Buon pomeriggio, negli articoli precedenti abbiamo conosciuto il lavoro di ELK Stack. Ora discutiamo delle possibilità che possono essere realizzate da uno specialista della sicurezza informatica nell’utilizzo di questi sistemi. Quali log possono e devono essere inseriti in elasticsearch. Consideriamo quali statistiche possono essere ottenute impostando dashboard e se vi è qualche profitto in questo. Come puoi implementare l'automazione dei processi di sicurezza delle informazioni utilizzando lo stack ELK. Disegniamo l'architettura del sistema. Nel complesso, l'implementazione di tutte le funzionalità è un compito molto ampio e difficile, quindi alla soluzione è stato assegnato un nome separato: TS Total Sight.
Attualmente, le soluzioni che consolidano e analizzano gli incidenti di sicurezza delle informazioni in un unico posto logico stanno rapidamente guadagnando popolarità, di conseguenza, lo specialista riceve statistiche e una frontiera d'azione per migliorare lo stato della sicurezza delle informazioni nell'organizzazione. Ci siamo posti questo compito utilizzando lo stack ELK e di conseguenza abbiamo diviso le funzionalità principali in 4 sezioni:
- Statistiche e visualizzazione;
- Rilevazione di incidenti di sicurezza delle informazioni;
- Priorità degli incidenti;
- Automazione dei processi di sicurezza delle informazioni.
Successivamente, daremo un'occhiata più da vicino a ciascuno individualmente.
Rilevazione di incidenti di sicurezza delle informazioni
Il compito principale dell'utilizzo di elasticsearch nel nostro caso è raccogliere solo gli incidenti di sicurezza delle informazioni. È possibile raccogliere gli incidenti relativi alla sicurezza delle informazioni da qualsiasi mezzo di sicurezza se supporta almeno alcune modalità di invio dei registri, lo standard è il salvataggio di syslog o scp in un file.
Puoi fornire esempi standard di strumenti di sicurezza e altro ancora, da cui configurare l'inoltro dei log:
- Eventuali strumenti NGFW (Check Point, Fortinet);
- Eventuali scanner di vulnerabilità (PT Scanner, OpenVas);
- Firewall per applicazioni Web (PT AF);
- analizzatori di flussi di rete (Flowmon, Cisco StealthWatch);
- server AD.
Dopo aver configurato l'invio di log e file di configurazione in Logstash, è possibile correlarli e confrontarli con gli incidenti provenienti da vari strumenti di sicurezza. Per fare ciò, è conveniente utilizzare indici in cui memorizzeremo tutti gli incidenti relativi a un dispositivo specifico. In altre parole, un indice comprende tutti gli incidenti su un dispositivo. Questa distribuzione può essere implementata in 2 modi.
La prima opzione Questo serve per configurare la configurazione di Logstash. Per fare ciò, è necessario duplicare il registro per determinati campi in un'unità separata di tipo diverso. E poi usa questo tipo in futuro. Nell'esempio, i registri vengono clonati dal pannello IPS del firewall Check Point.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
Per salvare tali eventi in un indice separato a seconda dei campi del registro, ad esempio, come le firme di attacco IP di destinazione. Puoi usare una costruzione simile:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
In questo modo è possibile salvare tutti gli incidenti in un indice, ad esempio per indirizzo IP o per nome di dominio della macchina. In questo caso, lo salviamo nell'indice "smartdefense-%{dst}", tramite l'indirizzo IP della destinazione della firma.
Tuttavia, prodotti diversi avranno campi di registro diversi, il che porterà al caos e al consumo inutile di memoria. E qui dovrai sostituire con attenzione i campi nelle impostazioni di configurazione di Logstash con quelli predefiniti, che saranno gli stessi per tutti i tipi di incidenti, il che è anche un compito difficile.
Seconda opzione di implementazione - si tratta di scrivere uno script o un processo che accederà al database elastico in tempo reale, estrarrà gli incidenti necessari e li salverà in un nuovo indice, questo è un compito difficile, ma ti consente di lavorare con i log come preferisci, e correlare direttamente con incidenti causati da altre apparecchiature di sicurezza. Questa opzione ti consente di configurare il lavoro con i log in modo che sia più utile per il tuo caso con la massima flessibilità, ma qui sorge il problema di trovare uno specialista in grado di implementarlo.
E, naturalmente, la domanda più importante, e cosa può essere correlato e rilevato??
Potrebbero esserci diverse opzioni qui e dipende da quali strumenti di sicurezza vengono utilizzati nella tua infrastruttura, un paio di esempi:
- L’opzione più ovvia e, dal mio punto di vista, più interessante per chi dispone di una soluzione NGFW e di uno scanner di vulnerabilità. Questo è un confronto tra i registri IPS e i risultati della scansione delle vulnerabilità. Se un attacco è stato rilevato (non bloccato) dal sistema IPS e questa vulnerabilità sul computer finale non è stata chiusa in base ai risultati della scansione, è necessario denunciare, poiché esiste un'alta probabilità che la vulnerabilità sia stata sfruttata .
- Molti tentativi di accesso da una macchina a luoghi diversi possono simboleggiare attività dannose.
- L'utente scarica file virus a causa della visita di un numero enorme di siti potenzialmente pericolosi.
Statistiche e visualizzazione
La cosa più ovvia e comprensibile per cui è necessario ELK Stack è l'archiviazione e la visualizzazione dei log, è stato mostrato come creare log da vari dispositivi utilizzando Logstash. Dopo che i registri sono stati trasferiti su Elasticsearch, puoi impostare i dashboard, che sono stati anche menzionati , con le informazioni e le statistiche di cui hai bisogno attraverso la visualizzazione.
Esempi:
- Dashboard per gli eventi di Prevenzione delle minacce con gli eventi più critici. Qui puoi riflettere quali firme IPS sono state rilevate e da dove provengono geograficamente.
- Dashboard sull'utilizzo delle applicazioni più critiche per le quali possono trapelare informazioni.
- Risultati della scansione da qualsiasi scanner di sicurezza.
- Registri di Active Directory per utente.
- Pannello di controllo della connessione VPN.
In questo caso, se si configurano i dashboard in modo che si aggiornino ogni pochi secondi, è possibile ottenere un sistema abbastanza conveniente per monitorare gli eventi in tempo reale, che può poi essere utilizzato per la risposta più rapida agli incidenti di sicurezza delle informazioni se si posizionano i dashboard su un livello separato schermo.
Priorità degli incidenti
In condizioni di grandi infrastrutture, il numero di incidenti potrebbe essere fuori scala e gli specialisti non avranno il tempo di affrontare tutti gli incidenti in tempo. In questo caso è necessario innanzitutto evidenziare solo quegli incidenti che rappresentano una grande minaccia. Pertanto, il sistema deve dare priorità agli incidenti in base alla loro gravità in relazione alla propria infrastruttura. Si consiglia di impostare un avviso via email o telegramma per questi eventi. La definizione delle priorità può essere implementata utilizzando gli strumenti standard di Kibana impostando la visualizzazione. Ma con le notifiche è più difficile; per impostazione predefinita, questa funzionalità non è inclusa nella versione base di Elasticsearch, solo nella versione a pagamento. Pertanto, acquista una versione a pagamento o, ancora, scrivi tu stesso un processo che avviserà gli specialisti in tempo reale tramite e-mail o telegramma.
Automazione dei processi di sicurezza delle informazioni
E una delle parti più interessanti è l’automazione delle azioni per gli incidenti di sicurezza informatica. In precedenza, abbiamo implementato questa funzionalità per Splunk, puoi leggere qualcosa in più qui . L’idea principale è che la politica IPS non viene mai testata o ottimizzata, sebbene in alcuni casi costituisca una parte critica dei processi di sicurezza delle informazioni. Ad esempio, un anno dopo l'implementazione di NGFW e l'assenza di azioni per ottimizzare l'IPS, accumulerai un gran numero di firme con l'azione Rileva, che non verrà bloccata, il che riduce notevolmente lo stato di sicurezza delle informazioni nell'organizzazione. Di seguito sono riportati alcuni esempi di ciò che può essere automatizzato:
- Trasferimento della firma IPS da Rileva a Previeni. Se Prevent non funziona per le firme critiche, ciò è fuori servizio e rappresenta una grave lacuna nel sistema di protezione. Modifichiamo l'azione nella politica in tali firme. Questa funzionalità può essere implementata se il dispositivo NGFW dispone della funzionalità API REST. Questo è possibile solo se hai competenze di programmazione; devi estrarre le informazioni necessarie da Elastcisearch ed effettuare richieste API al server di gestione NGFW.
- Se vengono rilevate o bloccate più firme nel traffico di rete da un indirizzo IP, è opportuno bloccare questo indirizzo IP per un po' nella politica del firewall. L'implementazione prevede anche l'utilizzo dell'API REST.
- Esegui una scansione dell'host con uno scanner di vulnerabilità, se questo host ha un gran numero di firme IPS o altri strumenti di sicurezza; se è OpenVas, puoi scrivere uno script che si connetterà tramite ssh allo scanner di sicurezza ed eseguirà la scansione.
TS Vista totale
Nel complesso, l'implementazione di tutte le funzionalità è un compito molto ampio e difficile. Senza avere competenze di programmazione, è possibile configurare le funzionalità minime, che potrebbero essere sufficienti per l'utilizzo in produzione. Ma se sei interessato a tutte le funzionalità, puoi prestare attenzione a TS Total Sight. Puoi trovare maggiori dettagli sul ns . Di conseguenza, l’intero schema operativo e l’architettura saranno simili a questi:
conclusione
Abbiamo esaminato cosa può essere implementato utilizzando lo stack ELK. Negli articoli successivi considereremo separatamente la funzionalità di TS Total Sight in modo più dettagliato!
Quindi rimanete sintonizzati (, , , ), .
Fonte: habr.com