🥇ಮಾಹಿತಿ ಭದ್ರತಾ ಇಂಜಿನಿಯರ್‌ಗಳಿಗೆ ವೆಬ್‌ಸೈಟ್‌ಗಳಲ್ಲಿನ ದಾಳಿಗಳ ವಿರುದ್ಧ ಹೋರಾಡಲು ಮತ್ತು ಶಾಂತಿಯುತವಾಗಿ ಮಲಗಲು ELK ಹೇಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ

ನಮ್ಮ ಸೈಬರ್ ರಕ್ಷಣಾ ಕೇಂದ್ರವು ಗ್ರಾಹಕರ ವೆಬ್ ಮೂಲಸೌಕರ್ಯದ ಭದ್ರತೆಗೆ ಕಾರಣವಾಗಿದೆ ಮತ್ತು ಕ್ಲೈಂಟ್ ಸೈಟ್‌ಗಳ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಹಿಮ್ಮೆಟ್ಟಿಸುತ್ತದೆ. ದಾಳಿಯಿಂದ ರಕ್ಷಿಸಲು ನಾವು FortiWeb ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಫೈರ್‌ವಾಲ್‌ಗಳನ್ನು (WAF) ಬಳಸುತ್ತೇವೆ. ಆದರೆ ತಂಪಾದ WAF ಸಹ ರಾಮಬಾಣವಲ್ಲ ಮತ್ತು ಉದ್ದೇಶಿತ ದಾಳಿಯಿಂದ ಪೆಟ್ಟಿಗೆಯಿಂದ ರಕ್ಷಿಸುವುದಿಲ್ಲ.

ಆದ್ದರಿಂದ, WAF ಜೊತೆಗೆ ನಾವು ಬಳಸುತ್ತೇವೆ ELK. ಇದು ಎಲ್ಲಾ ಘಟನೆಗಳನ್ನು ಒಂದೇ ಸ್ಥಳದಲ್ಲಿ ಸಂಗ್ರಹಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ, ಅಂಕಿಅಂಶಗಳನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ, ಅವುಗಳನ್ನು ದೃಶ್ಯೀಕರಿಸುತ್ತದೆ ಮತ್ತು ಸಮಯಕ್ಕೆ ಗುರಿಪಡಿಸಿದ ದಾಳಿಯನ್ನು ನೋಡಲು ನಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.

ಇಂದು ನಾವು WAF ನೊಂದಿಗೆ "ಕ್ರಿಸ್ಮಸ್ ಮರ" ವನ್ನು ಹೇಗೆ ದಾಟಿದ್ದೇವೆ ಮತ್ತು ಅದರಿಂದ ಏನಾಯಿತು ಎಂಬುದನ್ನು ನಾನು ನಿಮಗೆ ಹೆಚ್ಚು ವಿವರವಾಗಿ ಹೇಳುತ್ತೇನೆ.

ಒಂದು ದಾಳಿಯ ಕಥೆ: ELK ಗೆ ಪರಿವರ್ತನೆಯ ಮೊದಲು ಎಲ್ಲವೂ ಹೇಗೆ ಕೆಲಸ ಮಾಡಿದೆ

ಗ್ರಾಹಕರು ನಮ್ಮ WAF ಹಿಂದೆ ನಮ್ಮ ಕ್ಲೌಡ್‌ನಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ನಿಯೋಜಿಸಿದ್ದಾರೆ. ದಿನಕ್ಕೆ 10 ರಿಂದ 000 ಬಳಕೆದಾರರು ಸೈಟ್‌ಗೆ ಸಂಪರ್ಕ ಹೊಂದಿದ್ದಾರೆ, ಸಂಪರ್ಕಗಳ ಸಂಖ್ಯೆ ದಿನಕ್ಕೆ 100 ಮಿಲಿಯನ್ ತಲುಪಿದೆ. ಇವರಲ್ಲಿ 000-20 ಬಳಕೆದಾರರು ದಾಳಿಕೋರರಾಗಿದ್ದು, ಸೈಟ್ ಹ್ಯಾಕ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸಿದ್ದಾರೆ.

FortiWeb ಒಂದು IP ವಿಳಾಸದಿಂದ ಸಾಮಾನ್ಯ ಬ್ರೂಟ್ ಫೋರ್ಸ್ ಫಾರ್ಮ್ ಅನ್ನು ಸುಲಭವಾಗಿ ನಿರ್ಬಂಧಿಸಿದೆ. ಸೈಟ್‌ಗೆ ಪ್ರತಿ ನಿಮಿಷಕ್ಕೆ ಹಿಟ್‌ಗಳ ಸಂಖ್ಯೆಯು ಕಾನೂನುಬದ್ಧ ಬಳಕೆದಾರರಿಗಿಂತ ಹೆಚ್ಚಾಗಿರುತ್ತದೆ. ನಾವು ಕೇವಲ ಒಂದು ವಿಳಾಸದಿಂದ ಚಟುವಟಿಕೆಯ ಮಿತಿಗಳನ್ನು ಹೊಂದಿಸಿದ್ದೇವೆ ಮತ್ತು ದಾಳಿಯನ್ನು ಹಿಮ್ಮೆಟ್ಟಿಸಿದ್ದೇವೆ.

ಆಕ್ರಮಣಕಾರರು ನಿಧಾನವಾಗಿ ವರ್ತಿಸಿದಾಗ ಮತ್ತು ಸಾಮಾನ್ಯ ಗ್ರಾಹಕರಂತೆ ಮರೆಮಾಚಿದಾಗ "ನಿಧಾನ ದಾಳಿ" ಯನ್ನು ಎದುರಿಸುವುದು ಹೆಚ್ಚು ಕಷ್ಟ. ಅವರು ಅನೇಕ ವಿಶಿಷ್ಟ IP ವಿಳಾಸಗಳನ್ನು ಬಳಸುತ್ತಾರೆ. ಅಂತಹ ಚಟುವಟಿಕೆಯು WAF ಗೆ ಬೃಹತ್ ವಿವೇಚನಾರಹಿತ ಶಕ್ತಿಯಂತೆ ಕಾಣಲಿಲ್ಲ; ಅದನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಟ್ರ್ಯಾಕ್ ಮಾಡುವುದು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿತ್ತು. ಸಾಮಾನ್ಯ ಬಳಕೆದಾರರನ್ನು ನಿರ್ಬಂಧಿಸುವ ಅಪಾಯವೂ ಇತ್ತು. ನಾವು ದಾಳಿಯ ಇತರ ಚಿಹ್ನೆಗಳಿಗಾಗಿ ನೋಡಿದ್ದೇವೆ ಮತ್ತು ಈ ಚಿಹ್ನೆಯ ಆಧಾರದ ಮೇಲೆ IP ವಿಳಾಸಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ನಿರ್ಬಂಧಿಸಲು ನೀತಿಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ್ದೇವೆ. ಉದಾಹರಣೆಗೆ, ಅನೇಕ ನ್ಯಾಯಸಮ್ಮತವಲ್ಲದ ಸೆಷನ್‌ಗಳು HTTP ವಿನಂತಿ ಹೆಡರ್‌ಗಳಲ್ಲಿ ಸಾಮಾನ್ಯ ಕ್ಷೇತ್ರಗಳನ್ನು ಹೊಂದಿದ್ದವು. ಈ ಕ್ಷೇತ್ರಗಳನ್ನು ಹೆಚ್ಚಾಗಿ FortiWeb ಈವೆಂಟ್ ಲಾಗ್‌ಗಳಲ್ಲಿ ಹಸ್ತಚಾಲಿತವಾಗಿ ಹುಡುಕಬೇಕಾಗಿತ್ತು.

ಇದು ದೀರ್ಘ ಮತ್ತು ಅಹಿತಕರವಾಗಿ ಹೊರಹೊಮ್ಮಿತು. ಪ್ರಮಾಣಿತ FortiWeb ಕಾರ್ಯನಿರ್ವಹಣೆಯಲ್ಲಿ, ಈವೆಂಟ್‌ಗಳನ್ನು 3 ವಿಭಿನ್ನ ಲಾಗ್‌ಗಳಲ್ಲಿ ಪಠ್ಯದಲ್ಲಿ ದಾಖಲಿಸಲಾಗಿದೆ: ಪತ್ತೆಯಾದ ದಾಳಿಗಳು, ವಿನಂತಿ ಮಾಹಿತಿ ಮತ್ತು WAF ಕಾರ್ಯಾಚರಣೆಯ ಕುರಿತು ಸಿಸ್ಟಮ್ ಸಂದೇಶಗಳು. ಒಂದು ನಿಮಿಷದಲ್ಲಿ ಹತ್ತಾರು ಅಥವಾ ನೂರಾರು ದಾಳಿ ಘಟನೆಗಳು ಬರಬಹುದು.

ತುಂಬಾ ಅಲ್ಲ, ಆದರೆ ನೀವು ಹಲವಾರು ಲಾಗ್‌ಗಳ ಮೂಲಕ ಹಸ್ತಚಾಲಿತವಾಗಿ ಏರಬೇಕು ಮತ್ತು ಹಲವಾರು ಸಾಲುಗಳ ಮೂಲಕ ಪುನರಾವರ್ತಿಸಬೇಕು:

ದಾಳಿಯ ಲಾಗ್‌ನಲ್ಲಿ ನಾವು ಬಳಕೆದಾರರ ವಿಳಾಸಗಳು ಮತ್ತು ಚಟುವಟಿಕೆಯ ಸ್ವರೂಪವನ್ನು ನೋಡುತ್ತೇವೆ.

ಲಾಗ್ ಟೇಬಲ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ಇದು ಸಾಕಾಗುವುದಿಲ್ಲ. ದಾಳಿಯ ಸ್ವರೂಪದ ಬಗ್ಗೆ ಅತ್ಯಂತ ಆಸಕ್ತಿದಾಯಕ ಮತ್ತು ಉಪಯುಕ್ತ ಮಾಹಿತಿಯನ್ನು ಕಂಡುಹಿಡಿಯಲು, ನೀವು ನಿರ್ದಿಷ್ಟ ಘಟನೆಯೊಳಗೆ ನೋಡಬೇಕು:

ಹೈಲೈಟ್ ಮಾಡಲಾದ ಕ್ಷೇತ್ರಗಳು "ನಿಧಾನ ದಾಳಿ" ಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಸಹಾಯ ಮಾಡುತ್ತವೆ. ಮೂಲ: ಸ್ಕ್ರೀನ್‌ಶಾಟ್ ಫೋರ್ಟಿನೆಟ್ ವೆಬ್‌ಸೈಟ್.

ಅಲ್ಲದೆ, ಪ್ರಮುಖ ಸಮಸ್ಯೆಯೆಂದರೆ ಫೋರ್ಟಿವೆಬ್ ತಜ್ಞರು ಮಾತ್ರ ಇದನ್ನು ಲೆಕ್ಕಾಚಾರ ಮಾಡಬಹುದು. ವ್ಯಾಪಾರದ ಸಮಯದಲ್ಲಿ ನಾವು ನೈಜ ಸಮಯದಲ್ಲಿ ಅನುಮಾನಾಸ್ಪದ ಚಟುವಟಿಕೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಬಹುದು, ರಾತ್ರಿಯ ಘಟನೆಗಳ ತನಿಖೆಯು ಹೆಚ್ಚು ಸಮಯ ತೆಗೆದುಕೊಳ್ಳಬಹುದು. FortiWeb ನೀತಿಗಳು ಕೆಲವು ಕಾರಣಗಳಿಂದ ಕೆಲಸ ಮಾಡದಿದ್ದಾಗ, ಕರ್ತವ್ಯದಲ್ಲಿರುವ ರಾತ್ರಿ ಪಾಳಿಯ ಎಂಜಿನಿಯರ್‌ಗಳು WAF ಗೆ ಪ್ರವೇಶವಿಲ್ಲದೆ ಪರಿಸ್ಥಿತಿಯನ್ನು ನಿರ್ಣಯಿಸಲು ಸಾಧ್ಯವಾಗಲಿಲ್ಲ ಮತ್ತು FortiWeb ತಜ್ಞರನ್ನು ಎಚ್ಚರಗೊಳಿಸಿದರು. ನಾವು ಹಲವಾರು ಗಂಟೆಗಳ ದಾಖಲೆಗಳ ಮೂಲಕ ನೋಡಿದ್ದೇವೆ ಮತ್ತು ದಾಳಿಯ ಕ್ಷಣವನ್ನು ಕಂಡುಕೊಂಡಿದ್ದೇವೆ.

ಅಂತಹ ಮಾಹಿತಿಯ ಸಂಪುಟಗಳೊಂದಿಗೆ, ಮೊದಲ ನೋಟದಲ್ಲಿ ದೊಡ್ಡ ಚಿತ್ರವನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಮತ್ತು ಪೂರ್ವಭಾವಿಯಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸಲು ಕಷ್ಟವಾಗುತ್ತದೆ. ನಂತರ ನಾವು ಎಲ್ಲವನ್ನೂ ದೃಶ್ಯ ರೂಪದಲ್ಲಿ ವಿಶ್ಲೇಷಿಸಲು, ದಾಳಿಯ ಪ್ರಾರಂಭವನ್ನು ಕಂಡುಹಿಡಿಯಲು, ಅದರ ದಿಕ್ಕು ಮತ್ತು ನಿರ್ಬಂಧಿಸುವ ವಿಧಾನವನ್ನು ಗುರುತಿಸಲು ಒಂದೇ ಸ್ಥಳದಲ್ಲಿ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸಲು ನಿರ್ಧರಿಸಿದ್ದೇವೆ.

ನೀವು ಯಾವುದನ್ನು ಆರಿಸಿಕೊಂಡಿದ್ದೀರಿ?

ಮೊದಲನೆಯದಾಗಿ, ಘಟಕಗಳನ್ನು ಅನಗತ್ಯವಾಗಿ ಗುಣಿಸದಂತೆ ನಾವು ಈಗಾಗಲೇ ಬಳಕೆಯಲ್ಲಿರುವ ಪರಿಹಾರಗಳನ್ನು ನೋಡಿದ್ದೇವೆ.

ಮೊದಲ ಆಯ್ಕೆಗಳಲ್ಲಿ ಒಂದಾಗಿತ್ತು ನಾಗಯೋಸ್ನಾವು ಮೇಲ್ವಿಚಾರಣೆಗಾಗಿ ಬಳಸುತ್ತೇವೆ ಎಂಜಿನಿಯರಿಂಗ್ ಮೂಲಸೌಕರ್ಯ, ನೆಟ್ವರ್ಕ್ ಮೂಲಸೌಕರ್ಯ, ತುರ್ತು ಪರಿಸ್ಥಿತಿಗಳ ಬಗ್ಗೆ ಎಚ್ಚರಿಕೆಗಳು. ಅನುಮಾನಾಸ್ಪದ ದಟ್ಟಣೆಯ ಸಂದರ್ಭದಲ್ಲಿ ಕರ್ತವ್ಯ ಅಧಿಕಾರಿಗಳಿಗೆ ಸೂಚಿಸಲು ಭದ್ರತಾ ಸಿಬ್ಬಂದಿ ಇದನ್ನು ಬಳಸುತ್ತಾರೆ, ಆದರೆ ಚದುರಿದ ದಾಖಲೆಗಳನ್ನು ಹೇಗೆ ಸಂಗ್ರಹಿಸುವುದು ಎಂದು ತಿಳಿದಿಲ್ಲ ಮತ್ತು ಆದ್ದರಿಂದ ಇನ್ನು ಮುಂದೆ ಅಗತ್ಯವಿಲ್ಲ.

ಬಳಸಿ ಎಲ್ಲವನ್ನೂ ಒಟ್ಟುಗೂಡಿಸುವ ಆಯ್ಕೆ ಇತ್ತು MySQL ಮತ್ತು PostgreSQL ಅಥವಾ ಇತರ ಸಂಬಂಧಿತ ಡೇಟಾಬೇಸ್. ಆದರೆ ಡೇಟಾವನ್ನು ಹೊರತೆಗೆಯಲು, ನೀವು ನಿಮ್ಮ ಸ್ವಂತ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ರಚಿಸಬೇಕಾಗಿತ್ತು.

ನಮ್ಮ ಕಂಪನಿಯೂ ಬಳಸುತ್ತದೆ ಫೋರ್ಟಿಅನಾಲೈಸರ್ Fortinet ನಿಂದ. ಆದರೆ ಅದು ಈ ಪ್ರಕರಣದಲ್ಲೂ ಹಿಡಿಸಲಿಲ್ಲ. ಮೊದಲನೆಯದಾಗಿ, ಫೈರ್‌ವಾಲ್‌ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಇದು ಹೆಚ್ಚು ಸೂಕ್ತವಾಗಿದೆ ಫೋರ್ಟಿಗೇಟ್. ಎರಡನೆಯದಾಗಿ, ಅನೇಕ ಸೆಟ್ಟಿಂಗ್‌ಗಳು ಕಾಣೆಯಾಗಿವೆ ಮತ್ತು ಅದರೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು SQL ಪ್ರಶ್ನೆಗಳ ಅತ್ಯುತ್ತಮ ಜ್ಞಾನದ ಅಗತ್ಯವಿದೆ. ಮತ್ತು ಮೂರನೆಯದಾಗಿ, ಅದರ ಬಳಕೆಯು ಗ್ರಾಹಕರಿಗೆ ಸೇವೆಯ ವೆಚ್ಚವನ್ನು ಹೆಚ್ಚಿಸುತ್ತದೆ.

ನಾವು ರೂಪದಲ್ಲಿ ತೆರೆದ ಮೂಲಕ್ಕೆ ಬಂದದ್ದು ಹೀಗೆ ELK.

ELK ಅನ್ನು ಏಕೆ ಆರಿಸಬೇಕು

ELK ಓಪನ್ ಸೋರ್ಸ್ ಪ್ರೋಗ್ರಾಂಗಳ ಒಂದು ಸೆಟ್ ಆಗಿದೆ:

Elasticsearch - ದೊಡ್ಡ ಪ್ರಮಾಣದ ಪಠ್ಯದೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ನಿರ್ದಿಷ್ಟವಾಗಿ ರಚಿಸಲಾದ ಸಮಯ ಸರಣಿ ಡೇಟಾಬೇಸ್;
ಲಾಗ್‌ಸ್ಟ್ಯಾಶ್ - ಲಾಗ್‌ಗಳನ್ನು ಅಪೇಕ್ಷಿತ ಸ್ವರೂಪಕ್ಕೆ ಪರಿವರ್ತಿಸುವ ಡೇಟಾ ಸಂಗ್ರಹಣಾ ಕಾರ್ಯವಿಧಾನ;
ಕಿಬಾನಾ - ಉತ್ತಮ ದೃಶ್ಯೀಕರಣ, ಹಾಗೆಯೇ ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟವನ್ನು ನಿರ್ವಹಿಸಲು ಸಾಕಷ್ಟು ಸ್ನೇಹಿ ಇಂಟರ್ಫೇಸ್. ಕರ್ತವ್ಯದಲ್ಲಿರುವ ಎಂಜಿನಿಯರ್‌ಗಳು ರಾತ್ರಿಯಲ್ಲಿ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಬಹುದಾದ ಗ್ರಾಫ್‌ಗಳನ್ನು ನಿರ್ಮಿಸಲು ನೀವು ಇದನ್ನು ಬಳಸಬಹುದು.

ELK ಗೆ ಪ್ರವೇಶ ಮಿತಿ ಕಡಿಮೆಯಾಗಿದೆ. ಎಲ್ಲಾ ಮೂಲಭೂತ ವೈಶಿಷ್ಟ್ಯಗಳು ಉಚಿತ. ಸಂತೋಷಕ್ಕೆ ಇನ್ನೇನು ಬೇಕು?

ನಾವು ಎಲ್ಲವನ್ನೂ ಒಂದೇ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಹೇಗೆ ಸೇರಿಸಿದ್ದೇವೆ?

ನಾವು ಸೂಚ್ಯಂಕಗಳನ್ನು ರಚಿಸಿದ್ದೇವೆ ಮತ್ತು ಅಗತ್ಯ ಮಾಹಿತಿಯನ್ನು ಮಾತ್ರ ಬಿಟ್ಟಿದ್ದೇವೆ. ನಾವು ಎಲ್ಲಾ ಮೂರು FortiWEB ಲಾಗ್‌ಗಳನ್ನು ELK ಗೆ ಲೋಡ್ ಮಾಡಿದ್ದೇವೆ ಮತ್ತು ಔಟ್‌ಪುಟ್ ಸೂಚ್ಯಂಕಗಳಾಗಿವೆ. ಇವುಗಳು ಒಂದು ಅವಧಿಗೆ ಎಲ್ಲಾ ಸಂಗ್ರಹಿಸಿದ ಲಾಗ್‌ಗಳೊಂದಿಗೆ ಫೈಲ್‌ಗಳಾಗಿವೆ, ಉದಾಹರಣೆಗೆ, ಒಂದು ದಿನ. ನಾವು ತಕ್ಷಣ ಅವುಗಳನ್ನು ದೃಶ್ಯೀಕರಿಸಿದರೆ, ನಾವು ದಾಳಿಯ ಡೈನಾಮಿಕ್ಸ್ ಅನ್ನು ಮಾತ್ರ ನೋಡುತ್ತೇವೆ. ವಿವರಗಳಿಗಾಗಿ, ನೀವು ಪ್ರತಿ ದಾಳಿಗೆ "ಬೀಳಬೇಕು" ಮತ್ತು ನಿರ್ದಿಷ್ಟ ಕ್ಷೇತ್ರಗಳನ್ನು ನೋಡಬೇಕು.

ಮೊದಲು ನಾವು ರಚನೆಯಿಲ್ಲದ ಮಾಹಿತಿಯ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಹೊಂದಿಸಬೇಕಾಗಿದೆ ಎಂದು ನಾವು ಅರಿತುಕೊಂಡಿದ್ದೇವೆ. ನಾವು "ಸಂದೇಶ" ಮತ್ತು "URL" ನಂತಹ ಸ್ಟ್ರಿಂಗ್‌ಗಳ ರೂಪದಲ್ಲಿ ದೀರ್ಘವಾದ ಕ್ಷೇತ್ರಗಳನ್ನು ತೆಗೆದುಕೊಂಡಿದ್ದೇವೆ ಮತ್ತು ನಿರ್ಧಾರ ತೆಗೆದುಕೊಳ್ಳುವುದಕ್ಕಾಗಿ ಹೆಚ್ಚಿನ ಮಾಹಿತಿಯನ್ನು ಪಡೆಯಲು ಅವುಗಳನ್ನು ಪಾರ್ಸ್ ಮಾಡಿದ್ದೇವೆ.

ಉದಾಹರಣೆಗೆ, ಪಾರ್ಸಿಂಗ್ ಬಳಸಿ, ನಾವು ಬಳಕೆದಾರರ ಸ್ಥಳವನ್ನು ಪ್ರತ್ಯೇಕವಾಗಿ ಗುರುತಿಸಿದ್ದೇವೆ. ರಷ್ಯಾದ ಬಳಕೆದಾರರಿಗಾಗಿ ಸೈಟ್‌ಗಳಲ್ಲಿ ವಿದೇಶದಿಂದ ದಾಳಿಗಳನ್ನು ತಕ್ಷಣವೇ ಹೈಲೈಟ್ ಮಾಡಲು ಇದು ಸಹಾಯ ಮಾಡಿತು. ಇತರ ದೇಶಗಳಿಂದ ಎಲ್ಲಾ ಸಂಪರ್ಕಗಳನ್ನು ನಿರ್ಬಂಧಿಸುವ ಮೂಲಕ, ನಾವು ದಾಳಿಗಳ ಸಂಖ್ಯೆಯನ್ನು ಅರ್ಧದಷ್ಟು ಕಡಿಮೆಗೊಳಿಸಿದ್ದೇವೆ ಮತ್ತು ರಷ್ಯಾದೊಳಗಿನ ದಾಳಿಗಳನ್ನು ಶಾಂತವಾಗಿ ನಿಭಾಯಿಸಬಹುದು.

ಪಾರ್ಸಿಂಗ್ ಮಾಡಿದ ನಂತರ, ನಾವು ಯಾವ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಬೇಕು ಮತ್ತು ದೃಶ್ಯೀಕರಿಸಬೇಕು ಎಂದು ನೋಡಲು ಪ್ರಾರಂಭಿಸಿದ್ದೇವೆ. ಜರ್ನಲ್ನಲ್ಲಿ ಎಲ್ಲವನ್ನೂ ಬಿಡಲು ಇದು ಅಪ್ರಾಯೋಗಿಕವಾಗಿದೆ: ಒಂದು ಸೂಚ್ಯಂಕದ ಗಾತ್ರವು ದೊಡ್ಡದಾಗಿದೆ - 7 ಜಿಬಿ. ELK ಫೈಲ್ ಅನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಬಹಳ ಸಮಯ ತೆಗೆದುಕೊಂಡಿತು. ಆದಾಗ್ಯೂ, ಎಲ್ಲಾ ಮಾಹಿತಿಯು ಉಪಯುಕ್ತವಾಗಿರಲಿಲ್ಲ. ಯಾವುದೋ ನಕಲು ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಹೆಚ್ಚುವರಿ ಜಾಗವನ್ನು ತೆಗೆದುಕೊಳ್ಳಲಾಗಿದೆ - ಅದನ್ನು ಆಪ್ಟಿಮೈಸ್ ಮಾಡಬೇಕಾಗಿದೆ.

ಮೊದಲಿಗೆ ನಾವು ಸೂಚ್ಯಂಕವನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಿದ್ದೇವೆ ಮತ್ತು ಅನಗತ್ಯ ಘಟನೆಗಳನ್ನು ತೆಗೆದುಹಾಕಿದ್ದೇವೆ. FortiWeb ನಲ್ಲಿಯೇ ಲಾಗ್‌ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವುದಕ್ಕಿಂತ ಇದು ಹೆಚ್ಚು ಅನಾನುಕೂಲ ಮತ್ತು ದೀರ್ಘವಾಗಿರುತ್ತದೆ. ಈ ಹಂತದಲ್ಲಿ "ಕ್ರಿಸ್ಮಸ್ ಟ್ರೀ" ನ ಏಕೈಕ ಪ್ರಯೋಜನವೆಂದರೆ ನಾವು ಒಂದು ಪರದೆಯ ಮೇಲೆ ಹೆಚ್ಚಿನ ಸಮಯವನ್ನು ದೃಶ್ಯೀಕರಿಸಲು ಸಾಧ್ಯವಾಯಿತು.

ನಾವು ಹತಾಶರಾಗಲಿಲ್ಲ, ಕಳ್ಳಿ ತಿನ್ನುವುದನ್ನು ಮುಂದುವರೆಸಿದ್ದೇವೆ, ELK ಅನ್ನು ಅಧ್ಯಯನ ಮಾಡಿದ್ದೇವೆ ಮತ್ತು ಅಗತ್ಯ ಮಾಹಿತಿಯನ್ನು ಹೊರತೆಗೆಯಲು ನಮಗೆ ಸಾಧ್ಯವಾಗುತ್ತದೆ ಎಂದು ನಂಬಿದ್ದರು. ಸೂಚ್ಯಂಕಗಳನ್ನು ಸ್ವಚ್ಛಗೊಳಿಸಿದ ನಂತರ, ನಾವು ಹೊಂದಿದ್ದನ್ನು ನಾವು ದೃಶ್ಯೀಕರಿಸಲು ಪ್ರಾರಂಭಿಸಿದ್ದೇವೆ. ನಾವು ದೊಡ್ಡ ಡ್ಯಾಶ್‌ಬೋರ್ಡ್‌ಗಳಿಗೆ ಬಂದದ್ದು ಹೀಗೆ. ನಾವು ಕೆಲವು ವಿಜೆಟ್‌ಗಳನ್ನು ಪ್ರಯತ್ನಿಸಿದ್ದೇವೆ - ದೃಷ್ಟಿಗೋಚರವಾಗಿ ಮತ್ತು ಸೊಗಸಾಗಿ, ನಿಜವಾದ ಕ್ರಿಸ್ಮಸ್ ಮರ!

ದಾಳಿಯ ಕ್ಷಣವನ್ನು ದಾಖಲಿಸಲಾಗಿದೆ. ದಾಳಿಯ ಪ್ರಾರಂಭವು ಗ್ರಾಫ್‌ನಲ್ಲಿ ಹೇಗೆ ಕಾಣುತ್ತದೆ ಎಂಬುದನ್ನು ಈಗ ನಾವು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬೇಕಾಗಿದೆ. ಅದನ್ನು ಪತ್ತೆಹಚ್ಚಲು, ನಾವು ಬಳಕೆದಾರರಿಗೆ (ರಿಟರ್ನ್ ಕೋಡ್‌ಗಳು) ಸರ್ವರ್‌ನ ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ನೋಡಿದ್ದೇವೆ. ಈ ಕೆಳಗಿನ ಕೋಡ್‌ಗಳೊಂದಿಗೆ (rc) ಸರ್ವರ್ ಪ್ರತಿಕ್ರಿಯೆಗಳಲ್ಲಿ ನಾವು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದೇವೆ:

ಕೋಡ್ (ಆರ್ಸಿ)

ಶೀರ್ಷಿಕೆ

ವಿವರಣೆ

ಡ್ರಾಪ್

ಸರ್ವರ್‌ಗೆ ವಿನಂತಿಯನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ

200

ವಿನಂತಿಯನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲಾಗಿದೆ

400

ಕೆಟ್ಟ ವಿನಂತಿ

ಅಮಾನ್ಯ ವಿನಂತಿ

403

ನಿಷೇಧಿಸಲಾಗಿದೆ

ಅಧಿಕಾರ ನಿರಾಕರಿಸಲಾಗಿದೆ

500

ಆಂತರಿಕ ಸರ್ವರ್ ದೋಷ

ಸೇವೆ ಲಭ್ಯವಿಲ್ಲ

ಯಾರಾದರೂ ಸೈಟ್ ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ಪ್ರಾರಂಭಿಸಿದರೆ, ಕೋಡ್‌ಗಳ ಅನುಪಾತವು ಬದಲಾಗಿದೆ:

ಕೋಡ್ 400 ನೊಂದಿಗೆ ಹೆಚ್ಚು ತಪ್ಪಾದ ವಿನಂತಿಗಳು ಇದ್ದಲ್ಲಿ, ಆದರೆ ಅದೇ ಸಂಖ್ಯೆಯ ಸಾಮಾನ್ಯ ವಿನಂತಿಗಳು ಕೋಡ್ 200 ನೊಂದಿಗೆ ಉಳಿದಿದ್ದರೆ, ಯಾರಾದರೂ ಸೈಟ್ ಅನ್ನು ಹ್ಯಾಕ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತಿದ್ದಾರೆ ಎಂದರ್ಥ.
ಅದೇ ಸಮಯದಲ್ಲಿ ಕೋಡ್ 0 ನೊಂದಿಗೆ ವಿನಂತಿಗಳು ಹೆಚ್ಚಾದರೆ, ಫೋರ್ಟಿವೆಬ್ ರಾಜಕಾರಣಿಗಳು ಸಹ ದಾಳಿಯನ್ನು "ನೋಡಿದರು" ಮತ್ತು ಅದಕ್ಕೆ ಬ್ಲಾಕ್ಗಳನ್ನು ಅನ್ವಯಿಸಿದರು.
ಕೋಡ್ 500 ನೊಂದಿಗೆ ಸಂದೇಶಗಳ ಸಂಖ್ಯೆ ಹೆಚ್ಚಾದರೆ, ಈ IP ವಿಳಾಸಗಳಿಗೆ ಸೈಟ್ ಲಭ್ಯವಿಲ್ಲ ಎಂದರ್ಥ - ಒಂದು ರೀತಿಯ ನಿರ್ಬಂಧಿಸುವಿಕೆ ಕೂಡ.

ಮೂರನೇ ತಿಂಗಳ ಹೊತ್ತಿಗೆ, ನಾವು ಅಂತಹ ಚಟುವಟಿಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಡ್ಯಾಶ್‌ಬೋರ್ಡ್ ಅನ್ನು ಹೊಂದಿಸಿದ್ದೇವೆ.

ಎಲ್ಲವನ್ನೂ ಹಸ್ತಚಾಲಿತವಾಗಿ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡದಿರಲು, ನಾವು ನ್ಯಾಗಿಯೋಸ್‌ನೊಂದಿಗೆ ಏಕೀಕರಣವನ್ನು ಹೊಂದಿಸಿದ್ದೇವೆ, ಇದು ನಿರ್ದಿಷ್ಟ ಮಧ್ಯಂತರಗಳಲ್ಲಿ ELK ಅನ್ನು ಪೋಲ್ ಮಾಡಿದೆ. ಕೋಡ್‌ಗಳಿಂದ ತಲುಪಿದ ಮಿತಿ ಮೌಲ್ಯಗಳನ್ನು ನಾನು ಪತ್ತೆ ಮಾಡಿದರೆ, ಅನುಮಾನಾಸ್ಪದ ಚಟುವಟಿಕೆಯ ಬಗ್ಗೆ ನಾನು ಕರ್ತವ್ಯ ಅಧಿಕಾರಿಗಳಿಗೆ ಅಧಿಸೂಚನೆಯನ್ನು ಕಳುಹಿಸಿದ್ದೇನೆ.

ಮೇಲ್ವಿಚಾರಣಾ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ 4 ಗ್ರಾಫಿಕ್ಸ್ ಅನ್ನು ಸಂಯೋಜಿಸಲಾಗಿದೆ. ಈಗ ದಾಳಿಯನ್ನು ನಿರ್ಬಂಧಿಸದ ಕ್ಷಣವನ್ನು ಗ್ರಾಫ್‌ಗಳಲ್ಲಿ ನೋಡುವುದು ಮುಖ್ಯವಾಗಿತ್ತು ಮತ್ತು ಎಂಜಿನಿಯರ್‌ನ ಹಸ್ತಕ್ಷೇಪದ ಅಗತ್ಯವಿದೆ. 4 ವಿಭಿನ್ನ ಚಾರ್ಟ್‌ಗಳಲ್ಲಿ ನಮ್ಮ ಕಣ್ಣುಗಳು ಮಸುಕಾಗಿವೆ. ಆದ್ದರಿಂದ, ನಾವು ಚಾರ್ಟ್‌ಗಳನ್ನು ಸಂಯೋಜಿಸಿದ್ದೇವೆ ಮತ್ತು ಎಲ್ಲವನ್ನೂ ಒಂದೇ ಪರದೆಯಲ್ಲಿ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ಪ್ರಾರಂಭಿಸಿದ್ದೇವೆ.

ಮೇಲ್ವಿಚಾರಣೆಯ ಸಮಯದಲ್ಲಿ, ವಿವಿಧ ಬಣ್ಣಗಳ ಗ್ರಾಫ್ಗಳು ಹೇಗೆ ಬದಲಾಗಿವೆ ಎಂಬುದನ್ನು ನಾವು ವೀಕ್ಷಿಸಿದ್ದೇವೆ. ಕೆಂಪು ಬಣ್ಣದ ಸ್ಪ್ಲಾಶ್ ಆಕ್ರಮಣವು ಪ್ರಾರಂಭವಾಗಿದೆ ಎಂದು ತೋರಿಸಿದೆ, ಆದರೆ ಕಿತ್ತಳೆ ಮತ್ತು ನೀಲಿ ಗ್ರಾಫ್ಗಳು FortiWeb ನ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ತೋರಿಸಿದವು:

ಇಲ್ಲಿ ಎಲ್ಲವೂ ಉತ್ತಮವಾಗಿದೆ: "ಕೆಂಪು" ಚಟುವಟಿಕೆಯ ಉಲ್ಬಣವು ಕಂಡುಬಂದಿದೆ, ಆದರೆ ಫೋರ್ಟಿವೆಬ್ ಅದನ್ನು ನಿಭಾಯಿಸಿತು ಮತ್ತು ದಾಳಿಯ ವೇಳಾಪಟ್ಟಿಯು ವ್ಯರ್ಥವಾಯಿತು.

ಹಸ್ತಕ್ಷೇಪದ ಅಗತ್ಯವಿರುವ ಗ್ರಾಫ್‌ನ ಉದಾಹರಣೆಯನ್ನು ಸಹ ನಾವು ಚಿತ್ರಿಸಿದ್ದೇವೆ:

FortiWeb ಚಟುವಟಿಕೆಯನ್ನು ಹೆಚ್ಚಿಸಿದೆ ಎಂದು ಇಲ್ಲಿ ನಾವು ನೋಡುತ್ತೇವೆ, ಆದರೆ ಕೆಂಪು ದಾಳಿಯ ಗ್ರಾಫ್ ಕಡಿಮೆಯಾಗಿಲ್ಲ. ನಿಮ್ಮ WAF ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ನೀವು ಬದಲಾಯಿಸಬೇಕಾಗಿದೆ.

ರಾತ್ರಿಯ ಘಟನೆಗಳ ತನಿಖೆಯೂ ಸುಲಭವಾಗಿದೆ. ಸೈಟ್ ಅನ್ನು ರಕ್ಷಿಸಲು ಸಮಯ ಬಂದಾಗ ಗ್ರಾಫ್ ತಕ್ಷಣವೇ ಕ್ಷಣವನ್ನು ತೋರಿಸುತ್ತದೆ.

ಇದು ಕೆಲವೊಮ್ಮೆ ರಾತ್ರಿಯಲ್ಲಿ ಸಂಭವಿಸುತ್ತದೆ. ಕೆಂಪು ಗ್ರಾಫ್ - ದಾಳಿ ಪ್ರಾರಂಭವಾಗಿದೆ. ನೀಲಿ - ಫೋರ್ಟಿವೆಬ್ ಚಟುವಟಿಕೆ. ದಾಳಿಯನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ನಿರ್ಬಂಧಿಸಲಾಗಿಲ್ಲ, ಆದ್ದರಿಂದ ನಾನು ಮಧ್ಯಪ್ರವೇಶಿಸಬೇಕಾಯಿತು.

ನಾವು ಎಲ್ಲಿಗೆ ಹೋಗುತ್ತಿದ್ದೇವೆ?

ELK ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ನಾವು ಪ್ರಸ್ತುತ ಕರ್ತವ್ಯ ನಿರ್ವಾಹಕರಿಗೆ ತರಬೇತಿ ನೀಡುತ್ತಿದ್ದೇವೆ. ಕರ್ತವ್ಯದಲ್ಲಿರುವವರು ಡ್ಯಾಶ್‌ಬೋರ್ಡ್‌ನಲ್ಲಿ ಪರಿಸ್ಥಿತಿಯನ್ನು ನಿರ್ಣಯಿಸಲು ಮತ್ತು ನಿರ್ಧಾರ ತೆಗೆದುಕೊಳ್ಳಲು ಕಲಿಯುತ್ತಾರೆ: ಇದು FortiWeb ತಜ್ಞರಿಗೆ ಏರಲು ಸಮಯ, ಅಥವಾ WAF ನಲ್ಲಿನ ನೀತಿಗಳು ದಾಳಿಯನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಹಿಮ್ಮೆಟ್ಟಿಸಲು ಸಾಕು. ಈ ರೀತಿಯಾಗಿ ನಾವು ರಾತ್ರಿಯಲ್ಲಿ ಮಾಹಿತಿ ಭದ್ರತಾ ಎಂಜಿನಿಯರ್‌ಗಳ ಮೇಲೆ ಲೋಡ್ ಅನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತೇವೆ ಮತ್ತು ಸಿಸ್ಟಮ್ ಮಟ್ಟದಲ್ಲಿ ಬೆಂಬಲ ಪಾತ್ರಗಳನ್ನು ವಿಭಜಿಸುತ್ತೇವೆ. FortiWeb ಗೆ ಪ್ರವೇಶವು ಸೈಬರ್ ರಕ್ಷಣಾ ಕೇಂದ್ರದೊಂದಿಗೆ ಮಾತ್ರ ಉಳಿದಿದೆ ಮತ್ತು ಸಂಪೂರ್ಣವಾಗಿ ಅಗತ್ಯವಿದ್ದಾಗ ಮಾತ್ರ ಅವರು WAF ಸೆಟ್ಟಿಂಗ್‌ಗಳಿಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡುತ್ತಾರೆ.

ನಾವು ಗ್ರಾಹಕರಿಗೆ ವರದಿ ಮಾಡುವ ಕೆಲಸ ಮಾಡುತ್ತಿದ್ದೇವೆ. ಕ್ಲೈಂಟ್‌ನ ವೈಯಕ್ತಿಕ ಖಾತೆಯಲ್ಲಿ WAF ಕಾರ್ಯಾಚರಣೆಯ ಡೈನಾಮಿಕ್ಸ್‌ನ ಡೇಟಾ ಲಭ್ಯವಿರುತ್ತದೆ ಎಂದು ನಾವು ಯೋಜಿಸುತ್ತೇವೆ. ELK WAF ಅನ್ನು ಸಂಪರ್ಕಿಸದೆಯೇ ಪರಿಸ್ಥಿತಿಯನ್ನು ಹೆಚ್ಚು ಪಾರದರ್ಶಕಗೊಳಿಸುತ್ತದೆ.

ಗ್ರಾಹಕರು ತಮ್ಮ ರಕ್ಷಣೆಯನ್ನು ನೈಜ ಸಮಯದಲ್ಲಿ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ಬಯಸಿದರೆ, ELK ಸಹ ಸೂಕ್ತವಾಗಿ ಬರುತ್ತದೆ. ನಾವು WAF ಗೆ ಪ್ರವೇಶವನ್ನು ನೀಡಲು ಸಾಧ್ಯವಿಲ್ಲ, ಏಕೆಂದರೆ ಕೆಲಸದಲ್ಲಿ ಗ್ರಾಹಕರ ಹಸ್ತಕ್ಷೇಪವು ಇತರರ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಬಹುದು. ಆದರೆ ನೀವು ಪ್ರತ್ಯೇಕ ELK ಅನ್ನು ತೆಗೆದುಕೊಳ್ಳಬಹುದು ಮತ್ತು ಅದನ್ನು "ಪ್ಲೇ" ಮಾಡಲು ನೀಡಬಹುದು.

ನಾವು ಇತ್ತೀಚೆಗೆ ಸಂಗ್ರಹಿಸಿದ "ಕ್ರಿಸ್ಮಸ್ ಟ್ರೀ" ಅನ್ನು ಬಳಸುವ ಸನ್ನಿವೇಶಗಳು ಇವು. ಈ ವಿಷಯದಲ್ಲಿ ನಿಮ್ಮ ಆಲೋಚನೆಗಳನ್ನು ಹಂಚಿಕೊಳ್ಳಿ ಮತ್ತು ಮರೆಯಬೇಡಿ ಎಲ್ಲವನ್ನೂ ಸರಿಯಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಿಡೇಟಾಬೇಸ್ ಸೋರಿಕೆಯನ್ನು ತಪ್ಪಿಸಲು.

ಮೂಲ: www.habr.com