TSトータルサイト。 イベント収集、インシデント分析、および脅威対応自動化ツール

こんにちは。前の記事では ELK スタックの働きについて説明しました。 ここでは、情報セキュリティの専門家がこれらのシステムを使用することで実現できる可能性について説明します。 elasticsearch に追加できるログと追加すべきログ。 ダッシュボードを設置することでどのような統計が得られるのか、利益はあるのかを考えてみましょう。 ELK スタックを使用して情報セキュリティ プロセスの自動化を実装するにはどうすればよいですか。 システムのアーキテクチャを作成しましょう。 まとめると、すべての機能の実装は非常に大規模で困難な作業であるため、ソリューションには TS Total Sight という別の名前が付けられました。

現在、情報セキュリティ インシデントを 4 つの論理的な場所に統合して分析するソリューションの人気が高まっており、その結果、専門家は統計情報を受け取り、組織内の情報セキュリティの状態を改善するための行動の最前線を得ることができます。 私たちは ELK スタックを使用する際にそのようなタスクを設定しました。その結果、主要な機能を XNUMX つのセクションに分けて取り上げました。

1. 統計と視覚化。
2. IS事件の検知。
3. インシデントの優先順位付け。
4. 情報セキュリティプロセスの自動化。

それぞれについて詳しく見ていきましょう。

情報セキュリティインシデントの検出

この例で elasticsearch を使用する際の主なタスクは、情報セキュリティ インシデントのみを収集することです。 少なくとも一部のログ転送モード (標準的なものは syslog または scp によるファイルへの保存) がサポートされていれば、あらゆる保護手段から情報セキュリティ インシデントを収集できます。

ログの転送を構成する場所だけでなく、保護ツールの標準的な例を示すこともできます。

1. NGFW ファンド (Check Point、Fortinet);
2. あらゆる脆弱性スキャナー (PT Scanner、OpenVas)。
3. Web アプリケーション ファイアウォール (PTAF)。
4. Netflow アナライザー (Flowmon、Cisco StealthWatch)。
5. ADサーバー。

ログと構成ファイルを送信するように Logstash を設定したら、さまざまなセキュリティ ツールからのインシデントを関連付けて比較できるようになります。 これを行うには、特定のデバイスに関連するすべてのインシデントを保存するインデックスを使用すると便利です。 つまり、2 つのインデックスは XNUMX つのデバイスのすべてのインシデントになります。 この配布は XNUMX つの方法で実装できます。

第一の実施形態 Logstash 構成を構成することです。 これを行うには、特定のフィールドのログを、異なるタイプの別個のユニットに複製する必要があります。 そして後でこのタイプを使用します。 この例では、Check Point ファイアウォールの IPS ブレードからログのクローンを作成します。

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

このようなイベントをログのフィールド (攻撃シグネチャの宛先 IP など) に応じて別のインデックスに保存するため。 同様の構造を使用できます。

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

このようにして、すべてのインシデントを、たとえば IP アドレスやマシンのドメイン名ごとにインデックスに保存できます。 この場合、インデックスに格納します 「スマートディフェンス-%{dst}」、署名先の IP アドレスによって決まります。

ただし、製品ごとにログ フィールドが異なるため、混乱が生じ、メモリが無駄に消費されます。 そしてここでは、Logstash 構成設定のフィールドを事前に設計されたフィールドに慎重に置き換える必要がありますが、これはすべての種類のインシデントで同じになりますが、これも難しい作業です。

XNUMX 番目の実装オプション - これは、リアルタイムでエラスティック ベースにアクセスし、必要なインシデントを取り出し、新しいインデックスに保存するスクリプトまたはプロセスを作成することです。これは難しい作業ですが、ログを自由に操作できるようになります。 、他のセキュリティ ツールからのインシデントと直接相関します。 このオプションを使用すると、ケースに合わせて最大限の柔軟性を持ってログを使用した作業をカスタマイズできますが、これを実装できる専門家を見つけるのが問題になります。

そしてもちろん、最も重要な質問は、 何を相関させて検出できるのか?

ここにはいくつかのオプションがあり、インフラストラクチャで使用されているセキュリティ ツールに応じて、いくつかの例を示します。

1. 私の観点からすると、NGFW ソリューションと脆弱性スキャナーを持っている人にとっては、最も明白で最も興味深いオプションです。 これは、IPS ログと脆弱性スキャン結果の比較です。 IPS システムによって攻撃が検出され (ブロックされていない)、スキャンの結果に基づいてエンド マシンでこの脆弱性が解決されていない場合は、脆弱性が攻撃された可能性が高いため、すべてのパイプを切断する必要があります。搾取された。
2. XNUMX 台のマシンから別の場所へのログイン試行が数多く行われると、悪意のあるアクティビティを象徴する可能性があります。
3. 膨大な数の潜在的に危険なサイトにアクセスしたことによる、ユーザーによるウイルス ファイルのダウンロード。

統計と視覚化

ELK スタックの最も明白でわかりやすい目的は、ログの保存と視覚化です。 過去の記事で Logstash を使用してさまざまなデバイスからログを取得する方法が示されました。 ログが Elasticsearch に送られた後、ダッシュボードをセットアップできます。これについても説明しました。 過去の記事で、視覚化を通じて必要な情報と統計を提供します。

Примеры：

1. 最も重要なイベントを含む脅威対策イベントのダッシュボード。 ここでは、どの IPS シグネチャが検出されたのか、地理的にどこから来たのかを反映できます。

   

2. 情報漏洩の可能性がある最も重要なアプリケーションの使用に関するダッシュボード。

   

3. セキュリティ スキャナからのスキャン結果。

   

4. ユーザーによる Active Directory からのログ。

   

5. VPN接続ダッシュボード。

この場合、数秒ごとに更新されるようにダッシュボードを設定すると、イベントをリアルタイムで監視するための非常に便利なシステムが得られます。ダッシュボードを別画面。

インシデントの優先順位付け

大規模なインフラストラクチャの状況では、インシデントの数が規模を超えて増加する可能性があり、専門家にはすべてのインシデントを適時に分析する時間がありません。 この場合、まず第一に、大きな脅威をもたらすインシデントのみを選択する必要があります。 したがって、システムは、インフラストラクチャに関連する重大度に応じてインシデントに優先順位を付ける必要があります。 これらのイベントについては、メールまたは電報で通知を設定することをお勧めします。 優先順位付けは、視覚化を設定することにより、通常の Kibana ツールを使用して実装できます。 しかし、通知の場合はさらに難しくなります。デフォルトでは、この機能は Elasticsearch の基本バージョンには含まれておらず、有料バージョンにのみ含まれています。 したがって、有料版を購入するか、もう一度、メールまたは電報で専門家にリアルタイムで通知するプロセスを自分で作成してください。

情報セキュリティプロセスの自動化

そして最も興味深い部分の XNUMX つは、情報セキュリティ インシデントに対するアクションの自動化です。 以前、この機能を Splunk に実装しました。詳しくは、この記事を参照してください。 статье。 基本的な考え方は、IPS ポリシーは、場合によっては情報セキュリティ プロセスの重要な部分であるにもかかわらず、テストも最適化も行われないということです。 たとえば、NGFW の実装から XNUMX 年後、IPS を最適化するためのアクションが存在しなかった場合、ブロックされない検出アクションによる署名が大量に蓄積され、組織内の情報セキュリティの状態が大幅に低下します。 自動化できるものの例をいくつか示します。

1. IPS シグネチャを検出から防止に切り替えます。 Prevent が重要な署名に対して機能しない場合、これは異常であり、保護システムの重大な違反です。 ポリシー内のアクションをそのような署名に変更します。 この機能は、NGFW デバイスに REST API 機能がある場合に実装できます。 これはプログラミング スキルがある場合にのみ可能であり、Elastcisearch から必要な情報を取得し、NGFW コントロール サーバーへの API リクエストを実行する必要があります。
2. XNUMX つの IP アドレスからのネットワーク トラフィックで多数のシグニチャが検出またはブロックされた場合は、ファイアウォール ポリシーでこの IP アドレスをしばらくブロックすることが合理的です。 実装には REST API の使用も含まれます。
3. このホストに IPS またはその他のセキュリティ ツールの署名が多数ある場合は、脆弱性スキャナを使用してホスト スキャンを開始します。OpenVas の場合は、SSH 経由でセキュリティ スキャナに接続し、スキャンを実行するスクリプトを作成できます。

TSトータルサイト

要するに、すべての機能を実装するのは非常に大規模で困難な作業です。 プログラミングのスキルがなくても、生産性を高めるためには必要最低限​​の機能を設定できます。 ただし、すべての機能に興味がある場合は、TS Total Sight に注目してください。 詳細については、 オンライン。 その結果、作業とアーキテクチャの全体的なスキームは次のようになります。

まとめ

ELK スタックを使用して何を実装できるかを検討しました。 後続の記事では、TS Total Sight の機能について個別に詳しく検討します。

乞うご期待Telegram, Facebook, VK, TSソリューションブログ), Yandex.Den.

出所： habr.com