ProHoster > Π‘Π»ΠΎΠ³ > Administrasi > TS Total Sight. Koleksi Acara, Analisis Insiden, lan Alat Otomatis Respon Ancaman

TS Total Sight. Koleksi Acara, Analisis Insiden, lan Alat Otomatis Respon Ancaman

TS Total Sight. Koleksi Acara, Analisis Insiden, lan Alat Otomatis Respon Ancaman

Sugeng siang, ing artikel sadurunge kita kenal karo karya ELK Stack. Saiki ayo ngrembug kemungkinan sing bisa diwujudake dening spesialis keamanan informasi nggunakake sistem kasebut. Log apa sing bisa lan kudu dilebokake ing elasticsearch. Ayo dipikirake statistik apa sing bisa dipikolehi kanthi nyetel dashboard lan apa ana bathi ing babagan iki. Kepiye carane sampeyan bisa ngetrapake otomatisasi proses keamanan informasi nggunakake tumpukan ELK. Ayo nggawe arsitektur sistem. Secara total, implementasine kabeh fungsi minangka tugas sing gedhe banget lan angel, saengga solusi kasebut diwenehi jeneng sing kapisah - TS Total Sight.

Saiki, solusi sing nggabungake lan nganalisa kedadeyan keamanan informasi ing sak panggonan sing logis kanthi cepet entuk popularitas, minangka asil, spesialis nampa statistik lan wates tumindak kanggo nambah kahanan keamanan informasi ing organisasi. Kita nyetel tugas iki kanggo nggunakake tumpukan ELK, lan minangka asil, kita dibagi fungsi utama dadi 4 bagean:

  1. Statistik lan visualisasi;
  2. Deteksi insiden keamanan informasi;
  3. Prioritas kedadeyan;
  4. Otomatis pangolahan keamanan informasi.

Sabanjure, kita bakal nliti saben individu.

Deteksi insiden keamanan informasi

Tugas utama nggunakake elasticsearch ing kasus kita yaiku mung ngumpulake kedadeyan keamanan informasi. Sampeyan bisa ngumpulake kedadean keamanan informasi saka sembarang sarana keamanan yen padha ndhukung paling sawetara mode ngirim log, standar punika syslog utawa scp nyimpen menyang file.

Sampeyan bisa menehi conto standar alat keamanan lan liya-liyane, saka ngendi sampeyan kudu ngatur terusake log:

  1. Sembarang alat NGFW (Check Point, Fortinet);
  2. Sembarang scanner kerentanan (PT Scanner, OpenVas);
  3. Firewall Aplikasi Web (PT AF);
  4. analisa aliran net (Flowmon, Cisco StealthWatch);
  5. server AD.

Sawise sampeyan wis ngatur ngirim log lan file konfigurasi ing Logstash, sampeyan bisa nggandhengake lan mbandhingakΓ© karo kedadean teka saka macem-macem piranti keamanan. Kanggo nindakake iki, luwih trep nggunakake indeks sing bakal nyimpen kabeh kedadeyan sing ana gandhengane karo piranti tartamtu. Ing tembung liyane, siji indeks iku kabeh kedadean kanggo siji piranti. Distribusi iki bisa ditindakake kanthi 2 cara.

Pilihan kapisan Iki kanggo ngatur konfigurasi Logstash. Kanggo nindakake iki, sampeyan kudu duplikat log kanggo kolom tartamtu menyang unit kapisah karo jinis beda. Banjur nggunakake jinis iki ing mangsa ngarep. Ing contone, log dikloning saka bilah IPS saka firewall Check Point.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Kanggo nyimpen acara kasebut menyang indeks sing kapisah gumantung ing kolom log, contone, kayata tandha serangan IP Tujuan. Sampeyan bisa nggunakake konstruksi sing padha:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Lan kanthi cara iki, sampeyan bisa nyimpen kabeh kedadeyan menyang indeks, contone, kanthi alamat IP, utawa kanthi jeneng domain mesin. Ing kasus iki, kita nyimpen menyang indeks "smartdefense-%{dst}", kanthi alamat IP tujuan teken.

Nanging, produk sing beda bakal duwe kolom log sing beda, sing bakal nyebabake kekacauan lan konsumsi memori sing ora perlu. Lan ing kene sampeyan kudu kanthi ati-ati ngganti lapangan ing setelan konfigurasi Logstash karo sing wis dirancang, sing bakal padha kanggo kabeh jinis kedadeyan, sing uga dadi tugas sing angel.

Pilihan implementasine kapindho - iki nulis naskah utawa proses sing bakal ngakses database elastis ing wektu nyata, narik metu kedadean perlu, lan nyimpen menyang indeks anyar, iki tugas angel, nanging ngijini sampeyan kanggo nggarap log sing pengin, lan hubungan langsung karo kedadean saka peralatan keamanan liyane. Opsi iki ngidini sampeyan ngatur karya karo log dadi paling migunani kanggo kasus sampeyan kanthi keluwesan maksimal, nanging ing kene ana masalah kanggo nemokake spesialis sing bisa ngetrapake iki.

Lan mesthi, pitakonan sing paling penting, lan apa sing bisa digandhengake lan dideteksi??

Bisa uga ana sawetara opsi ing kene, lan gumantung saka piranti keamanan apa sing digunakake ing infrastruktur sampeyan, sawetara conto:

  1. Sing paling jelas lan, saka sudut pandangku, pilihan sing paling menarik kanggo sing duwe solusi NGFW lan pemindai kerentanan. Iki minangka perbandingan log IPS lan asil pindai kerentanan. Yen serangan dideteksi (ora diblokir) dening sistem IPS, lan kerentanan iki ora ditutup ing mesin pungkasan adhedhasar asil mindhai, iku perlu kanggo jotosan singsot, amarga ana kemungkinan dhuwur sing kerentanan wis eksploitasi. .
  2. Akeh upaya login saka siji mesin menyang macem-macem papan bisa uga nglambangake kegiatan ala.
  3. Pangguna ndownload file virus amarga ngunjungi akeh situs sing bisa mbebayani.

Statistik lan visualisasi

Bab sing paling jelas lan bisa dingerteni sing dibutuhake ELK Stack yaiku panyimpenan lan visualisasi log, ing artikel sadurunge wis ditampilake carane sampeyan bisa nggawe log saka macem-macem piranti nggunakake Logstash. Sawise log menyang Elasticsearch, sampeyan bisa nyiyapake dashboard, sing uga kasebut ing artikel sadurunge, kanthi informasi lan statistik sing dibutuhake liwat visualisasi.

conto:

  1. Dashboard kanggo acara Nyegah Ancaman kanthi acara paling kritis. Ing kene sampeyan bisa nggambarake tandha-tandha IPS sing dideteksi lan saka ngendi asale kanthi geografis.

    TS Total Sight. Koleksi Acara, Analisis Insiden, lan Alat Otomatis Respon Ancaman

  2. Dashboard babagan panggunaan aplikasi sing paling kritis sing informasi bisa bocor.

    TS Total Sight. Koleksi Acara, Analisis Insiden, lan Alat Otomatis Respon Ancaman

  3. Scan asil saka sembarang scanner keamanan.

    TS Total Sight. Koleksi Acara, Analisis Insiden, lan Alat Otomatis Respon Ancaman

  4. Log saka Active Directory dening pangguna.

    TS Total Sight. Koleksi Acara, Analisis Insiden, lan Alat Otomatis Respon Ancaman

  5. dasbor sambungan VPN.

Ing kasus iki, yen sampeyan ngatur dashboard kanggo nganyari saben sawetara detik, sampeyan bisa njaluk sistem sing cukup trep kanggo ngawasi acara ing wektu nyata, kang banjur bisa digunakake kanggo respon paling cepet kanggo kedadean keamanan informasi yen sampeyan sijine dashboard ing kapisah. layar.

Prioritas kedadeyan

Ing kahanan infrastruktur gedhe, jumlah insiden bisa uga ora ana skala, lan spesialis ora duwe wektu kanggo ngatasi kabeh kedadeyan ing wektu kasebut. Ing kasus iki, perlu, pisanan, kanggo nyorot mung kedadeyan sing nyebabake ancaman gedhe. Mula, sistem kasebut kudu menehi prioritas kedadeyan adhedhasar keruwetan sing ana gandhengane karo infrastruktur sampeyan. Disaranake nyiyapake tandha email utawa telegram kanggo acara kasebut. Prioritas bisa ditindakake nggunakake alat Kibana standar kanthi nyetel visualisasi. Nanging kanthi kabar luwih angel; kanthi standar, fungsi iki ora kalebu ing versi dhasar Elasticsearch, mung ing versi mbayar. Mulane, tuku versi mbayar, utawa, maneh, nulis proses dhewe sing bakal menehi kabar marang spesialis kanthi wektu nyata kanthi email utawa telegram.

Otomatis pangolahan keamanan informasi

Lan salah sawijining bagean sing paling menarik yaiku otomatisasi tumindak kanggo kedadeyan keamanan informasi. Sadurunge, kita dipun ginakaken fungsi iki kanggo Splunk, sampeyan bisa maca liyane sethitik iki artikel. Ide utama yaiku yen kabijakan IPS ora tau diuji utawa dioptimalake, sanajan ing sawetara kasus minangka bagean kritis saka proses keamanan informasi. Contone, setaun sawise implementasine NGFW lan ora ana tumindak kanggo ngoptimalake IPS, sampeyan bakal nglumpukake akeh tanda tangan kanthi tumindak Deteksi, sing ora bakal diblokir, sing nyuda banget kahanan keamanan informasi ing organisasi. Ing ngisor iki sawetara conto sing bisa otomatis:

  1. Transfer tandha IPS saka Detect kanggo Nyegah. Yen Nyegah ora bisa digunakake kanggo teken kritis, banjur iki metu saka urutan lan longkangan serius ing sistem pangayoman. Kita ngganti tumindak ing kawicaksanan kanggo teken kuwi. Fungsi iki bisa dileksanakake yen piranti NGFW nduweni fungsi REST API. Iki mung bisa ditindakake yen sampeyan duwe katrampilan program; sampeyan kudu ngekstrak informasi sing dibutuhake saka Elastcisearch lan nggawe panjaluk API menyang server manajemen NGFW.
  2. Yen sawetara teken dideteksi utawa diblokir ing lalu lintas jaringan saka siji alamat IP, banjur ana gunane kanggo mblokir alamat IP iki kanggo sawetara wektu ing kabijakan Firewall. Implementasine uga kalebu nggunakake REST API.
  3. Jalanake scan host kanthi scanner kerentanan, yen host iki duwe akeh tanda tangan IPS utawa piranti keamanan liyane; yen OpenVas, sampeyan bisa nulis skrip sing bakal nyambung liwat ssh menyang scanner keamanan lan mbukak pindai.

TS Total Sight. Koleksi Acara, Analisis Insiden, lan Alat Otomatis Respon Ancaman

TS Total Sight

Secara total, implementasine kabeh fungsi minangka tugas sing gedhe banget lan angel. Tanpa duwe katrampilan program, sampeyan bisa ngatur fungsi minimal, sing bisa uga cukup kanggo digunakake ing produksi. Nanging yen sampeyan kasengsem ing kabeh fungsi, sampeyan bisa mbayar manungsa waΓ© kanggo TS Total Sight. Sampeyan bisa nemokake rincian liyane ing kita situs. AkibatΓ©, kabeh skema operasi lan arsitektur bakal katon kaya iki:

TS Total Sight. Koleksi Acara, Analisis Insiden, lan Alat Otomatis Respon Ancaman

kesimpulan

Kita ndeleng apa sing bisa ditindakake nggunakake ELK Stack. Ing artikel sabanjure, kita bakal nimbang kanthi luwih rinci babagan fungsi TS Total Sight!

Dadi tetep dirungokake (Telegram, Facebook, VK, Blog Solusi TS), Yandex Zen.

Source: www.habr.com

Add a comment