Алдыңғы мақалаларда біз бұлыңғыр стекпен және журнал талдаушысы үшін Logstash конфигурация файлын орнатумен аздап танысқан болатынбыз.Бұл мақалада біз аналитикалық тұрғыдан ең маңызды нәрсеге көшеміз. жүйеден және бәрі не үшін жасалғанын қараңыз - бұл біріктірілген графиктер мен кестелер бақылау тақталары. Бүгін біз визуализация жүйесін егжей-тегжейлі қарастырамыз Кибана, біз графиктер мен кестелерді қалай жасау керектігін қарастырамыз және нәтижесінде Check Point брандмауэріндегі журналдар негізінде қарапайым бақылау тақтасын жасаймыз.
Кибанамен жұмыс істеудің бірінші қадамы жасау болып табылады индекс үлгісі, логикалық тұрғыдан бұл белгілі бір принцип бойынша біріктірілген индекстер негізі. Әрине, бұл Kibana бір уақытта барлық индекстер бойынша ақпаратты ыңғайлырақ іздеуге арналған таза параметр. Ол жолды сәйкестендіру арқылы орнатылады, «тексеру нүктесі-*» және индекс атауын айтыңыз. Мысалы, "тексеру нүктесі-2019.12.05" үлгіге сәйкес келеді, бірақ жай "бақылау нүктесі" енді жоқ. Іздеу кезінде әртүрлі индекс үлгілері бойынша ақпаратты бір уақытта іздеу мүмкін емес екенін бөлек атап өткен жөн, сәл кейінірек келесі мақалаларда API сұраулары индекс аты бойынша немесе тек біреуі арқылы жасалатынын көреміз. үлгі сызығы, суретті басуға болады:
Осыдан кейін біз Discover мәзірінде барлық журналдар индекстелгенін және дұрыс талдаушы конфигурацияланғанын тексереміз. Кез келген сәйкессіздік табылса, мысалы, деректер түрін жолдан бүтін санға өзгерту, Logstash конфигурация файлын өңдеу керек, нәтижесінде жаңа журналдар дұрыс жазылады. Ескі журналдар өзгертуге дейін қажетті пішінді алу үшін тек қайта индекстеу процесі көмектеседі, келесі мақалаларда бұл операция толығырақ талқыланады. Барлығы тәртіпте екеніне көз жеткізіңіз, суретті басуға болады:
Журналдар орнында, яғни бақылау тақталарын құруды бастауға болады. Қауіпсіздік өнімдерінің бақылау тақталарының талдауларына сүйене отырып, ұйымдағы ақпараттық қауіпсіздік жағдайын түсінуге, ағымдағы саясаттағы осалдықтарды анық көруге және кейіннен оларды жою жолдарын әзірлеуге болады. Бірнеше визуализация құралдарын пайдаланып шағын бақылау тақтасын құрастырайық. Бақылау тақтасы 5 компоненттен тұрады:
- қалақшалар бойынша журналдардың жалпы санын есептеуге арналған кесте
- маңызды IPS қолтаңбалары туралы кесте
- Қауіптердің алдын алу оқиғалары үшін дөңгелек диаграмма
- ең танымал сайттар кестесі
- ең қауіпті қолданбаларды пайдалану диаграммасы
Көрнекі фигураларды жасау үшін мәзірге өту керек Көріну, және біз құрастырғымыз келетін қалаған фигураны таңдаңыз! Тәртіппен барайық.
Жүзі бойынша журналдардың жалпы санын есептеуге арналған кесте
Ол үшін фигураны таңдаңыз Мәліметтер кестесі, біз графиктерді құруға арналған жабдыққа түсеміз, сол жақта фигура параметрлері, оң жақта оның ағымдағы параметрлерде қалай көрінетіні. Алдымен мен дайын кестенің қандай болатынын көрсетемін, содан кейін біз параметрлерден өтеміз, суретті шертуге болады:
Фигураның егжей-тегжейлі параметрлері, суретті басуға болады:
Параметрлерді қарастырайық.
Бастапқыда конфигурацияланған көрсеткіштер, бұл барлық өрістер біріктірілетін мән. Көрсеткіштер құжаттардан қандай да бір жолмен алынған мәндер негізінде есептеледі. Мәндер әдетте мына жерден алынады өрістер құжат, бірақ сценарийлер арқылы да жасалуы мүмкін. Бұл жағдайда біз енгіземіз Жинақтау: санау (журналдардың жалпы саны).
Осыдан кейін біз кестені метрика есептелетін сегменттерге (өрістерге) бөлеміз. Бұл функция өз кезегінде 2 параметр опциясынан тұратын «Шелектер» параметрімен орындалады:
- жолдарды бөлу - бағандарды қосу және кестені кейіннен жолдарға бөлу
- бөлу кесте – белгілі бір өрістің мәндері негізінде бірнеше кестелерге бөлу.
В шелек бірнеше бағандар немесе кестелер жасау үшін бірнеше бөлімдерді қосуға болады, мұнда шектеулер өте қисынды. Агрегацияда сегменттерге бөлу үшін қолданылатын әдісті таңдауға болады: ipv4 ауқымы, күн ауқымы, Шарттар және т.б. Ең қызықты таңдау - дәл терминдер и Маңызды шарттар, сегменттерге бөлу белгілі бір индекс өрісінің мәндеріне сәйкес жүзеге асырылады, олардың арасындағы айырмашылық қайтарылған мәндердің санында және оларды көрсетуде. Біз кестені пышақтардың аты бойынша бөлгіміз келетіндіктен, өрісті таңдаймыз - өнім.кілт сөз және өлшемді қайтарылған 25 мәнге орнатыңыз.
Жолдардың орнына elasticsearch 2 деректер түрін пайдаланады - мәтін и Кілт сөз. Толық мәтінді іздеуді орындағыңыз келсе, мәтін түрін пайдалануыңыз керек, бұл іздеу қызметін жазғанда өте ыңғайлы нәрсе, мысалы, белгілі бір өріс мәніндегі (мәтін) сөзді еске түсіруді іздеу. Егер сіз тек дәл сәйкестікті қаласаңыз, кілт сөз түрін пайдалануыңыз керек. Сондай-ақ, деректер түрі кілт сөзі сұрыптауды немесе біріктіруді қажет ететін өрістер үшін қолданылуы керек, яғни біздің жағдайда.
Нәтижесінде, Elasticsearch белгілі бір уақытқа арналған журналдар санын өнім өрісіндегі мәнмен біріктірілген санайды. Custom Label ішінде біз кестеде көрсетілетін бағанның атын орнатамыз, журналдарды жинайтын уақытты орнатамыз, көрсетуді бастаймыз - Kibana elasticsearch қызметіне сұрау жібереді, жауапты күтеді, содан кейін алынған деректерді визуализациялайды. Үстел дайын!
Қауіптердің алдын алу оқиғаларына арналған дөңгелек диаграмма
Пайыздық қатынаста қанша реакция бар екендігі туралы ақпарат ерекше қызығушылық тудырады Табу и Алдын алу ағымдағы қауіпсіздік саясатындағы ақпараттық қауіпсіздік инциденттері туралы. Бұл жағдай үшін дөңгелек диаграмма жақсы жұмыс істейді. Визуализацияда таңдаңыз - Бәліш диаграммасы. Сондай-ақ метрикада біз журналдар саны бойынша біріктіруді орнатамыз. Шелектерге біз Шарттарды => әрекетті қоямыз.
Барлығы дұрыс сияқты, бірақ нәтиже барлық пышақтар үшін мәндерді көрсетеді; тек Қауіптердің алдын алу шеңберінде жұмыс істейтін пышақтар бойынша сүзгілеу керек. Сондықтан біз оны міндетті түрде орнаттық сорғыш ақпараттық қауіпсіздік инциденттеріне жауапты жолақтар туралы ақпаратты іздеу үшін - өнім: («Анти-бот» НЕМЕСЕ «Жаңа антивирус» НЕМЕСЕ «DDoS Protector» НЕМЕСЕ «SmartDefense» НЕМЕСЕ «Қауіпті эмуляция»). Суретті басуға болады:
Және егжей-тегжейлі параметрлер, суретті басуға болады:
IPS оқиғалар кестесі
Әрі қарай, ақпараттық қауіпсіздік тұрғысынан өте маңызды - пышақтағы оқиғаларды көру және тексеру. IPS и Қауіп эмуляциясысол блокталмаған Ағымдағы саясат, кейіннен алдын алу үшін қолтаңбаны өзгерту үшін немесе трафик жарамды болса, қолтаңбаны тексермеңіз. Біз кестені бірінші мысалдағыдай етіп жасаймыз, жалғыз айырмашылығы бірнеше бағандарды жасаймыз: protects.keyword, severity.keyword, product.keyword, originsicname.keyword. Ақпараттық қауіпсіздік инциденттеріне жауапты жолақтар туралы ақпаратты іздеу үшін сүзгіні орнатуды ұмытпаңыз - өнім: («SmartDefense» НЕМЕСЕ «Қауіпті эмуляция»). Суретті басуға болады:
Толығырақ параметрлер, суретті басуға болады:
Ең танымал сайттарға арналған диаграммалар
Ол үшін фигураны жасаңыз - Тік жолақ. Біз сондай-ақ метрика ретінде санауды (Y осі) пайдаланамыз, ал X осінде біз кірген сайттардың атын мәндер ретінде қолданамыз – “appi_name”. Мұнда кішкене қулық бар: егер сіз параметрлерді ағымдағы нұсқада іске қоссаңыз, онда барлық сайттар диаграммада бірдей түспен белгіленеді, оларды түрлі-түсті ету үшін біз қосымша параметрді қолданамыз - «бөлу сериясы», бұл, әрине, таңдалған өріске байланысты дайын бағанды тағы бірнеше мәндерге бөлуге мүмкіндік береді! Бұл бөлімді жинақталған режимдегі мәндерге сәйкес бір көп түсті баған ретінде немесе X осінде белгілі бір мәнге сәйкес бірнеше бағандарды жасау үшін қалыпты режимде пайдалануға болады. Бұл жағдайда біз мұнда пайдаланамыз X осіндегі мәнмен бірдей, бұл барлық бағандарды түрлі-түсті етіп жасауға мүмкіндік береді, олар жоғарғы оң жақта түстермен көрсетіледі. Сүзгіде біз орнаттық - өнім: «URL сүзгілеу» ақпаратты тек кірген сайттардағы көру үшін, суретті басуға болады:
Параметрлер:
Ең қауіпті қолданбаларды пайдалану диаграммасы
Ол үшін фигураны жасаңыз - Vertical Bar. Біз сондай-ақ көрсеткіш ретінде санауды (Y осі) пайдаланамыз, ал X осінде мән ретінде пайдаланылған қолданбалардың атауын - “appi_name” қолданамыз. Ең маңыздысы сүзгі параметрі болып табылады - өнім: «Қолданбаны басқару» ЖӘНЕ қолданба_қатері: (4 НЕМЕСЕ 5 НЕМЕСЕ 3 ) ЖӘНЕ әрекет: «қабылдау». Біз журналдарды Қолданбаны басқару тақтасы бойынша сүземіз, тек маңызды, жоғары, орташа тәуекелі бар сайттар санатына жатқызылған сайттарды ғана және осы сайттарға кіру рұқсат етілген жағдайда ғана аламыз. Суретті басуға болады:
Параметрлер, басуға болады:
Бақылау тақтасы
Бақылау тақталарын қарау және жасау бөлек мәзір элементінде - Dashboard. Мұнда бәрі қарапайым, жаңа бақылау тақтасы жасалды, оған визуализация қосылды, орнына орналастырылды, мінекей!
Біз бақылау тақтасын жасаймыз, оның көмегімен сіз ұйымдағы ақпараттық қауіпсіздік жағдайының негізгі жағдайын түсінуге болады, әрине, тек Check Point деңгейінде суретті басу мүмкін:
Осы графиктерге сүйене отырып, брандмауэрде қандай маңызды қолтаңбалар бұғатталмағанын, пайдаланушылар қайда баратынын және олар қандай ең қауіпті қолданбаларды пайдаланатынын түсіне аламыз.
қорытынды
Біз Кибанадағы негізгі визуализацияның мүмкіндіктерін қарастырдық және бақылау тақтасын жасадық, бірақ бұл аз ғана бөлігі. Әрі қарай курста біз карталарды орнатуды, elasticsearch жүйесімен жұмыс істеуді, API сұрауларымен танысуды, автоматтандыруды және т.б. қарастырамыз!
Сондықтан хабардар болыңыз (, , , ), .
Ақпарат көзі: www.habr.com