🥇 TS Tevahiya Dîtina. Amûra otomatîkî ya bersivdayina bûyerê, berhevkirina bûyerê, analîzkirina bûyerê û xetereyê

Roj baş, di gotarên berê de em bi xebata ELK Stackê re nas kirin. Naha werin em li ser îmkanên ku di karanîna van pergalan de ji hêla pisporek ewlehiya agahdariyê ve têne fêhm kirin nîqaş bikin. Kîjan têketin dikarin û divê werin nav lêgerîna elastics. Ka em binihêrin ka bi sazkirina tabloyan çi statîstîk dikare were bidestxistin û gelo di vê de fêde heye. Hûn dikarin çawa bi karanîna ELK stackê otomatîkkirina pêvajoyên ewlehiya agahdariyê bicîh bikin. Werin em mîmariya pergalê derxînin. Bi tevahî, pêkanîna hemî fonksiyonan karekî pir mezin û dijwar e, ji ber vê yekê çareseriyê navek cûda hate dayîn - TS Total Sight.

Heya nuha, çareseriyên ku bûyerên ewlehiya agahdariyê li yek cîhek mentiqî berhev dikin û analîz dikin, bi lez populerbûna xwe bi dest dixin, wekî encamek, pispor statîstîk û sînorek çalakiyê werdigire da ku rewşa ewlehiya agahdariyê di rêxistinê de baştir bike. Me di karanîna stacka ELK-ê de vê peywirê danî, û di encamê de me fonksiyona sereke li 4 beşan dabeş kir:

Statistics and visualization;
Tespîtkirina bûyerên ewlehiya agahdariyê;
Pêşîniya bûyerê;
Otomasyona pêvajoyên ewlehiya agahdariyê.

Dûv re, em ê ji nêz ve li her yekê ferdî binêrin.

Tespîtkirina bûyerên ewlehiya agahdariyê

Erka sereke ya karanîna elasticsearch di doza me de berhevkirina tenê bûyerên ewlehiya agahdariyê ye. Ger ew bi kêmî ve hin awayên şandina têketin piştgirî bikin, hûn dikarin bûyerên ewlehiya agahdarî ji her navgînên ewlehiyê berhev bikin, standard tomarkirina syslog an scp li pelek e.

Hûn dikarin mînakên standard ên amûrên ewlehiyê û bêtir bidin, ji ku derê divê hûn şandina têketinê mîheng bikin:

Her Amûrên NGFW (Check Point, Fortinet);
Her skanerên qelsbûnê (PT Scanner, OpenVas);
Firewallê Serlêdana Webê (PT AF);
analîzkerên netflow (Flowmon, Cisco StealthWatch);
server AD.

Gava ku we şandina têketin û pelên mîhengê li Logstash mîheng kir, hûn dikarin bi bûyerên ku ji amûrên ewlehiyê yên cihêreng têne re têkildar bikin û bidin ber hev. Ji bo kirina vê yekê, hêsan e ku meriv navnîşan bikar bîne ku tê de em ê hemî bûyerên ku bi amûrek taybetî ve girêdayî ne hilînin. Bi gotinek din, yek index hemî bûyerên yek cîhazê ne. Ev belavkirin dikare bi 2 awayan pêk were.

Yekemîn yekem Ev e ku mîhenga Logstash mîheng bike. Ji bo vê yekê, hûn hewce ne ku têketinê ji bo hin qadan li yekîneyek cûda bi celebek cûda dubare bikin. Û paşê vê celebê di pêşerojê de bikar bînin. Di nimûneyê de, têketin ji lûleya IPS-ê ya dîwarê dîwarê Check Point têne klon kirin.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Ji bo ku bûyerên bi vî rengî li gorî qadên têketinê ve girêdayî li pêdekek veqetandî werin hilanîn, mînakî, wekî nîşaneyên êrîşa IP-ya armancê. Hûn dikarin avahiyek wekhev bikar bînin:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Û bi vî awayî, hûn dikarin hemî bûyeran di navnîşek de tomar bikin, mînakî, bi navnîşana IP-yê, an bi navê domainê ya makîneyê. Di vê rewşê de, em wê li navnîşê hilînin "smartdefense-%{dst}", bi navnîşana IP ya cîhê îmzeyê.

Lêbelê, hilberên cihêreng dê xwedan zeviyên têketinê yên cûda bin, ku dê bibe sedema kaos û vexwarina bîranîna nepêwist. Û li vir hûn ê an bi baldarî zeviyên di mîhengên mîhengên Logstash de bi yên pêş-dîzaynkirî veguherînin, ku dê ji bo her cûre bûyeran yek be, ev jî karekî dijwar e.

Vebijarka pêkanîna duyemîn - ev nivîsandina senaryoyek an pêvajoyek e ku dê di demek rast de xwe bigihîne databasa elastîk, bûyerên pêwîst derxîne, û wan di navnîşek nû de hilîne, ev karekî dijwar e, lê ew dihêle hûn li gorî ku hûn bixwazin bi têketin re bixebitin, û rasterast bi bûyerên ji alavên ewlehiyê yên din re têkildar in. Vê vebijarkê dihêle hûn xebata bi têketin mîheng bikin da ku ji bo doza we bi nermbûna herî zêde bikêr be, lê li vir pirsgirêk di dîtina pisporek ku dikare vê yekê bicîh bîne derdikeve holê.

Û bê guman, pirsa herî girîng, û çi dikare were girêdan û tespît kirin??

Dibe ku li vir çend vebijark hebin, û ew bi kîjan amûrên ewlehiyê di binesaziya we de têne bikar anîn ve girêdayî ye, çend mînak:

Ji bo kesên ku xwedan çareseriyek NGFW û skanerek qelsbûnê ne, vebijarka herî eşkere û, ji nêrîna min, ya herî balkêş. Ev berhevokek têketinên IPS-ê û encamên şopandina lawaziyê ye. Ger êrîşek ji hêla pergala IPS ve hat tesbît kirin (ne asteng kirin) û ev qelsî li ser bingeha encamên şopandinê li ser makîneya paşîn neyê girtin, pêdivî ye ku bilbilê biteqînin, ji ber ku îhtîmalek mezin heye ku xirapî were îstismar kirin. .
Gelek hewildanên têketinê ji yek makîneyek berbi cîhên cihê dibe ku çalakiya xirab sembolîze bikin.
Bikarhêner pelên vîrusê dadixe ji ber serdana hejmareke mezin ji malperên potansiyel xeternak.

Statistics û dîtbarî

Tişta herî eşkere û têgihîştî ya ku ji bo ELK Stack hewce ye hilanîn û dîtina têketin e, di gotarên berê de hate destnîşan kirin ku hûn çawa dikarin bi karanîna Logstash ji cîhazên cihêreng têketin biafirînin. Piştî ku têketin diçin Elasticsearch, hûn dikarin dashboardên ku di heman demê de hatine behs kirin saz bikin di gotarên berê de, bi agahdarî û statîstîkên ku hûn bi riya dîtbariyê hewce ne.

wergerandî:

Dashboard ji bo bûyerên Pêşîlêgirtina Tehdîdê bi bûyerên herî krîtîk. Li vir hûn dikarin nîşan bidin ka kîjan îmzeyên IPS hatine tespît kirin û ew ji ku derê erdnîgarî têne.
Dashboard li ser karanîna serîlêdanên herî krîtîk ên ku ji bo wan agahdarî têne derxistin.
Encamên şopandinê ji her skanerek ewlehiyê.
Têketinên Active Directory ji hêla bikarhêner ve.
dashboard girêdana VPN.

Di vê rewşê de, heke hûn tabloyan mîheng bikin da ku her çend saniyan nûve bikin, hûn dikarin ji bo şopandina bûyeran di wextê rast de pergalek pir rehet bistînin, ku dûv re heke hûn tabloyan li ser cîhek cûda bi cîh bikin dikare ji bo bersiva herî bilez a bûyerên ewlehiya agahdariyê were bikar anîn. parêzî.

Pêşîniya bûyerê

Di şert û mercên binesaziya mezin de, dibe ku hejmara bûyeran ji pîvanê derkeve, û pispor dê wextê wan tune ku di wextê de bi hemî bûyeran re mijûl bibin. Di vê rewşê de, pêwîst e, berî her tiştî, tenê ew bûyerên ku metirsiyek mezin çêdikin werin ronî kirin. Ji ber vê yekê, pêdivî ye ku pergal bûyeran li ser bingeha giraniya wan bi binesaziya we re pêşî bigire. Tête pêşniyar kirin ku ji bo van bûyeran hişyariyek e-name an telegramê saz bikin. Pêşanîbûn dikare bi karanîna amûrên standard Kibana bi sazkirina dîtbariyê ve were sepandin. Lê bi ragihandinan re ew dijwartir e; ji hêla xwerû, ev fonksiyon ne di guhertoya bingehîn a Elasticsearch de, tenê di guhertoya drav de ye. Ji ber vê yekê, an guhertoyek drav bikirin, an jî, dîsa, pêvajoyek bi xwe binivîsin ku dê di demek rast de bi e-name an telegramê pisporan agahdar bikin.

Otomasyona pêvajoyên ewlehiya agahdariyê

Û yek ji beşên herî balkêş jî otomatîkkirina çalakiyên ji bo bûyerên ewlehiya agahdariyê ye. Berê, me vê fonksiyonê ji bo Splunk bicîh kir, hûn dikarin di vê yekê de hinekî din bixwînin gotara. Fikra sereke ev e ku polîtîkaya IPS-ê qet carî nayê ceribandin an xweşbîn kirin, her çend di hin rewşan de ew beşek krîtîk a pêvajoyên ewlehiya agahdariyê ye. Mînakî, salek piştî pêkanîna NGFW û nebûna çalakiyên ji bo xweşbînkirina IPS-ê, hûn ê bi çalakiya Detect re hejmareke mezin îmzeyan berhev bikin, ku dê neyê asteng kirin, ku ev yek rewşa ewlehiya agahdariyê di rêxistinê de pir kêm dike. Li jêr çend mînak hene ku çi dikare were otomatîk kirin:

Veguheztina îmzeya IPS-ê ji Detect bo Pêşîlêgirtinê. Ger Prevent ji bo îmzeyên krîtîk nexebite, wê hingê ev ji rêzê ye û di pergala parastinê de valahiyek cidî ye. Em çalakiya di polîtîkayê de bi îmzeyên wiha diguherînin. Ger cîhaza NGFW xwedî fonksiyona REST API be, ev fonksiyon dikare were bicîh kirin. Ev bi tenê gengaz e ku hûn jêhatîbûna bernamekirinê hebin; hûn hewce ne ku agahdariya pêwîst ji Elastcisearch derxînin û daxwazên API-ê ji servera rêveberiya NGFW re bikin.
Ger di seyrûsefera torê de ji yek navnîşana IP-yê gelek îmze hatin tespît kirin an asteng kirin, wê hingê maqûl e ku meriv vê navnîşana IP-yê ji bo demek di polîtîkaya Firewall de asteng bike. Pêkanîn jî ji karanîna REST API-ê pêk tê.
Ger ev mêvandar xwedan hejmareke mezin ji îmzeyên IPS an amûrên ewlehiyê yên din be, şanek mêvandar bi skanerek lawaziyê bimeşînin; heke ew OpenVas be, wê hingê hûn dikarin skrîptek ku dê bi riya ssh ve bi skanera ewlehiyê ve girêbide binivîsin û şopandinê bimeşînin.

TS Total Sight

Bi tevahî, pêkanîna hemî fonksiyonan karekî pir mezin û dijwar e. Bêyî jêhatîbûna bernamekirinê, hûn dikarin fonksiyona hindiktirîn mîheng bikin, ku dibe ku ji bo karanîna di hilberînê de bes be. Lê heke hûn bi hemî fonksiyonê re eleqedar dibin, hûn dikarin bala xwe bidin TS Total Sight. Hûn dikarin bêtir agahdarî li ser me bibînin malperê. Wekî encamek, tevahiya nexşeya operasyonê û mîmarî dê bi vî rengî xuya bike:

encamê

Me nihêrî ka çi dikare bi karanîna ELK Stack were sepandin. Di gotarên paşîn de, em ê ji hev cuda fonksiyona TS Total Sight bi hûrgulî bifikirin!

Ji ber vê yekê hişyar bimînin (Têlxiram, facebook, VK, TS Çareseriya Blog), Yandex Zen.

Source: www.habr.com

TS Total Sight. Amûra otomatîkî ya bersivdayina bûyerê, berhevkirina bûyerê, analîzkirina bûyerê û xetereyê