3. エラスティックスタック: セキュリティログの分析。 ダッシュボード

以前の記事では、elk スタックとログ パーサー用の Logstash 構成ファイルのセットアップについて少し理解しましたが、この記事では、分析の観点から最も重要なこと、つまり何をしたいのかについて説明します。システムから見て、すべてが何のために作成されたのかを確認します。これらはグラフと表を組み合わせたものです。 ダッシュボード。今日は視覚化システムについて詳しく見ていきます。 木場では、グラフと表の作成方法を見ていき、その結果、Check Point ファイアウォールからのログに基づいてシンプルなダッシュボードを構築します。

kibana を使用する最初のステップは、 索引パターン、論理的には、これは特定の原則に従って結合されたインデックスのベースです。もちろん、これは純粋に、Kibana がすべてのインデックスの情報を同時により便利に検索できるようにするための設定です。これは、「checkpoint-*」などの文字列とインデックスの名前を照合することによって設定されます。たとえば、「checkpoint-2019.12.05」はパターンに当てはまりますが、単に「checkpoint」が存在しなくなっただけです。検索では、同時に異なるインデックス パターンの情報を検索することは不可能であることを別途言及する価値があります。後続の記事の少し後の方で、API リクエストがインデックスの名前によって、またはインデックスの名前によって行われることがわかります。パターンの行、画像をクリック可能です:

この後、すべてのログにインデックスが付けられ、正しいパーサーが構成されていることを [検出] メニューで確認します。データ型を文字列から整数に変更するなど、不一致が見つかった場合は、Logstash 構成ファイルを編集する必要があります。その結果、新しいログが正しく書き込まれます。古いログを変更前の望ましい形式にするためには、インデックスの再作成プロセスのみが役に立ちます。この操作については後続の記事で詳しく説明します。すべてが順調で、画像をクリックできることを確認しましょう。

ログが配置されたので、ダッシュボードの構築を開始できます。セキュリティ製品のダッシュボードの分析に基づいて、組織内の情報セキュリティの状態を理解し、現在のポリシーの脆弱性を明確に確認し、その後それらを排除する方法を開発できます。いくつかの視覚化ツールを使用して小さなダッシュボードを構築してみましょう。ダッシュボードは 5 つのコンポーネントで構成されます。

1. ブレードごとのログ総数の計算表
2. 重要な IPS シグネチャに関する表
3. 脅威対策イベントの円グラフ
4. 最も人気のある訪問サイトのグラフ
5. 最も危険なアプリケーションの使用に関するグラフ

視覚化図を作成するには、メニューに移動する必要があります 視覚化するをクリックして、構築したいフィギュアを選択してください。順番に行きましょう。

ブレードごとのログ総数の計算表

これを行うには、図を選択します データ表、グラフを作成するための機器に分類されます。左側は図の設定、右側は現在の設定でどのように表示されるかを示します。まず、完成したテーブルがどのように見えるかを示します。その後、設定を進めていきます。画像はクリック可能です。

図のより詳細な設定、画像はクリック可能です:

設定を見てみましょう。

初期構成 メトリクス、これはすべてのフィールドが集計される値です。メトリクスは、ドキュメントから何らかの方法で抽出された値に基づいて計算されます。値は通常、から抽出されます 分野の ドキュメントを使用することもできますが、スクリプトを使用して生成することもできます。この場合は入れます 集計: カウント (ログの総数)。

この後、テーブルをメトリックを計算するセグメント (フィールド) に分割します。この機能はバケット設定によって実行され、バケット設定は 2 つの設定オプションで構成されます。

1. 行の分割 - 列を追加し、その後テーブルを行に分割します。
2. テーブルの分割 - 特定のフィールドの値に基づいて複数のテーブルに分割します。

В バケツ 複数の分割を追加して複数の列またはテーブルを作成できますが、ここでの制限はかなり論理的です。集計では、IPv4 範囲、日付範囲、条件などのセグメントに分割するために使用する方法を選択できます。最も興味深い選択はまさに ご利用規約 и 重要な用語、セグメントへの分割は特定のインデックス フィールドの値に従って実行され、それらの違いは返される値の数とその表示にあります。テーブルをブレードの名前で分割したいので、フィールドを選択します - 製品.キーワード サイズを戻り値 25 に設定します。

elasticsearch は文字列の代わりに 2 つのデータ型を使用します。 클라우드 기반 AI/ML및 고성능 컴퓨팅을 통한 디지털 트윈의 기초 – Edward Hsu, Rescale CPO 많은 엔지니어링 중심 기업에게 클라우드는 R&D디지털 전환의 첫 단계일 뿐입니다. 클라우드 자원을 활용해 엔지니어링 팀의 제약을 해결하는 단계를 넘어, 시뮬레이션 운영을 통합하고 최적화하며, 궁극적으로는 모델 기반의 협업과 의사 결정을 지원하여 신제품을 결정할 때 데이터 기반 엔지니어링을 적용하고자 합니다. Rescale은 이러한 혁신을 돕기 위해 컴퓨팅 추천 엔진, 통합 데이터 패브릭, 메타데이터 관리 등을 개발하고 있습니다. 이번 자리를 빌려 비즈니스 경쟁력 제고를 위한 디지털 트윈 및 디지털 스레드 전략 개발 방법에 대한 인사이트를 나누고자 합니다. и キーワード。全文検索を実行する場合は、テキスト タイプを使用する必要があります。これは、検索サービスを作成するときに、たとえば、特定のフィールド値 (テキスト) 内の単語の言及を検索する場合に非常に便利です。完全一致のみが必要な場合は、キーワード タイプを使用する必要があります。また、キーワード データ型は、並べ替えや集計が必要なフィールド (この場合) に使用する必要があります。

その結果、Elasticsearch は一定期間のログの数をカウントし、product フィールドの値で集計します。 Custom Label では、テーブルに表示される列の名前を設定し、ログを収集する時間を設定し、レンダリングを開始します。Kibana は elasticsearch にリクエストを送信し、レスポンスを待ってから、受信したデータを視覚化します。テーブルの準備は完了です！

脅威対策イベントの円グラフ

特に興味深いのは、割合としての反応の数に関する情報です。 検出 и 防ぐ 現在のセキュリティポリシーにおける情報セキュリティインシデントについて。この状況では円グラフが適しています。ビジュアライズで選択 - 円グラフ。また、メトリクスでは、ログの数による集計を設定します。バケットには、Terms => action を入れます。

すべてが正しいように見えますが、結果にはすべてのブレードの値が表示されるため、脅威対策のフレームワーク内で動作するブレードのみでフィルタリングする必要があります。したがって、必ず設定します フィルター 情報セキュリティ インシデントの原因となるブレードに関する情報のみを検索する場合 - 製品: (「アンチボット」または「新しいアンチウイルス」または「DDoS プロテクター」または「スマートディフェンス」または「脅威エミュレーション」)。画像はクリック可能です:

さらに詳細な設定については、画像をクリックしてください。

IPSイベントテーブル

次に、情報セキュリティの観点から非常に重要なのは、ブレード上のイベントを表示して確認することです。 IPS и 脅威エミュレーションその ブロックされていない 現在のポリシーに従って、後で署名を変更して防止するか、トラフィックが有効である場合は署名をチェックしません。最初の例と同じ方法でテーブルを作成しますが、唯一の違いは、いくつかの列 (protections.keyword、severity.keyword、product.keyword、originsicname.keyword) を作成する点です。情報セキュリティ インシデントの原因となるブレード (製品: (「Smart Defense」 または 「Threat Emulation」)) に関する情報のみを検索するには、必ずフィルターを設定してください。画像はクリック可能です:

より詳細な設定、画像をクリックできます:

最も人気のある訪問サイトのグラフ

これを行うには、図を作成します。 垂直バー。また、カウント (Y 軸) をメトリクスとして使用し、X 軸では、訪問したサイトの名前を値として使用します – 「appi_name」。ここにはちょっとしたトリックがあります。現在のバージョンで設定を実行すると、すべてのサイトがチャート上で同じ色でマークされます。サイトを多色にするために、追加の設定「分割シリーズ」を使用します。これにより、選択したフィールドに応じて、既製の列をさらにいくつかの値に分割することができます。この分割は、スタック モードの値に応じて XNUMX つのマルチカラーの列として使用することも、通常モードで X 軸の特定の値に応じて複数の列を作成するために使用することもできます。 X 軸と同じ値を指定すると、すべての列を多色にすることができ、右上の色で示されます。訪問したサイトの情報のみを表示するために、製品:「URL フィルタリング」を設定したフィルターでは、画像をクリック可能になります。

設定：

最も危険なアプリケーションの使用に関する図

これを行うには、図である垂直バーを作成します。また、カウント (Y 軸) をメトリクスとして使用し、X 軸では、使用されるアプリケーションの名前「appi_name」を値として使用します。最も重要なのはフィルター設定です - 製品: 「Application Control」 AND app_risk: (4 OR 5 OR 3 ) AND アクション: 「accept」。アプリケーション コントロール ブレードによってログをフィルタリングし、重大、高、中リスクのサイトとして分類されたサイトのみを取得し、これらのサイトへのアクセスが許可されている場合にのみ取得します。画像はクリック可能です:

設定、クリック可能:

ダッシュボード

ダッシュボードの表示と作成は別のメニュー項目にあります - ダッシュボード。ここではすべてが簡単です。新しいダッシュボードが作成され、そこにビジュアライゼーションが追加され、所定の場所に配置されるだけです。

私たちは、組織内の情報セキュリティの状態の基本的な状況を理解できるダッシュボードを作成しています。もちろん、チェック ポイント レベルでのみです。画像はクリック可能です。

これらのグラフに基づいて、どの重要なシグネチャがファイアウォールでブロックされていないのか、ユーザーがどこに行くのか、そしてユーザーが使用している最も危険なアプリケーションは何かを理解できます。

まとめ

Kibana の基本的な視覚化の機能を確認し、ダッシュボードを構築しましたが、これはほんの一部にすぎません。さらにコースでは、マップのセットアップ、elasticsearch システムの操作、API リクエスト、自動化などについて個別に見ていきます。

乞うご期待Telegram, Facebook, VK, TSソリューションブログ), Yandex.Den.

出所： habr.com