Góðan daginn, í fyrri greinum kynntumst við starfi ELK Stack. Og nú verður fjallað um þá möguleika sem upplýsingaöryggissérfræðingur getur gert sér grein fyrir í notkun þessara kerfa. Hvaða logs má og ætti að bæta við elasticsearch. Skoðum hvaða tölfræði er hægt að fá með því að setja upp mælaborð og hvort hagnaður sé af því. Hvernig get ég innleitt sjálfvirkni upplýsingaöryggisferla með því að nota ELK stafla. Við skulum búa til arkitektúr kerfisins. Í stuttu máli er innleiðing allrar virkni mjög stórt og erfitt verkefni, þannig að lausnin fékk sérstakt nafn - TS Total Sight.
Um þessar mundir njóta lausnir sem sameina og greina upplýsingaöryggisatvik á einum rökréttum stað vinsældum, þar af leiðandi fær sérfræðingur tölfræði og aðgerðasvið til að bæta stöðu upplýsingaöryggis í stofnun. Við settum okkur slíkt verkefni með því að nota ELK stafla, þar af leiðandi skiluðum við helstu virkni í 4 hlutum:
- Tölfræði og sjónræn;
- IS atviksgreining;
- Forgangsröðun atvika;
- Sjálfvirkni upplýsingaöryggisferla.
Við skulum skoða hvern og einn nánar.
Uppgötvun upplýsingaöryggisatvika
Meginverkefnið við notkun elasticsearch í okkar tilviki er að safna eingöngu upplýsingaöryggisatvikum. Þú getur safnað upplýsingaöryggisatvikum frá hvaða verndaraðferð sem er ef þau styðja að minnsta kosti nokkrar annálaflutningsstillingar, staðalbúnaðurinn er syslog eða scp vistun í skrá.
Þú getur gefið stöðluð dæmi um verndarverkfæri og ekki aðeins þaðan sem þú ættir að stilla áframsendingu annála:
- Allir NGFW sjóðir (Check Point, Fortinet);
- Allir varnarleysisskannarar (PT Scanner, OpenVas);
- Web Application Firewall (PTAF);
- Netflow greiningartæki (Flowmon, Cisco StealthWatch);
- AD miðlara.
Þegar þú hefur sett upp Logstash til að senda annála og stillingarskrár geturðu tengt og borið saman við atvik sem koma frá ýmsum öryggisverkfærum. Til að gera þetta er þægilegt að nota vísitölur, þar sem við munum geyma öll atvik sem tengjast tilteknu tæki. Með öðrum orðum, ein vísitala er öll atvik fyrir eitt tæki. Hægt er að útfæra þessa dreifingu á tvo vegu.
Fyrsti valkosturinn er að stilla Logstash config. Til að gera þetta þarftu að afrita annál fyrir ákveðna reiti í sérstaka einingu með annarri gerð. Og notaðu síðan þessa tegund síðar. Dæmið klónar annála frá IPS blaðinu á Check Point eldveggnum.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
Til að geyma slíka atburði í sérstakri vísitölu eftir sviðum annálanna, til dæmis, eins og IP-áfangastað árásarundirskriftarinnar. Þú getur notað svipaða byggingu:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
Og á þennan hátt geturðu vistað öll atvik í vísitölunni, til dæmis eftir IP-tölu eða eftir léninu á vélinni. Í þessu tilviki geymum við í vísitölunni "smartdefense-%{dst}", með IP-tölu undirskriftaráfangastaðarins.
Hins vegar munu mismunandi vörur hafa mismunandi annálareit, sem veldur glundroða og sóun á minni. Og hér verður annaðhvort nauðsynlegt að skipta vandlega út reitunum í Logstash stillingum fyrir fyrirfram hannaða, sem verða eins fyrir allar tegundir atvika, sem er líka erfitt verkefni.
Annar útfærslumöguleiki - þetta er að skrifa handrit eða ferli sem mun fá aðgang að teygjugrunninum í rauntíma, draga út nauðsynleg atvik og vista þau í nýja skrá, þetta er erfitt verkefni, en það gerir þér kleift að vinna með annálana eins og þú vilt , og tengist beint atvikum frá öðrum öryggisverkfærum. Þessi valkostur gerir þér kleift að sérsníða vinnuna með annálum eins gagnlegt og mögulegt er fyrir þitt tilvik með hámarks sveigjanleika, en hér er vandamál að finna sérfræðing sem getur útfært þetta.
Og auðvitað mikilvægasta spurningin hvað er hægt að tengja og greina?
Það geta verið nokkrir möguleikar hér, og eftir því hvaða öryggisverkfæri eru notuð í innviðum þínum, nokkur dæmi:
- Augljósasti og frá mínu sjónarhorni áhugaverðasti kosturinn fyrir þá sem hafa NGFW lausn og varnarleysisskanna. Þetta er samanburður á IPS annálum og niðurstöðum úr varnarleysisskönnun. Ef árás fannst (ekki læst) af IPS kerfinu, og þessum varnarleysi er ekki lokað á lokavélinni miðað við niðurstöður skönnunarinnar, er nauðsynlegt að sprengja allar pípur, þar sem miklar líkur eru á að varnarleysið hafi verið hagnýtt.
- Margar innskráningartilraunir frá einni vél til mismunandi staða geta táknað illgjarn virkni.
- Niðurhal á vírusskrám af notanda vegna heimsóknar á gríðarlegan fjölda hugsanlega hættulegra vefsvæða.
Tölfræði og sjónræn
Augljósasti og skiljanlegasti tilgangur ELK stafla er að geyma og sjá annála, sýnt var hvernig hægt er að fá logs frá ýmsum tækjum með Logstash. Eftir að annálarnir fara í Elasticsearch er hægt að setja upp mælaborð, sem einnig voru nefnd , með þeim upplýsingum og tölfræði sem þú þarft í gegnum sjón.
Dæmi:
- Mælaborð yfir ógnarvarnir með mikilvægustu atburðunum. Hér getur þú endurspegla hvaða IPS undirskriftir greindust, hvaðan þær koma landfræðilega.
- Mælaborð um notkun mikilvægustu forritanna sem hægt er að leka upplýsingum um.
- Skannaðu niðurstöður úr hvaða öryggisskanna sem er.
- Skrár frá Active Directory eftir notendur.
- VPN tengingar mælaborð.
Í þessu tilfelli, ef þú setur upp mælaborð til að uppfæra á nokkurra sekúndna fresti, geturðu fengið nokkuð þægilegt kerfi til að fylgjast með atburðum í rauntíma, sem síðan er hægt að nota til að bregðast við upplýsingaöryggisatvikum eins fljótt og hægt er ef þú setur mælaborð á a. aðskildum skjá.
Forgangsröðun atvika
Við aðstæður með stórum innviðum getur fjöldi atvika farið úr mælikvarða og sérfræðingar munu ekki hafa tíma til að greina öll atvik í tíma. Í þessu tilviki er fyrst og fremst nauðsynlegt að taka aðeins fram þau atvik sem hafa mikla ógn í för með sér. Þess vegna verður kerfið að forgangsraða atvikum í samræmi við alvarleika þeirra í tengslum við innviði þína. Það er ráðlegt að setja upp tilkynningu í pósti eða símskeytum um þessa atburði. Forgangsröðun er hægt að innleiða með því að nota venjuleg Kibana verkfæri, með því að setja upp sjónræna mynd. En með tilkynningu er það erfiðara, sjálfgefið er þessi virkni ekki innifalin í grunnútgáfu Elasticsearch, aðeins í greiddri útgáfu. Þess vegna skaltu annaðhvort kaupa greidda útgáfu, eða aftur, skrifaðu sjálfur ferli sem mun láta sérfræðinga vita í rauntíma með pósti eða símskeyti.
Sjálfvirkni upplýsingaöryggisferla
Og einn af áhugaverðustu hlutunum er sjálfvirkni aðgerða vegna upplýsingaöryggisatvika. Áður innleiddum við þessa virkni fyrir Splunk, þú getur lesið aðeins meira í þessu . Grunnhugmyndin er sú að IPS stefnan er aldrei prófuð eða fínstillt, þó hún sé í sumum tilfellum ómissandi hluti af upplýsingaöryggisferlum. Til dæmis, ári eftir innleiðingu NGFW og fjarveru aðgerða til að hámarka IPS, munt þú safna miklum fjölda undirskrifta með Detect aðgerðinni sem verður ekki læst, sem dregur mjög úr stöðu upplýsingaöryggis í fyrirtækinu. Hér eru nokkur dæmi um það sem hægt er að gera sjálfvirkt:
- Að skipta um IPS undirskrift úr Detect í Prevent. Ef Prevent virkar ekki á mikilvægum undirskriftum þá er þetta ekki í lagi og alvarlegt brot á verndarkerfinu. Við breytum aðgerðinni í stefnunni í slíkar undirskriftir. Þessa virkni er hægt að útfæra ef NGFW tækið hefur REST API virkni. Þetta er aðeins mögulegt ef þú hefur forritunarkunnáttu, þú þarft að draga út nauðsynlegar upplýsingar úr Elastcisearch og framkvæma API beiðnir til NGFW stjórnunarþjónsins.
- Ef mikið af undirskriftum fannst eða var lokað í netumferð frá einni IP tölu, þá er skynsamlegt að loka fyrir þessa IP tölu í nokkurn tíma í eldveggsstefnunni. Innleiðingin felst einnig í því að nota REST API.
- Ræstu hýsilskönnun með varnarleysisskanni ef þessi gestgjafi hefur mikinn fjölda undirskrifta fyrir IPS eða önnur öryggistól, ef það er OpenVas, þá geturðu skrifað skriftu sem mun tengjast í gegnum ssh við öryggisskannann og keyra skönnunina.
TS Total Sight
Í stuttu máli er innleiðing allrar virkni mjög stórt og erfitt verkefni. Án forritunarkunnáttu geturðu sett upp lágmarksvirkni, sem gæti dugað til að nota í framleiðni. En ef þú hefur áhuga á allri virkninni geturðu veitt TS Total Sight eftirtekt. Þú getur fundið frekari upplýsingar á okkar . Fyrir vikið mun allt skipulag vinnu og arkitektúr líta svona út:
Ályktun
Við skoðuðum hvað er hægt að útfæra með því að nota ELK Stack. Í síðari greinum munum við sérstaklega fjalla nánar um virkni TS Total Sight!
Svo fylgstu með, , , ), .
Heimild: www.habr.com