Í tengslum við lok sölu í Rússlandi á Splunk skógarhöggs- og greiningarkerfinu vaknaði spurningin: hvað getur komið í stað þessarar lausnar? Eftir að hafa eytt tíma í að kynna mér mismunandi lausnir ákvað ég lausn fyrir alvöru mann - "ELK stafla". Þetta kerfi tekur tíma að setja upp en fyrir vikið er hægt að fá mjög öflugt kerfi til að greina stöðuna og bregðast skjótt við upplýsingaöryggisatvikum í stofnuninni. Í þessari greinaröð munum við skoða grunn (eða kannski ekki) hæfileika ELK stafla, íhuga hvernig þú getur flokkað annála, hvernig á að búa til línurit og mælaborð og hvaða áhugaverðar aðgerðir er hægt að gera með því að nota dæmið um logs frá Check Point eldveggnum eða OpenVas öryggisskannanum. Til að byrja með skulum við skoða hvað það er - ELK staflan, og hvaða íhlutum hann samanstendur af.
"ELK stafla" er skammstöfun fyrir þrjú opinn hugbúnaður: Elasticsearch, Logstash и kibana. Hannað af Elastic ásamt öllum tengdum verkefnum. Elasticsearch er kjarninn í öllu kerfinu sem sameinar aðgerðir gagnagrunns, leitar og greiningarkerfis. Logstash er gagnavinnsluleiðsla á netþjóni sem tekur við gögnum frá mörgum aðilum samtímis, greinir annálinn og sendir þau síðan í Elasticsearch gagnagrunn. Kibana gerir notendum kleift að sjá gögn með því að nota töflur og línurit í Elasticsearch. Þú getur líka stjórnað gagnagrunninum í gegnum Kibana. Næst munum við skoða hvert kerfi fyrir sig nánar.
Logstash
Logstash er tól til að vinna úr atburðum úr ýmsum áttum, þar sem þú getur valið reiti og gildi þeirra í skilaboðum, og þú getur líka stillt gagnasíun og breytingar. Eftir allar meðhöndlun vísar Logstash atburðum í lokagagnageymsluna. Tækið er aðeins stillt í gegnum stillingarskrár.
Dæmigerð logstash uppsetning er skrá(r) sem samanstanda af nokkrum komandi upplýsingastraumum (inntak), nokkrum síum fyrir þessar upplýsingar (síu) og nokkrum útstreymum (úttak). Það lítur út eins og ein eða fleiri stillingarskrár, sem í einföldustu útgáfunni (sem gerir alls ekki neitt) lítur svona út:
input {
}
filter {
}
output {
}
Í INPUT stillum við til hvaða tengi logs verða sendar og í gegnum hvaða samskiptareglur, eða úr hvaða möppu á að lesa nýjar eða stöðugt uppfærðar skrár. Í FILTER stillum við log þáttaranum: þátta reiti, breyta gildum, bæta við nýjum breytum eða eyða þeim. FILTER er reitur til að stjórna skilaboðunum sem koma til Logstash með fullt af klippivalkostum. Í úttakinu stillum við hvert við sendum nú þegar þáttaðan annál, ef það er elasticsearch er JSON beiðni send þar sem reitir með gildum eru sendir, eða sem hluti af kembiforritinu er hægt að senda hana út í stdout eða skrifa í skrá.
ElasticSearch
Upphaflega er Elasticsearch lausn fyrir heildartextaleit, en með viðbótarþægindum eins og auðveldri stærðarstærð, afritun og öðru, sem gerði vöruna mjög þægilega og góða lausn fyrir mikið álagsverkefni með miklu gagnamagni. Elasticsearch er ótengt (NoSQL) JSON skjalaverslun og leitarvél byggð á Lucene fulltextaleit. Vélbúnaðarvettvangurinn er Java Virtual Machine, þannig að kerfið þarf mikið magn af örgjörva og vinnsluminni til að starfa.
Sérhver skilaboð sem berast, annaðhvort með Logstash eða með því að nota fyrirspurnar-API, eru skráð sem „skjal“ - hliðstætt töflu í tengsla-SQL. Öll skjöl eru geymd í vísitölu - hliðstæðu gagnagrunns í SQL.
Dæmi um skjal í gagnagrunninum:
{
"_index": "checkpoint-2019.10.10",
"_type": "_doc",
"_id": "yvNZcWwBygXz5W1aycBy",
"_version": 1,
"_score": null,
"_source": {
"layer_uuid": [
"dae7f01c-4c98-4c3a-a643-bfbb8fcf40f0",
"dbee3718-cf2f-4de0-8681-529cb75be9a6"
],
"outzone": "External",
"layer_name": [
"TSS-Standard Security",
"TSS-Standard Application"
],
"time": "1565269565",
"dst": "103.5.198.210",
"parent_rule": "0",
"host": "10.10.10.250",
"ifname": "eth6",
]
}
Öll vinna með gagnagrunninn byggist á JSON beiðnum með því að nota REST API, sem annað hvort framleiðir skjöl eftir vísitölu eða einhverri tölfræði á sniðinu: spurning - svar. Til að sjá öll svör við beiðnum fyrir sjón var Kibana skrifað, sem er vefþjónusta.
kibana
Kibana gerir þér kleift að leita, sækja gögn og spyrjast fyrir um tölfræði úr elasticsearch gagnagrunninum, en mörg falleg línurit og mælaborð eru byggð út frá svörunum. Kerfið hefur einnig elasticsearch gagnagrunnsstjórnunarvirkni; í síðari greinum munum við skoða þessa þjónustu nánar. Nú skulum við sýna dæmi um mælaborð fyrir Check Point eldvegg og OpenVas varnarleysisskanna sem hægt er að smíða.
Dæmi um mælaborð fyrir Check Point, myndin er smellanleg:
Dæmi um mælaborð fyrir OpenVas, myndin er smellanleg:
Ályktun
Við skoðuðum hvað það samanstendur af ELK stafla, við kynntumst aðeins helstu vörurnar, síðar á námskeiðinu munum við sérstaklega íhuga að skrifa Logstash stillingarskrá, setja upp mælaborð á Kibana, kynna okkur API beiðnir, sjálfvirkni og margt fleira!
Svo fylgstu með, , , ), .
Heimild: www.habr.com