Penglihatan Total TS. Pengumpulan Peristiwa, Analisis Insiden, dan Alat Otomasi Respons Ancaman

Selamat siang, pada artikel sebelumnya kita telah berkenalan dengan karya ELK Stack. Sekarang mari kita bahas kemungkinan-kemungkinan yang dapat diwujudkan oleh seorang spesialis keamanan informasi dalam menggunakan sistem ini. Log apa yang bisa dan harus dimasukkan ke dalam elasticsearch. Mari kita pertimbangkan statistik apa yang dapat diperoleh dengan menyiapkan dasbor dan apakah ada keuntungan di dalamnya. Bagaimana Anda bisa mengotomatisasi proses keamanan informasi menggunakan tumpukan ELK. Mari kita buat arsitektur sistemnya. Secara total, implementasi semua fungsi adalah tugas yang sangat besar dan sulit, sehingga solusinya diberi nama terpisah - TS Total Sight.

Saat ini, solusi yang mengkonsolidasikan dan menganalisis insiden keamanan informasi di satu tempat logis dengan cepat mendapatkan popularitas; sebagai hasilnya, spesialis menerima statistik dan garis depan tindakan untuk meningkatkan keadaan keamanan informasi dalam organisasi. Kami menetapkan sendiri tugas ini dalam menggunakan tumpukan ELK, dan sebagai hasilnya kami membagi fungsi utama menjadi 4 bagian:

1. Statistik dan visualisasi;
2. Deteksi insiden keamanan informasi;
3. Prioritas insiden;
4. Otomatisasi proses keamanan informasi.

Selanjutnya, kita akan melihat lebih dekat satu per satu.

Deteksi insiden keamanan informasi

Tugas utama menggunakan elasticsearch dalam kasus kami adalah mengumpulkan insiden keamanan informasi saja. Anda dapat mengumpulkan insiden keamanan informasi dari sarana keamanan apa pun jika sarana tersebut mendukung setidaknya beberapa mode pengiriman log, standarnya adalah penyimpanan syslog atau scp ke file.

Anda dapat memberikan contoh standar alat keamanan dan banyak lagi, dari mana Anda harus mengonfigurasi penerusan log:

1. Alat NGFW apa pun (Check Point, Fortinet);
2. Pemindai kerentanan apa pun (PT Scanner, OpenVas);
3. Firewall Aplikasi Web (PT AF);
4. penganalisis netflow (Flowmon, Cisco StealthWatch);
5. server IKLAN.

Setelah Anda mengonfigurasi pengiriman log dan file konfigurasi di Logstash, Anda dapat menghubungkan dan membandingkan dengan insiden yang berasal dari berbagai alat keamanan. Untuk melakukan ini, akan lebih mudah menggunakan indeks di mana kami akan menyimpan semua insiden yang terkait dengan perangkat tertentu. Dengan kata lain, satu indeks adalah semua insiden pada satu perangkat. Distribusi ini dapat dilaksanakan dengan 2 cara.

Opsi pertama Ini untuk mengkonfigurasi konfigurasi Logstash. Untuk melakukan ini, Anda perlu menduplikasi log untuk bidang tertentu ke dalam unit terpisah dengan tipe berbeda. Dan kemudian gunakan tipe ini di masa depan. Dalam contoh ini, log diklon dari bilah IPS firewall Check Point.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Untuk menyimpan peristiwa tersebut ke dalam indeks terpisah tergantung pada bidang log, misalnya, seperti tanda tangan serangan IP Tujuan. Anda dapat menggunakan konstruksi serupa:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Dan dengan cara ini, Anda dapat menyimpan semua insiden ke dalam indeks, misalnya berdasarkan alamat IP, atau nama domain mesin. Dalam hal ini, kami menyimpannya ke indeks "pertahanan cerdas-%{dst}", berdasarkan alamat IP tujuan tanda tangan.

Namun, produk yang berbeda akan memiliki bidang log yang berbeda, yang akan menyebabkan kekacauan dan konsumsi memori yang tidak perlu. Dan di sini Anda harus hati-hati mengganti bidang dalam pengaturan konfigurasi Logstash dengan yang telah dirancang sebelumnya, yang akan sama untuk semua jenis insiden, yang juga merupakan tugas yang sulit.

Opsi implementasi kedua - ini menulis skrip atau proses yang akan mengakses database elastis secara real time, mengeluarkan insiden yang diperlukan, dan menyimpannya ke dalam indeks baru, ini adalah tugas yang sulit, tetapi memungkinkan Anda bekerja dengan log sesuka Anda, dan berkorelasi langsung dengan insiden dari peralatan keamanan lainnya. Opsi ini memungkinkan Anda mengonfigurasi pekerjaan dengan log agar paling berguna untuk kasus Anda dengan fleksibilitas maksimum, tetapi di sini muncul masalah dalam menemukan spesialis yang dapat menerapkannya.

Dan tentu saja, pertanyaan yang paling penting, dan apa yang dapat dikorelasikan dan dideteksi??

Mungkin ada beberapa opsi di sini, dan itu tergantung pada alat keamanan apa yang digunakan di infrastruktur Anda, beberapa contohnya:

1. Opsi yang paling jelas dan, dari sudut pandang saya, paling menarik bagi mereka yang memiliki solusi NGFW dan pemindai kerentanan. Ini adalah perbandingan log IPS dan hasil pemindaian kerentanan. Jika serangan terdeteksi (tidak diblokir) oleh sistem IPS, dan kerentanan ini tidak ditutup pada mesin akhir berdasarkan hasil pemindaian, maka perlu untuk melaporkannya, karena ada kemungkinan besar bahwa kerentanan tersebut telah dieksploitasi. .
2. Banyak upaya login dari satu mesin ke tempat berbeda mungkin melambangkan aktivitas jahat.
3. Pengguna mengunduh file virus karena mengunjungi sejumlah besar situs yang berpotensi berbahaya.

Statistik dan visualisasi

Hal yang paling jelas dan dapat dimengerti yang memerlukan ELK Stack adalah penyimpanan dan visualisasi log, di artikel sebelumnya telah ditunjukkan bagaimana Anda dapat membuat log dari berbagai perangkat menggunakan Logstash. Setelah log masuk ke Elasticsearch, Anda dapat mengatur dasbor, yang juga disebutkan di artikel sebelumnya, dengan informasi dan statistik yang Anda perlukan melalui visualisasi.

Примеры:

1. Dasbor untuk peristiwa Pencegahan Ancaman dengan peristiwa paling kritis. Di sini Anda dapat mengetahui tanda tangan IPS mana yang terdeteksi dan dari mana asalnya secara geografis.

   

2. Dasbor tentang penggunaan aplikasi paling kritis yang informasinya dapat bocor.

   

3. Pindai hasil dari pemindai keamanan apa pun.

   

4. Log Direktori Aktif menurut pengguna.

   

5. Dasbor koneksi VPN.

Dalam hal ini, jika Anda mengonfigurasi dasbor untuk diperbarui setiap beberapa detik, Anda bisa mendapatkan sistem yang cukup nyaman untuk memantau peristiwa secara real-time, yang kemudian dapat digunakan untuk respons tercepat terhadap insiden keamanan informasi jika Anda menempatkan dasbor di tempat terpisah. layar.

Prioritas insiden

Dalam kondisi infrastruktur yang besar, jumlah insiden mungkin melebihi skala, dan para ahli tidak akan punya waktu untuk menangani semua insiden tepat waktu. Dalam hal ini, pertama-tama perlu untuk menyoroti hanya insiden-insiden yang menimbulkan ancaman besar. Oleh karena itu, sistem harus memprioritaskan insiden berdasarkan tingkat keparahannya terkait infrastruktur Anda. Dianjurkan untuk mengatur peringatan email atau telegram untuk peristiwa ini. Prioritas dapat diimplementasikan menggunakan alat Kibana standar dengan menyiapkan visualisasi. Namun dengan notifikasi lebih sulit; secara default, fungsi ini tidak disertakan dalam versi dasar Elasticsearch, hanya di versi berbayar. Oleh karena itu, belilah versi berbayar, atau, sekali lagi, tulis sendiri prosesnya yang akan memberi tahu spesialis secara real time melalui email atau telegram.

Otomatisasi proses keamanan informasi

Dan salah satu bagian yang paling menarik adalah otomatisasi tindakan untuk insiden keamanan informasi. Sebelumnya, kami mengimplementasikan fungsi ini untuk Splunk, Anda dapat membaca lebih lanjut di sini Artikel. Gagasan utamanya adalah bahwa kebijakan IPS tidak pernah diuji atau dioptimalkan, meskipun dalam beberapa kasus kebijakan ini merupakan bagian penting dari proses keamanan informasi. Misalnya, setahun setelah penerapan NGFW dan tidak adanya tindakan untuk mengoptimalkan IPS, Anda akan mengumpulkan sejumlah besar tanda tangan dengan tindakan Deteksi, yang tidak akan diblokir, yang sangat mengurangi kondisi keamanan informasi dalam organisasi. Berikut beberapa contoh hal yang dapat diotomatisasi:

1. Transfer tanda tangan IPS dari Deteksi ke Pencegahan. Jika Prevent tidak berfungsi untuk tanda tangan kritis, maka hal ini tidak beres dan merupakan kesenjangan serius dalam sistem perlindungan. Kami mengubah tindakan dalam kebijakan menjadi tanda tangan tersebut. Fungsionalitas ini dapat diimplementasikan jika perangkat NGFW memiliki fungsionalitas REST API. Ini hanya mungkin jika Anda memiliki keterampilan pemrograman; Anda perlu mengekstrak informasi yang diperlukan dari Elastcisearch dan membuat permintaan API ke server manajemen NGFW.
2. Jika beberapa tanda tangan terdeteksi atau diblokir dalam lalu lintas jaringan dari satu alamat IP, maka masuk akal untuk memblokir alamat IP ini untuk sementara waktu dalam kebijakan Firewall. Implementasinya juga terdiri dari penggunaan REST API.
3. Jalankan pemindaian host dengan pemindai kerentanan, jika host ini memiliki banyak tanda tangan IPS atau alat keamanan lainnya; jika itu OpenVas, maka Anda dapat menulis skrip yang akan terhubung melalui ssh ke pemindai keamanan dan menjalankan pemindaian.

TS Penglihatan Total

Secara total, penerapan seluruh fungsi adalah tugas yang sangat besar dan sulit. Tanpa keahlian pemrograman, Anda dapat mengonfigurasi fungsionalitas minimum, yang mungkin cukup untuk digunakan dalam produksi. Namun jika Anda tertarik dengan semua fungsinya, Anda bisa memperhatikan TS Total Sight. Anda dapat menemukan rincian lebih lanjut di kami Online. Hasilnya, keseluruhan skema operasi dan arsitektur akan terlihat seperti ini:

Kesimpulan

Kami melihat apa yang bisa diimplementasikan menggunakan ELK Stack. Pada artikel berikutnya, kami akan mempertimbangkan secara terpisah fungsi TS Total Sight secara lebih rinci!

Jadi pantau terus (Telegram, Facebook, VK, Blog Solusi TS), Yandex Zen.

Sumber: www.habr.com