Elastic Stack គឺជាឧបករណ៍ដ៏ល្បីមួយនៅក្នុងទីផ្សារប្រព័ន្ធ SIEM (តាមពិតទៅ មិនត្រឹមតែប៉ុណ្ណោះ)។ វាអាចប្រមូលទិន្នន័យដែលមានទំហំខុសៗគ្នាជាច្រើន ទាំងរសើប និងមិនរសើបខ្លាំង។ វាមិនត្រឹមត្រូវទាំងស្រុងទេ ប្រសិនបើការចូលទៅកាន់ធាតុ Elastic Stack ខ្លួនឯងមិនត្រូវបានការពារ។ តាមលំនាំដើម ធាតុ Elastic out-of-the-box ទាំងអស់ (Elasticsearch, Logstash, Kibana, and Beats collectors) ដំណើរការលើពិធីការបើកចំហ។ ហើយនៅក្នុង Kibana ខ្លួនវា ការផ្ទៀងផ្ទាត់ត្រូវបានបិទ។ អន្តរកម្មទាំងអស់នេះអាចធានាបាន ហើយនៅក្នុងអត្ថបទនេះយើងនឹងប្រាប់អ្នកពីរបៀបធ្វើវា។ ដើម្បីភាពងាយស្រួល យើងបានបែងចែកការនិទានរឿងទៅជា 3 ប្លុក semantic:

• គំរូចូលប្រើទិន្នន័យផ្អែកលើតួនាទី
• សុវត្ថិភាពទិន្នន័យនៅក្នុងចង្កោម Elasticsearch
• ការធានាទិន្នន័យនៅខាងក្រៅក្រុម Elasticsearch

ព័ត៌មានលម្អិតនៅក្រោមការកាត់។

គំរូចូលប្រើទិន្នន័យផ្អែកលើតួនាទី

ប្រសិនបើអ្នកដំឡើង Elasticsearch ហើយមិនកំណត់វាតាមមធ្យោបាយណាមួយទេ ការចូលប្រើលិបិក្រមទាំងអស់នឹងបើកចំហសម្រាប់មនុស្សគ្រប់គ្នា។ ជាការប្រសើរណាស់, ឬអ្នកដែលអាចប្រើ curl ។ ដើម្បីជៀសវាងបញ្ហានេះ Elasticsearch មានគំរូមួយដែលអាចរកបានដោយចាប់ផ្តើមជាមួយនឹងការជាវ Basic (ដែលមិនគិតថ្លៃ)។ តាមគ្រោងការណ៍វាមើលទៅដូចនេះ៖

តើមានអ្វីនៅក្នុងរូបភាព

• អ្នក​ប្រើ​គឺ​ជា​អ្នក​រាល់​គ្នា​ដែល​អាច​ចូល​ដោយ​ប្រើ​លិខិត​បញ្ជាក់​របស់​ពួក​គេ។
• តួនាទីគឺជាសំណុំនៃសិទ្ធិ។
• សិទ្ធិគឺជាសំណុំនៃសិទ្ធិ។
• សិទ្ធិគឺការអនុញ្ញាតឱ្យសរសេរ អាន លុប ជាដើម។ (បញ្ជីពេញលេញនៃសិទ្ធិ)
• ធនធានគឺជាលិបិក្រម ឯកសារ វាល អ្នកប្រើប្រាស់ និងអង្គភាពផ្ទុកផ្សេងទៀត (គំរូសម្រាប់ធនធានមួយចំនួនអាចប្រើបានតែជាមួយការជាវដែលបានបង់)។

តាមលំនាំដើម Elasticsearch មាន អ្នកប្រើប្រាស់ប្រអប់ដែលពួកគេត្រូវបានភ្ជាប់ តួនាទីប្រអប់. នៅពេលដែលអ្នកបើកការកំណត់សុវត្ថិភាព អ្នកអាចចាប់ផ្តើមប្រើពួកវាភ្លាមៗ។

ដើម្បីបើកសុវត្ថិភាពក្នុងការកំណត់ Elasticsearch អ្នកត្រូវបន្ថែមវាទៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ (តាមលំនាំដើម នេះគឺ elasticsearch/config/elasticsearch.yml) ជួរថ្មី៖

xpack.security.enabled: true

បន្ទាប់ពីផ្លាស់ប្តូរឯកសារកំណត់រចនាសម្ព័ន្ធ សូមបើកដំណើរការ ឬចាប់ផ្តើម Elasticsearch ឡើងវិញដើម្បីឱ្យការផ្លាស់ប្តូរមានប្រសិទ្ធភាព។ ជំហានបន្ទាប់គឺការផ្តល់លេខសម្ងាត់ដល់អ្នកប្រើប្រាស់ប្រអប់។ តោះធ្វើអន្តរកម្មដោយប្រើពាក្យបញ្ជាខាងក្រោម៖

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y


Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]

កំពុងពិនិត្យ:

[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1

អ្នកអាចវាយខ្លួនអ្នកនៅខាងក្រោយ - ការកំណត់នៅផ្នែក Elasticsearch ត្រូវបានបញ្ចប់។ ឥឡូវនេះវាដល់ពេលកំណត់រចនាសម្ព័ន្ធ Kibana ។ ប្រសិនបើអ្នកដំណើរការវាឥឡូវនេះ កំហុសនឹងលេចឡើង ដូច្នេះវាមានសារៈសំខាន់ណាស់ក្នុងការបង្កើតឃ្លាំងសម្ងាត់។ នេះត្រូវបានធ្វើនៅក្នុងពាក្យបញ្ជាពីរ (អ្នកប្រើប្រាស់ គីប៊ីណា និងពាក្យសម្ងាត់ដែលបានបញ្ចូលក្នុងជំហានបង្កើតពាក្យសម្ងាត់នៅក្នុង Elasticsearch)៖

[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.username
[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.password

ប្រសិនបើអ្វីៗទាំងអស់ត្រឹមត្រូវ Kibana នឹងចាប់ផ្តើមស្នើសុំការចូល និងពាក្យសម្ងាត់។ ការជាវជាមូលដ្ឋានរួមមានគំរូដែលផ្អែកលើអ្នកប្រើប្រាស់ខាងក្នុង។ ដោយចាប់ផ្តើមជាមួយ Gold អ្នកអាចភ្ជាប់ប្រព័ន្ធផ្ទៀងផ្ទាត់ខាងក្រៅ - LDAP, PKI, Active Directory និង Single sign-on systems។

សិទ្ធិចូលប្រើវត្ថុនៅខាងក្នុង Elasticsearch ក៏អាចត្រូវបានកំណត់ផងដែរ។ ទោះយ៉ាងណាក៏ដោយ ដើម្បីធ្វើដូចគ្នាសម្រាប់ឯកសារ ឬវាល អ្នកនឹងត្រូវការការជាវបង់ប្រាក់ (ប្រណីតភាពនេះចាប់ផ្តើមជាមួយនឹងកម្រិតផ្លាទីន)។ ការកំណត់ទាំងនេះមាននៅក្នុងចំណុចប្រទាក់ Kibana ឬតាមរយៈ API សុវត្ថិភាព. អ្នកអាចពិនិត្យមើលតាមរយៈម៉ឺនុយឧបករណ៍ Dev ដែលធ្លាប់ស្គាល់រួចហើយ៖

ការបង្កើតតួនាទី

PUT /_security/role/ruslan_i_ludmila_role
{
  "cluster": [],
  "indices": [
    {
      "names": [ "ruslan_i_ludmila" ],
      "privileges": ["read", "view_index_metadata"]
    }
  ]
}

ការបង្កើតអ្នកប្រើប្រាស់

POST /_security/user/pushkin
{
  "password" : "nataliaonelove",
  "roles" : [ "ruslan_i_ludmila_role", "kibana_user" ],
  "full_name" : "Alexander Pushkin",
  "email" : "[email protected]",
  "metadata" : {
    "hometown" : "Saint-Petersburg"
  }
}

សុវត្ថិភាពទិន្នន័យនៅក្នុងចង្កោម Elasticsearch

នៅពេលដែល Elasticsearch ដំណើរការក្នុងចង្កោម (ដែលជារឿងធម្មតា) ការកំណត់សុវត្ថិភាពនៅក្នុងចង្កោមក្លាយជាសំខាន់។ សម្រាប់ការទំនាក់ទំនងប្រកបដោយសុវត្ថិភាពរវាងថ្នាំង Elasticsearch ប្រើពិធីការ TLS ។ ដើម្បីរៀបចំអន្តរកម្មប្រកបដោយសុវត្ថិភាពរវាងពួកគេ អ្នកត្រូវការវិញ្ញាបនបត្រ។ យើងបង្កើតវិញ្ញាបនបត្រ និងសោឯកជនក្នុងទម្រង់ PEM៖

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pem

បន្ទាប់ពីប្រតិបត្តិពាក្យបញ្ជាខាងលើនៅក្នុងថត /../elasticsearch ប័ណ្ណសារនឹងលេចឡើង elastic-stack-ca.zip. នៅខាងក្នុងអ្នកនឹងឃើញវិញ្ញាបនបត្រ និងសោឯកជនមួយដែលមានផ្នែកបន្ថែម crt и គន្លឹះ រៀងៗខ្លួន។ វាត្រូវបានណែនាំឱ្យដាក់ពួកវានៅលើធនធានចែករំលែក ដែលគួរអាចចូលប្រើបានពីថ្នាំងទាំងអស់នៅក្នុងចង្កោម។

ឥឡូវនេះថ្នាំងនីមួយៗត្រូវការវិញ្ញាបនបត្រផ្ទាល់ខ្លួន និងសោឯកជន ដោយផ្អែកលើអ្វីដែលនៅក្នុងថតដែលបានចែករំលែក។ នៅពេលប្រតិបត្តិពាក្យបញ្ជា អ្នកនឹងត្រូវបានសួរឱ្យកំណត់ពាក្យសម្ងាត់។ អ្នកអាចបន្ថែមជម្រើសបន្ថែម -ip និង -dns សម្រាប់ការផ្ទៀងផ្ទាត់ពេញលេញនៃថ្នាំងអន្តរកម្ម។

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key

ជាលទ្ធផលនៃការប្រតិបត្តិពាក្យបញ្ជា យើងនឹងទទួលបានវិញ្ញាបនបត្រ និងសោឯកជនក្នុងទម្រង់ PKCS#12 ដែលត្រូវបានការពារដោយពាក្យសម្ងាត់។ អ្វីដែលនៅសល់គឺត្រូវផ្លាស់ទីឯកសារដែលបានបង្កើត p12 ទៅកាន់ថតកំណត់រចនាសម្ព័ន្ធ៖

[elastic@node1 ~]$ mv elasticsearch/elastic-certificates.p12 elasticsearch/config

បន្ថែមពាក្យសម្ងាត់ទៅវិញ្ញាបនបត្រក្នុងទម្រង់ p12 នៅក្នុង keystore និង truststore នៅលើ node នីមួយៗ៖

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

ស្គាល់រួចហើយ elasticsearch.yml អ្វីដែលនៅសេសសល់គឺត្រូវបន្ថែមបន្ទាត់ជាមួយទិន្នន័យវិញ្ញាបនបត្រ៖

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

យើងបើកដំណើរការថ្នាំង Elasticsearch ទាំងអស់ ហើយប្រតិបត្តិ curl. ប្រសិនបើអ្វីៗគ្រប់យ៉ាងត្រូវបានធ្វើបានត្រឹមត្រូវ ការឆ្លើយតបជាមួយថ្នាំងជាច្រើននឹងត្រូវបានត្រឡប់មកវិញ៖

[elastic@node1 ~]$ curl node1:9200/_cat/nodes -u elastic:password                                                                                    
172.18.0.3 43 75 4 0.00 0.05 0.05 dim * node2                                                                                                                     
172.18.0.4 21 75 3 0.00 0.05 0.05 dim - node3                                                                                                                     
172.18.0.2 39 75 4 0.00 0.05 0.05 dim - node1

មានជម្រើសសុវត្ថិភាពមួយផ្សេងទៀត - តម្រងអាសយដ្ឋាន IP (មាននៅក្នុងការជាវពីកម្រិតមាស)។ អនុញ្ញាតឱ្យអ្នកបង្កើតបញ្ជីសនៃអាសយដ្ឋាន IP ដែលអ្នកត្រូវបានអនុញ្ញាតឱ្យចូលប្រើថ្នាំង។

ការធានាទិន្នន័យនៅខាងក្រៅក្រុម Elasticsearch

នៅខាងក្រៅចង្កោមមានន័យថាភ្ជាប់ឧបករណ៍ខាងក្រៅ: Kibana, Logstash, Beats ឬម៉ាស៊ីនភ្ញៀវខាងក្រៅផ្សេងទៀត។

ដើម្បីកំណត់រចនាសម្ព័ន្ធការគាំទ្រសម្រាប់ https (ជំនួសឱ្យ http) បន្ថែមបន្ទាត់ថ្មីទៅ elasticsearch.yml៖

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12
xpack.security.http.ssl.truststore.path: elastic-certificates.p12

ដោយសារតែ វិញ្ញាបនបត្រត្រូវបានការពារដោយពាក្យសម្ងាត់ បន្ថែមវាទៅ keystore និង truststore នៅលើ node នីមួយៗ៖

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password

បន្ទាប់ពីបន្ថែមកូនសោ ថ្នាំង Elasticsearch រួចរាល់ដើម្បីភ្ជាប់តាមរយៈ https ។ ឥឡូវនេះពួកគេអាចត្រូវបានដាក់ឱ្យដំណើរការ។

ជំហានបន្ទាប់គឺបង្កើតកូនសោដើម្បីភ្ជាប់ Kibana ហើយបន្ថែមវាទៅក្នុងការកំណត់។ ដោយផ្អែកលើវិញ្ញាបនបត្រដែលមានទីតាំងនៅក្នុងថតដែលបានចែករំលែករួចហើយ យើងនឹងបង្កើតវិញ្ញាបនបត្រក្នុងទម្រង់ PEM (PKCS#12 Kibana, Logstash និង Beats មិនទាន់គាំទ្រ)៖

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key --pem

អ្វីដែលនៅសេសសល់គឺត្រូវស្រាយសោដែលបានបង្កើតទៅក្នុងថតឯកសារជាមួយនឹងការកំណត់រចនាសម្ព័ន្ធ Kibana៖

[elastic@node1 ~]$ unzip elasticsearch/certificate-bundle.zip -d kibana/config

គ្រាប់ចុចគឺនៅទីនោះ ដូច្នេះអ្វីៗដែលនៅសល់គឺត្រូវផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ Kibana ដូច្នេះវាចាប់ផ្តើមប្រើប្រាស់ពួកវា។ នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ kibana.yml ផ្លាស់ប្តូរ http ទៅ https ហើយបន្ថែមបន្ទាត់ជាមួយនឹងការកំណត់ការតភ្ជាប់ SSL ។ បន្ទាត់បីចុងក្រោយកំណត់រចនាសម្ព័ន្ធទំនាក់ទំនងប្រកបដោយសុវត្ថិភាពរវាងកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់អ្នកប្រើ និង Kibana ។

elasticsearch.hosts: ["https://${HOSTNAME}:9200"]
elasticsearch.ssl.certificateAuthorities: /shared_folder/ca/ca.crt
elasticsearch.ssl.verificationMode: certificate
server.ssl.enabled: true
server.ssl.key: /../kibana/config/instance/instance.key
server.ssl.certificate: /../kibana/config/instance/instance.crt

ដូច្នេះ ការកំណត់ត្រូវបានបញ្ចប់ ហើយការចូលប្រើទិន្នន័យនៅក្នុងចង្កោម Elasticsearch ត្រូវបានអ៊ិនគ្រីប។

ប្រសិនបើអ្នកមានសំណួរអំពីសមត្ថភាពរបស់ Elastic Stack លើការជាវឥតគិតថ្លៃ ឬបង់ប្រាក់ ការត្រួតពិនិត្យភារកិច្ច ឬការបង្កើតប្រព័ន្ធ SIEM សូមទុកសំណើមួយទៅកាន់ ទម្រង់មតិត្រឡប់ នៅលើគេហទំព័ររបស់យើង។

អត្ថបទច្រើនទៀតរបស់យើងអំពី Elastic Stack on Habre:

ការយល់ដឹងអំពី Machine Learning នៅក្នុង Elastic Stack (aka Elasticsearch, aka ELK)

ការស្វែងរកទំហំ Elasticsearch

ប្រភព: www.habr.com