ProHoster > Blog > Stjórnsýsla > 3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

Í fyrri greinum kynntumst við elgstaflanum aðeins og settum upp Logstash stillingarskrána fyrir logþáttarann. Í þessari grein förum við yfir í það mikilvægasta frá greiningarlegu sjónarhorni, það sem þú vilt sjá frá kerfi og til hvers allt var búið til - þetta eru línurit og töflur sameinuð í mælaborð. Í dag munum við skoða sjónræna kerfið nánar kibana, við skoðum hvernig á að búa til línurit og töflur, og þar af leiðandi munum við byggja einfalt mælaborð byggt á annálum frá Check Point eldveggnum.

Fyrsta skrefið í að vinna með kibana er að búa til vísitölu mynstur, rökrétt, þetta er grunnur vísitölu sameinuð samkvæmt ákveðinni meginreglu. Auðvitað er þetta eingöngu stilling til að gera Kibana auðveldara að leita að upplýsingum í öllum vísitölum á sama tíma. Það er stillt með því að passa við streng, segðu „checkpoint-*“ og nafn vísitölunnar. Til dæmis myndi "checkpoint-2019.12.05" passa við mynstrið, en einfaldlega "checkpoint" er ekki lengur til. Það er þess virði að nefna sérstaklega að í leit er ómögulegt að leita að upplýsingum um mismunandi vísitölumynstur á sama tíma; aðeins síðar í síðari greinum munum við sjá að API beiðnir eru gerðar annað hvort með nafni vísitölunnar, eða bara með einum línu mynstrsins, myndin er smellanleg:

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

Eftir þetta athugum við í Uppgötvunarvalmyndinni að allir annálar séu skráðir og réttur flokkari sé stilltur. Ef einhver ósamræmi finnst, til dæmis að breyta gagnategundinni úr streng í heiltölu, þarftu að breyta Logstash stillingarskránni, þar af leiðandi verða nýir annálar skrifaðir rétt. Til þess að gömlu annálarnir geti tekið það form sem óskað er eftir fyrir breytinguna hjálpar aðeins endurskráningarferlið; í síðari greinum verður fjallað um þessa aðgerð nánar. Gætum þess að allt sé í lagi, myndin er smellanleg:

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

Logarnir eru á sínum stað, sem þýðir að við getum byrjað að smíða mælaborð. Byggt á greiningu mælaborða úr öryggisvörum geturðu skilið stöðu upplýsingaöryggis í stofnun, séð greinilega veikleika í núverandi stefnu og þróað í kjölfarið leiðir til að útrýma þeim. Við skulum byggja lítið mælaborð með því að nota nokkur sjónræn verkfæri. Mælaborðið mun samanstanda af 5 hlutum:

  1. töflu til að reikna út heildarfjölda stokka eftir blöðum
  2. töflu um mikilvægar IPS undirskriftir
  3. kökurit fyrir ógnarvarnir
  4. töflu yfir vinsælustu vefsíðurnar
  5. töflu um notkun hættulegustu forritanna

Til að búa til sjónrænar myndir þarftu að fara í valmyndina Sýndu, og veldu þá mynd sem við viljum smíða! Förum í röð.

Tafla til að reikna út heildarfjölda stokka eftir blaði

Til að gera þetta skaltu velja mynd Gögn töflu, við föllum inn í búnaðinn til að búa til línurit, til vinstri eru stillingar myndarinnar, hægra megin er hvernig hún mun líta út í núverandi stillingum. Fyrst mun ég sýna hvernig fullbúna borðið mun líta út, eftir það förum við í gegnum stillingarnar, myndin er smellanleg:

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

Nánari stillingar myndarinnar, myndin er smellanleg:

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

Við skulum skoða stillingarnar.

Upphaflega stillt mæligildi, þetta er gildið sem allir reiti verða teknir saman með. Mælingar eru reiknaðar út frá gildum sem dregin eru út á einn eða annan hátt úr skjölum. Gildin eru venjulega dregin út úr akrar skjal, en einnig er hægt að búa til með forskriftum. Í þessu tilfelli leggjum við inn Söfnun: Telji (heildarfjöldi logs).

Eftir þetta skiptum við töflunni í hluta (reitir) sem mælikvarðinn verður reiknaður út frá. Þessi aðgerð er framkvæmd af Buckets stillingunni, sem aftur samanstendur af 2 stillingum:

  1. skipta röðum - bæta við dálkum og skipta töflunni síðan í raðir
  2. skipt töflu - skipting í nokkrar töflur byggðar á gildum tiltekins reits.

В fötunum þú getur bætt við nokkrum deildum til að búa til nokkra dálka eða töflur, takmarkanirnar hér eru frekar rökréttar. Í samantekt geturðu valið hvaða aðferð verður notuð til að skipta í hluta: ipv4 svið, dagsetningarsvið, skilmála osfrv. Áhugaverðasta valið er einmitt Skilmálar и Mikilvægir skilmálar, skipting í hluta fer fram í samræmi við gildi tiltekins vísitölusviðs, munurinn á milli þeirra liggur í fjölda skilaðra gilda og birtingu þeirra. Þar sem við viljum skipta töflunni með nafni blaðanna veljum við reitinn - vara.leitarorð og stilltu stærðina á 25 skilað gildi.

Í stað strengja notar elasticsearch 2 gagnagerðir - texta и leitarorð. Ef þú vilt framkvæma heildartextaleit ættirðu að nota textagerðina, sem er mjög þægilegt þegar þú skrifar leitarþjónustuna þína, til dæmis þegar þú ert að leita að orði í tilteknu reitgildi (texti). Ef þú vilt aðeins nákvæma samsvörun ættirðu að nota leitarorðategundina. Einnig ætti að nota leitarorðið gagnategund fyrir reiti sem krefjast flokkunar eða samsöfnunar, það er í okkar tilviki.

Fyrir vikið telur Elasticsearch fjölda annála í ákveðinn tíma, samanlagt með gildinu í vörusviðinu. Í Custom Label stillum við nafn dálksins sem birtist í töflunni, stillum tímann sem við söfnum annálum, byrjum að birta - Kibana sendir beiðni til elasticsearch, bíður eftir svari og sér síðan móttekin gögn. Borðið er tilbúið!

Bökurit fyrir ógnarvarnir atburði

Sérstaka athygli vekur upplýsingar um hversu mörg viðbrögð eru í prósentum uppgötva и koma í veg fyrir um upplýsingaöryggisatvik í gildandi öryggisstefnu. Bökurit virkar vel fyrir þessar aðstæður. Veldu í Visualize - Kökurit. Einnig í mælikvarðanum stillum við samansafn eftir fjölda annála. Í fötu setjum við Skilmála => aðgerð.

Allt virðist vera rétt, en niðurstaðan sýnir gildi fyrir öll blöð; þú þarft aðeins að sía eftir þeim blöðum sem vinna innan ramma ógnarvarna. Þess vegna settum við það örugglega upp sía í því skyni að leita að upplýsingum eingöngu á blöðum sem bera ábyrgð á upplýsingaöryggisatvikum - vara: ("Anti-Bot" EÐA "New Anti-Virus" EÐA "DDoS Protector" EÐA "SmartDefense" EÐA "Threat Emulation"). Myndin er smellanleg:

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

Og ítarlegri stillingar, myndin er smellanleg:

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

IPS viðburðatöflu

Næst er mjög mikilvægt frá upplýsingaöryggissjónarmiði að skoða og athuga atburði á blaðinu. IPS и Threat EmulationÞað eru ekki læst núverandi stefnu, til að annað hvort breyta undirskriftinni til að koma í veg fyrir, eða ef umferðin er gild, ekki athuga undirskriftina. Við búum til töfluna á sama hátt og í fyrsta dæminu, með þeim eina mun að við búum til nokkra dálka: protects.keyword, severity.keyword, product.keyword, originsicname.keyword. Vertu viss um að setja upp síu til að leita að upplýsingum eingöngu á blöðum sem bera ábyrgð á upplýsingaöryggisatvikum - vara: ("SmartDefense" EÐA "Threat Emulation"). Myndin er smellanleg:

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

Nánari stillingar, myndin er smellanleg:

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

Myndrit fyrir vinsælustu síðurnar sem heimsóttar eru

Til að gera þetta skaltu búa til mynd - Lóðrétt bar. Við notum einnig fjölda (Y-ás) sem mæligildi og á X-ás munum við nota heiti heimsóttra vefsvæða sem gildi – „appi_name“. Það er smá bragð hér: ef þú keyrir stillingarnar í núverandi útgáfu, þá verða allar síður merktar á línuritinu með sama lit, til að gera þær marglitar notum við viðbótarstillingu - "klofin röð", sem gerir þér kleift að skipta tilbúnum dálki í nokkur fleiri gildi, allt eftir völdu sviði auðvitað! Þessa skiptingu er annaðhvort hægt að nota sem einn marglitan dálk samkvæmt gildum í staflaðri stillingu, eða í venjulegri stillingu til að búa til nokkra dálka samkvæmt ákveðnu gildi á X-ásnum. Í þessu tilfelli notum við hér sama gildi og á X-ásnum, þetta gerir það mögulegt að gera alla dálka marglita; þeir verða auðkenndir með litum efst til hægri. Í síunni sem við setjum - vara: „URL Filtering“ til að sjá upplýsingar aðeins á heimsóttum síðum er myndin smellanleg:

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

Stillingar:

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

Skýringarmynd um notkun hættulegustu forritanna

Til að gera þetta, búðu til mynd - Lóðrétt bar. Við notum einnig fjölda (Y-ás) sem mæligildi og á X-ásnum munum við nota heiti forritanna sem notuð eru - "appi_name" sem gildi. Það mikilvægasta er síustillingin - vara: „Application Control“ OG app_risk: (4 EÐA 5 EÐA 3 ) OG aðgerð: „samþykkja“. Við síum annálana eftir forritastjórnunarblaðinu, tökum aðeins þær síður sem eru flokkaðar sem mikilvægar, miklar, miðlungsáhættusíður og aðeins ef aðgangur að þessum vefsvæðum er leyfður. Myndin er smellanleg:

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

Stillingar, smellanlegar:

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

Mælaborð

Skoða og búa til mælaborð er í sérstöku valmyndaratriði - Mælaborð. Allt er einfalt hér, nýtt mælaborð er búið til, sjónmynd er bætt við það, sett á sinn stað og það er allt!

Við erum að búa til mælaborð þar sem þú getur skilið grunnstöðu stöðu upplýsingaöryggis í fyrirtæki, auðvitað, aðeins á Check Point stigi, myndin er smellanleg:

3. Teygjanlegur stafla: greining á öryggisskrám. Mælaborð

Byggt á þessum línuritum getum við skilið hvaða mikilvægar undirskriftir eru ekki læstar á eldveggnum, hvert notendur fara og hvaða hættulegustu forrit þeir nota.

Ályktun

Við skoðuðum getu grunnsjónunar í Kibana og byggðum mælaborð, en þetta er aðeins lítill hluti. Nánar á námskeiðinu munum við sérstaklega skoða uppsetningu korta, vinna með elasticsearch kerfið, kynnast API beiðnum, sjálfvirkni og margt fleira!

Svo fylgstu meðTelegram, Facebook, VK, TS lausnarblogg), Yandex Zen.

Heimild: www.habr.com

Bæta við athugasemd