Қайырлы күн, алдыңғы мақалаларда біз ELK Stack жұмысымен таныстық. Енді осы жүйелерді пайдалану кезінде ақпараттық қауіпсіздік бойынша маман жүзеге асыра алатын мүмкіндіктерді талқылайық. Elasticsearch ішіне қандай журналдарды енгізуге болады және енгізу керек. Бақылау тақталарын орнату арқылы қандай статистиканы алуға болатынын және бұл жерде пайда бар-жоғын қарастырайық. ELK стегі арқылы ақпараттық қауіпсіздік процестерін автоматтандыруды қалай жүзеге асыруға болады. Жүйенің архитектурасын құрастырайық. Жалпы алғанда, барлық функционалдылықты жүзеге асыру өте үлкен және қиын міндет болып табылады, сондықтан шешімге жеке атау берілді - TS Total Sight.
Қазіргі уақытта ақпараттық қауіпсіздік инциденттерін бір логикалық жерде біріктіретін және талдайтын шешімдер тез танымал болуда, нәтижесінде маман статистикалық мәліметтерді және ұйымдағы ақпараттық қауіпсіздік жағдайын жақсарту бойынша іс-қимыл шекарасын алады. Біз ELK стекін пайдалануда өзімізге бұл тапсырманы қойдық, нәтижесінде біз негізгі функционалдылықты 4 бөлімге бөлдік:
- Статистика және визуализация;
- Ақпараттық қауіпсіздік инциденттерін анықтау;
- Оқиғаға басымдық беру;
- Ақпаратты қорғау процестерін автоматтандыру.
Әрі қарай, біз әрқайсысын жеке қарастырамыз.
Ақпараттық қауіпсіздік инциденттерін анықтау
Біздің жағдайда elasticsearch қолданудың негізгі міндеті тек ақпараттық қауіпсіздік инциденттерін жинау болып табылады. Ақпараттық қауіпсіздік инциденттерін кез келген қауіпсіздік құралдарынан жинауға болады, егер олар журналдарды жіберудің кем дегенде кейбір режимдерін қолдаса, стандарттысы жүйе журналы немесе scp арқылы файлға сақтау.
Қауіпсіздік құралдарының стандартты мысалдарын және т.б. бере аласыз, ол жерден журналдарды қайта жіберуді конфигурациялау керек:
- Кез келген NGFW құралдары (Check Point, Fortinet);
- Кез келген осалдық сканерлері (PT Scanner, OpenVas);
- Веб қолданбалы желіаралық қалқан (PT AF);
- желілік ағын анализаторлары (Flowmon, Cisco StealthWatch);
- AD сервері.
Logstash жүйесінде журналдар мен конфигурация файлдарын жіберуді теңшегеннен кейін әртүрлі қауіпсіздік құралдарынан келетін оқиғаларды салыстыруға және салыстыруға болады. Мұны істеу үшін белгілі бір құрылғыға қатысты барлық оқиғаларды сақтайтын индекстерді пайдалану ыңғайлы. Басқаша айтқанда, бір индекс бір құрылғыға қатысты барлық оқиғалар болып табылады. Бұл бөлуді 2 жолмен жүзеге асыруға болады.
бірінші нұсқа Бұл Logstash конфигурациясын конфигурациялауға арналған. Мұны істеу үшін белгілі бір өрістер журналын басқа түрі бар бөлек бірлікке көшіру керек. Содан кейін бұл түрді болашақта қолданыңыз. Мысалда журналдар Check Point брандмауэрінің IPS жолағынан клондалған.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
Мұндай оқиғаларды журнал өрістеріне байланысты бөлек индекске сақтау үшін, мысалы, тағайындалған IP шабуыл қолтаңбалары. Сіз ұқсас құрылысты пайдалана аласыз:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
Осылайша, сіз барлық оқиғаларды индекске сақтай аласыз, мысалы, IP мекенжайы немесе құрылғының домендік атауы. Бұл жағдайда біз оны индекске сақтаймыз "smartdefense-%{dst}", қолтаңба тағайындалған жердің IP мекенжайы бойынша.
Дегенмен, әртүрлі өнімдерде әртүрлі журнал өрістері болады, бұл хаос пен қажетсіз жадты тұтынуға әкеледі. Мұнда сіз Logstash конфигурация параметрлеріндегі өрістерді алдын ала жасалғандармен мұқият ауыстыруыңыз керек, бұл барлық оқиғалар үшін бірдей болады, бұл да қиын тапсырма.
Екінші іске асыру нұсқасы - бұл нақты уақыт режимінде серпімді дерекқорға қол жеткізетін, қажетті оқиғаларды алып тастайтын және оларды жаңа индекске сақтайтын сценарий немесе процесті жазу, бұл қиын тапсырма, бірақ ол журналдармен қалағаныңызша жұмыс істеуге мүмкіндік береді, және басқа қауіпсіздік құралдарының инциденттерімен тікелей байланысты. Бұл опция журналдармен жұмысты сіздің ісіңіз үшін барынша икемділікпен ең пайдалы етіп конфигурациялауға мүмкіндік береді, бірақ бұл жерде мәселе оны жүзеге асыра алатын маманды табуда туындайды.
Және, әрине, ең маңызды сұрақ, және нені корреляциялауға және анықтауға болады??
Мұнда бірнеше нұсқа болуы мүмкін және бұл сіздің инфрақұрылымыңызда қандай қауіпсіздік құралдары қолданылатынына байланысты, бірнеше мысал:
- Ең айқын және менің көзқарасым бойынша, NGFW шешімі және осалдық сканері бар адамдар үшін ең қызықты нұсқа. Бұл IPS журналдары мен осалдықты қарап шығу нәтижелерін салыстыру. Егер IPS жүйесі шабуылды анықтаса (бұғаттамаса) және бұл осалдық сканерлеу нәтижелері бойынша соңғы құрылғыда жабылмаса, осалдықтың пайдаланылу ықтималдығы жоғары болғандықтан, ысқырықты шығару керек. .
- Бір құрылғыдан әртүрлі орындарға көптеген кіру әрекеттері зиянды әрекетті білдіруі мүмкін.
- Пайдаланушы көптеген ықтимал қауіпті сайттарға кіруге байланысты вирустық файлдарды жүктеп алады.
Статистика және визуализация
ELK Stack қажет ең айқын және түсінікті нәрсе - журналдарды сақтау және визуализациялау, Logstash көмегімен әртүрлі құрылғылардан журналдарды қалай жасауға болатыны көрсетілді. Журналдар Elasticsearch-ке өткеннен кейін, сіз де аталған бақылау тақталарын орната аласыз , визуализация арқылы қажет ақпарат пен статистикамен.
мысалдар:
- Ең маңызды оқиғалары бар қауіптердің алдын алу оқиғаларына арналған бақылау тақтасы. Мұнда сіз қай IPS қолтаңбалары анықталғанын және олардың географиялық тұрғыдан қайдан келгенін көрсете аласыз.
- Ақпараттың ағып кетуі мүмкін ең маңызды қолданбаларды пайдалану туралы бақылау тақтасы.
- Кез келген қауіпсіздік сканерінен нәтижелерді сканерлеңіз.
- Пайдаланушы бойынша Active Directory журналдары.
- VPN қосылымының бақылау тақтасы.
Бұл жағдайда, егер сіз бақылау тақталарын бірнеше секунд сайын жаңарту үшін конфигурацияласаңыз, сіз нақты уақытта оқиғаларды бақылау үшін өте ыңғайлы жүйені ала аласыз, содан кейін бақылау тақталарын бөлек орналастырсаңыз, ақпараттық қауіпсіздік инциденттеріне жылдам әрекет ету үшін пайдалануға болады. экран.
Оқиғаға басымдық беру
Үлкен инфрақұрылым жағдайында оқыс оқиғалардың саны артуы мүмкін, ал мамандар барлық оқиғалармен дер кезінде күресуге үлгермейді. Бұл жағдайда, ең алдымен, үлкен қауіп төндіретін оқиғаларды ғана атап өту қажет. Сондықтан жүйе инфрақұрылымға қатысты ауырлық дәрежесіне қарай оқиғаларға басымдық беруі керек. Бұл оқиғалар үшін электрондық пошта немесе телеграмма ескертуін орнатқан жөн. Басымдылықты визуализацияны орнату арқылы стандартты Kibana құралдары арқылы жүзеге асыруға болады. Бірақ хабарландырулармен бұл қиынырақ; әдепкі бойынша бұл функционалдылық Elasticsearch негізгі нұсқасына кірмейді, тек ақылы нұсқада. Сондықтан, не ақылы нұсқаны сатып алыңыз, немесе нақты уақытта мамандарды электрондық пошта немесе жеделхат арқылы хабардар ететін процесті өзіңіз жазыңыз.
Ақпаратты қорғау процестерін автоматтандыру
Және ең қызықты бөліктердің бірі - ақпараттық қауіпсіздік инциденттері бойынша әрекеттерді автоматтандыру. Бұрын біз Splunk үшін бұл функцияны іске асырдық, сіз бұл туралы көбірек оқи аласыз . Негізгі идея IPS саясаты ешқашан тексерілмейді немесе оңтайландырылмайды, бірақ кейбір жағдайларда ол ақпараттық қауіпсіздік процестерінің маңызды бөлігі болып табылады. Мысалы, NGFW жүзеге асырылғаннан кейін және IPS оңтайландыру бойынша әрекеттер болмағаннан кейін бір жылдан кейін сіз Detect әрекетімен көптеген қолтаңбаларды жинайсыз, олар бұғатталмайды, бұл ұйымдағы ақпараттық қауіпсіздік жағдайын айтарлықтай төмендетеді. Төменде автоматтандыруға болатын кейбір мысалдар берілген:
- IPS қолтаңбасын Анықтаудан болдырмауға жіберу. Егер Prevent сыни қолтаңбалар үшін жұмыс істемесе, бұл жұмыс істемейді және қорғау жүйесіндегі елеулі олқылық. Біз саясаттағы әрекетті осындай қолтаңбаларға өзгертеміз. NGFW құрылғысында REST API функциясы болса, бұл функцияны іске асыруға болады. Бұл бағдарламалау дағдылары болған жағдайда ғана мүмкін болады; сізге Elastcisearch-тен қажетті ақпаратты шығарып, NGFW басқару серверіне API сұрауларын жасау керек.
- Егер бір IP мекенжайынан желі трафигінде бірнеше қолтаңба анықталса немесе бұғатталған болса, желіаралық қалқан саясатында бұл IP мекенжайын біраз уақытқа блоктау мағынасы бар. Іске асыру сонымен қатар REST API пайдаланудан тұрады.
- Осалдық сканерімен хостты сканерлеуді іске қосыңыз, егер бұл хостта IPS қолтаңбалары немесе басқа қауіпсіздік құралдары көп болса; егер ол OpenVas болса, қауіпсіздік сканеріне ssh арқылы қосылатын сценарий жазып, сканерлеуді іске қоса аласыз.
TS Total Sight
Жалпы алғанда, барлық функционалдылықты жүзеге асыру өте ауқымды және күрделі міндет болып табылады. Бағдарламалау дағдыларынсыз сіз өндірісте пайдалану үшін жеткілікті болуы мүмкін минималды функционалдылықты конфигурациялай аласыз. Бірақ сіз барлық функционалдылыққа қызығушылық танытсаңыз, TS Total Sight-қа назар аудара аласыз. Толық ақпаратты біздің сайтымыздан таба аласыз . Нәтижесінде бүкіл жұмыс схемасы мен архитектурасы келесідей болады:
қорытынды
Біз ELK Stack көмегімен нені жүзеге асыруға болатынын қарастырдық. Келесі мақалаларда біз TS Total Sight функционалдығын толығырақ қарастырамыз!
Сондықтан хабардар болыңыз (, , , ), .
Ақпарат көзі: www.habr.com