beberapa divisi untuk membuat beberapa kolom atau tabel, batasan di sini cukup logis. Dalam agregasi, Anda dapat memilih metode mana yang akan digunakan untuk membagi menjadi beberapa segmen: rentang ipv4, rentang tanggal, Ketentuan, dll. Pilihan yang paling menarik adalah tepatnya Syarat и Ketentuan Penting, pembagian menjadi beberapa segmen dilakukan sesuai dengan nilai bidang indeks tertentu, perbedaan di antara keduanya terletak pada jumlah nilai yang dikembalikan, dan tampilannya. Karena kami ingin membagi tabel berdasarkan nama bilahnya, kami memilih bidang - produk.kata kunci dan atur ukurannya menjadi 25 nilai yang dikembalikan.
Alih-alih string, elasticsearch menggunakan 2 tipe data - teks и kata kunci. Jika Anda ingin melakukan pencarian teks lengkap, Anda harus menggunakan tipe teks, hal yang sangat berguna saat menulis layanan pencarian Anda, misalnya, mencari penyebutan sebuah kata dalam nilai bidang tertentu (teks). Jika Anda hanya menginginkan pencocokan tepat, sebaiknya gunakan jenis kata kunci. Selain itu, tipe data kata kunci harus digunakan untuk bidang yang memerlukan pengurutan atau agregasi, yaitu dalam kasus kami.
Hasilnya, Elasticsearch menghitung jumlah log selama waktu tertentu, yang diagregasi berdasarkan nilai di bidang produk. Di Label Kustom, kami menetapkan nama kolom yang akan ditampilkan dalam tabel, mengatur waktu pengumpulan log, memulai rendering - Kibana mengirimkan permintaan ke elasticsearch, menunggu respons, dan kemudian memvisualisasikan data yang diterima. Meja sudah siap!
Diagram lingkaran untuk peristiwa Pencegahan Ancaman
Yang menarik adalah informasi tentang berapa banyak reaksi yang ada dalam persentase menemukan и mencegah tentang insiden keamanan informasi dalam kebijakan keamanan saat ini. Diagram lingkaran berfungsi dengan baik untuk situasi ini. Pilih di Visualisasikan - Pie chart. Juga dalam metrik kami menetapkan agregasi berdasarkan jumlah log. Dalam ember kami memasukkan Terms => action.
Segalanya tampak benar, tetapi hasilnya menunjukkan nilai untuk semua bilah; Anda hanya perlu memfilter berdasarkan bilah yang bekerja dalam kerangka Pencegahan Ancaman. Oleh karena itu, kami pasti mengaturnya menyaring untuk mencari informasi hanya pada bilah yang bertanggung jawab atas insiden keamanan informasi - produk: (“Anti-Bot” ATAU “Anti-Virus Baru” ATAU “Pelindung DDoS” ATAU “SmartDefense” ATAU “Emulasi Ancaman”). Gambar dapat diklik:
Dan pengaturan lebih detailnya, gambarnya bisa diklik:
Tabel Acara IPS
Berikutnya, yang sangat penting dari sudut pandang keamanan informasi adalah melihat dan memeriksa kejadian pada blade. IPS и Emulasi AncamanBahwa tidak diblokir kebijakan saat ini, untuk selanjutnya mengubah tanda tangan untuk mencegah, atau jika lalu lintasnya valid, jangan periksa tanda tangan. Kita membuat tabel dengan cara yang sama seperti contoh pertama, yang membedakan hanyalah kita membuat beberapa kolom: proteksi.kata kunci, tingkat keparahan.kata kunci, kata kunci produk, nama asal.kata kunci. Pastikan untuk menyiapkan filter untuk mencari informasi hanya pada blade yang bertanggung jawab atas insiden keamanan informasi - produk: (“SmartDefense” ATAU “Threat Emulation”). Gambar dapat diklik:
Pengaturan lebih detail, gambar dapat diklik:
Grafik untuk situs yang paling populer dikunjungi
Untuk melakukan ini, buat gambar - Bilah Vertikal. Kami juga menggunakan jumlah (sumbu Y) sebagai metrik, dan pada sumbu X kami akan menggunakan nama situs yang dikunjungi sebagai nilai – “appi_name”. Ada sedikit trik di sini: jika Anda menjalankan pengaturan di versi saat ini, maka semua situs akan ditandai pada grafik dengan warna yang sama, untuk membuatnya multi-warna kami menggunakan pengaturan tambahan - "split series", yang memungkinkan Anda membagi kolom yang sudah jadi menjadi beberapa nilai lagi, tergantung pada bidang yang dipilih tentunya! Pembagian ini dapat digunakan sebagai satu kolom multi-warna menurut nilai dalam mode bertumpuk, atau dalam mode normal untuk membuat beberapa kolom menurut nilai tertentu pada sumbu X. Dalam hal ini, di sini kita menggunakan nilainya sama seperti pada sumbu X, ini memungkinkan untuk membuat semua kolom berwarna-warni; kolom tersebut akan ditandai dengan warna di kanan atas. Di filter yang kami atur - produk: "Pemfilteran URL" untuk melihat informasi hanya di situs yang dikunjungi, gambar dapat diklik:
Pengaturan:
Diagram penggunaan aplikasi paling berbahaya
Untuk melakukan ini, buatlah gambar - Bilah Vertikal. Kami juga menggunakan hitungan (sumbu Y) sebagai metrik, dan pada sumbu X kami akan menggunakan nama aplikasi yang digunakan - “appi_name” sebagai nilai. Yang paling penting adalah pengaturan filter - produk: “Kontrol Aplikasi” DAN risiko_aplikasi: (4 ATAU 5 ATAU 3 ) DAN tindakan: “terima”. Kami memfilter log berdasarkan bilah kontrol Aplikasi, hanya mengambil situs yang dikategorikan sebagai situs berisiko Kritis, Tinggi, Sedang dan hanya jika akses ke situs tersebut diizinkan. Gambar dapat diklik:
Pengaturan, dapat diklik:
Dasbor
Melihat dan membuat dasbor ada di item menu terpisah - Menu Utama. Semuanya sederhana di sini, dasbor baru dibuat, visualisasi ditambahkan ke dalamnya, ditempatkan di tempatnya dan hanya itu!
Kami membuat dashboard dimana Anda dapat memahami situasi dasar keadaan keamanan informasi dalam suatu organisasi, tentunya hanya pada level Check Point, gambarnya dapat diklik:
Berdasarkan grafik ini, kita dapat memahami tanda tangan penting mana yang tidak diblokir di firewall, ke mana pengguna pergi, dan aplikasi paling berbahaya apa yang mereka gunakan.
Kesimpulan
Kami melihat kemampuan visualisasi dasar di Kibana dan membuat dasbor, tetapi ini hanya sebagian kecil. Selanjutnya dalam kursus ini kita akan secara terpisah melihat pengaturan peta, bekerja dengan sistem elasticsearch, mengenal permintaan API, otomatisasi, dan banyak lagi!
Jadi pantau terus (, , , ), .
Sumber: www.habr.com