Мурунку макалаларда биз элк стек менен бир аз таанышканбыз жана лог талдоочу үчүн Logstash конфигурация файлын орнотуп алганбыз.Бул макалада биз аналитикалык көз караштан эң маанилүү нерсеге өтөбүз, сиз эмнени каалайсыз системадан жана баары эмне үчүн жаратылганын көрүңүз - булар бириккен графиктер жана таблицалар башкаруу такталары. Бүгүн биз визуализация системасын жакшыраак карап чыгабыз Кибана, биз графиктерди жана таблицаларды кантип түзүүнү карап чыгабыз жана натыйжада Check Point брандмауэринин журналдарынын негизинде жөнөкөй башкаруу тактасын курабыз.
Kibana менен иштөөдө биринчи кадам түзүү болуп саналат индекс үлгүсү, логикалык жактан алганда, бул белгилүү бир принцип боюнча бириккен индекстердин базасы. Албетте, бул Kibana бир эле учурда бардык индекстер боюнча маалыматты ыңгайлуураак издөө үчүн жөн гана жөндөө. Ал сапты дал келтирүү жолу менен коюлат, "өткөрмө пункту-*" жана индекстин аталышы. Мисалы, "өткөрмө пункту-2019.12.05" үлгүгө туура келет, бирок жөн гана "текшерүү пункту" мындан ары жок. Издөөдө бир эле учурда ар кандай индекс үлгүлөрү боюнча маалыматты издөө мүмкүн эмес экенин өзүнчө белгилеп кетүү керек; бир аз кийинчерээк кийинки макалаларда API сурамдары индекстин аты менен, же бирөө тарабынан жасалганын көрөбүз. үлгү сызыгы, сүрөт басууга болот:
Андан кийин, биз Discover менюсунда бардык журналдар индекстелгенин жана туура талдоочу конфигурацияланганын текшеребиз. Эгерде кандайдыр бир карама-каршылыктар табылса, мисалы, маалымат түрүн саптан бүтүн санга өзгөртүү, сиз Logstash конфигурация файлын түзөтүшүңүз керек, натыйжада жаңы журналдар туура жазылат. Эски журналдар өзгөртүүгө чейин каалаган формага ээ болушу үчүн, реиндекстөө процесси гана жардам берет, кийинки макалаларда бул операция кененирээк талкууланат. Келгиле, баары иреттүү экенин текшерип көрөлү, сүрөт басууга болот:
Журналдар ордунда, демек биз панелдерди кура баштасак болот. Коопсуздук өнүмдөрүнүн панелдеринин аналитикасынын негизинде сиз уюмдагы маалыматтык коопсуздуктун абалын түшүнө аласыз, учурдагы саясаттын алсыз жерлерин так көрүп, кийин аларды жоюунун жолдорун иштеп чыга аласыз. Келгиле, бир нече визуалдаштыруу куралдарын колдонуп, кичинекей башкаруу тактасын түзөлү. Куралдар тактасы 5 компоненттен турат:
- бычак боюнча журналдардын жалпы санын эсептөө үчүн таблица
- критикалык IPS кол тамгалары боюнча таблица
- Коркунучтун алдын алуу окуялары үчүн тегерек диаграмма
- абдан популярдуу сайттардын диаграммасы
- абдан коркунучтуу тиркемелерди колдонуу боюнча диаграмма
Визуализация фигураларды түзүү үчүн менюга өтүшүңүз керек элестет, жана биз кургубуз келген керектүү фигураны тандаңыз! Тартип менен кетели.
Лайк боюнча журналдардын жалпы санын эсептөө үчүн таблица
Бул үчүн, фигураны тандаңыз Маалыматтар таблицасы, биз графиктерди түзүү үчүн жабдыкка киребиз, сол жакта фигуранын жөндөөлөрү, оң жакта - учурдагы орнотууларда кандай көрүнүшү. Биринчиден, мен даяр таблица кандай болорун көрсөтөм, андан кийин биз орнотууларды карап чыгабыз, сүрөттү чыкылдатууга болот:
Фигуранын деталдуу орнотуулары, сүрөттү басууга болот:
Келгиле, орнотууларды карап көрөлү.
Башында конфигурацияланган метрикалар, бул бардык талаалар топтоло турган маани. Метрика документтерден тигил же бул жол менен алынган баалуулуктардын негизинде эсептелет. баалуулуктар, адатта, алынган талаалар документ, бирок скрипттердин жардамы менен да түзүлүшү мүмкүн. Бул учурда биз киргизебиз Агрегация: Сан (журналдардын жалпы саны).
Андан кийин биз таблицаны метрика эсептеле турган сегменттерге (талааларга) бөлөбүз. Бул функция Buckets жөндөөлөрү тарабынан аткарылат, ал өз кезегинде 2 орнотуу опциясынан турат:
- саптарды бөлүү - мамычаларды кошуу жана андан кийин таблицаны саптарга бөлүү
- бөлүү таблицасы - белгилүү бир талаанын баалуулуктарынын негизинде бир нече таблицага бөлүнүү.
В чака бир нече мамычаларды же таблицаларды түзүү үчүн бир нече бөлүмдөрдү кошо аласыз, бул жерде чектөөлөр логикалуу. Агрегациялоодо, сегменттерге бөлүү үчүн кайсы ыкма колдонуларын тандай аласыз: ipv4 диапазону, даталар диапазону, Шарттар ж.б. Эң кызыктуу тандоо - бул так шарттары и Маанилүү шарттар, сегменттерге бөлүү белгилүү бир индекс талаасынын маанилерине ылайык жүзөгө ашырылат, алардын ортосундагы айырма кайтарылган маанилердин санына жана алардын дисплейинде жатат. Биз үстөлдү бычактардын аты боюнча бөлгүбүз келгендиктен, биз талааны тандайбыз - продукт.ачкыч сөз жана өлчөмдү кайтарылган 25 мааниге коюңуз.
Саптардын ордуна, elasticsearch 2 маалымат түрүн колдонот - текст и ачкыч. Эгер сиз толук текстти издөөнү кааласаңыз, текст түрүн колдонушуңуз керек, бул издөө кызматын жазууда абдан ыңгайлуу нерсе, мисалы, белгилүү бир талаа маанисинде (текст) сөздү издөө. Эгер сиз так дал келүүнү кааласаңыз, ачкыч сөз түрүн колдонушуңуз керек. Ошондой эле, ачкыч маалымат түрү сорттоо же бириктирүүнү талап кылган талаалар үчүн колдонулушу керек, башкача айтканда, биздин учурда.
Натыйжада, Elasticsearch өнүм талаасындагы маани боюнча топтолгон белгилүү бир убакытка журналдардын санын эсептейт. Ыңгайлаштырылган энбелгиде биз таблицада көрсөтүлө турган тилкенин атын орнотобуз, журналдарды чогултуу убактысын белгилейбиз, көрсөтүүнү баштайбыз - Kibana elasticsearch'ке суроо-талап жөнөтөт, жооп күтөт жана андан кийин алынган маалыматтарды визуализациялайт. Стол даяр!
Коркунучту алдын алуу окуялары үчүн тегерек диаграмма
Өзгөчө кызыгууну туудурат, пайыз менен канча реакция бар экендиги тууралуу маалымат ачуу и алдын алуу учурдагы коопсуздук саясатында маалыматтык коопсуздук инциденттери боюнча. Бул жагдайда тегерек диаграмма жакшы иштейт. Визуализациядан тандоо - Тегерек диаграмма. Ошондой эле метрикада биз журналдардын саны боюнча агрегацияны орнотобуз. Чакаларга биз Шарттарды => иш-аракетти койдук.
Баары туура окшойт, бирок натыйжа бардык бычактар үчүн баалуулуктарды көрсөтөт; Сиз коркунучтарды алдын алуу алкагында иштеген бычактар боюнча гана чыпкалоо керек. Ошондуктан, биз аны сөзсүз түрдө орноттук чыпка маалыматтык коопсуздук инциденттери үчүн жооптуу лейктер боюнча гана маалыматты издөө үчүн - продукт: («Анти-бот» ЖЕ «Жаңы Антивирус» ЖЕ «DDoS Protector» ЖЕ «SmartDefense» ЖЕ «Коркунучтун эмуляциясы»). Сүрөт чыкылдатса болот:
Жана дагы деталдуу орнотуулар, сүрөт чыкылдатса болот:
IPS окуялар таблицасы
Андан кийин, маалыматтык коопсуздук көз карашы боюнча абдан маанилүү болуп саналат көрүү жана бычак окуяларды текшерүү. IPS и Threat Emulation, которые бөгөттөлгөн эмес учурдагы саясат, кийин же алдын алуу үчүн колду өзгөртүү үчүн, же трафик жарактуу болсо, колду текшербеңиз. Биз таблицаны биринчи мисалдагыдай кылып түзөбүз, бир гана айырмасы, биз бир нече мамычаларды түзөбүз: protects.keyword, severity.keyword, product.keyword, originsicname.keyword. Маалыматтык коопсуздук инциденттери үчүн жооптуу лейкалар боюнча гана маалыматты издөө үчүн чыпканы орнотууну унутпаңыз - продукт: (“SmartDefense” ЖЕ “Коркунучтун эмуляциясы”). Сүрөт чыкылдатса болот:
Кененирээк орнотуулар, сүрөттү чыкылдатса болот:
Эң популярдуу кирген сайттар үчүн диаграммалар
Бул үчүн, фигураны түзүү - Вертикал тилке. Биз ошондой эле count (Y огу) метрика катары колдонобуз, ал эми X огунда биз кирген сайттардын атын маанилер катары колдонобуз - "appi_name". Бул жерде бир аз куулук бар: эгер сиз орнотууларды учурдагы версияда иштетсеңиз, анда бардык сайттар диаграммада бирдей түс менен белгиленет, аларды көп түстүү кылуу үчүн биз кошумча жөндөөлөрдү колдонобуз - "бөлүнгөн серия", бул, албетте, тандалган талаага жараша, дагы бир нече баалуулуктарга даяр мамычаны бөлүүгө мүмкүндүк берет! Бул бөлүктү топтолгон режимдеги маанилерге ылайык бир түстүү мамыча катары колдонсо болот, же X огу боюнча белгилүү бир мааниге ылайык бир нече мамычаларды түзүү үчүн кадимки режимде колдонсо болот.Бул учурда биз бул жерде X огу менен бирдей мааниге ээ болсо, бул бардык мамычаларды көп түстүү кылууга мүмкүндүк берет, алар жогорку оң жакта түстөр менен көрсөтүлөт. Чыпкада биз орноттук - продукт: "URL чыпкалоо" маалыматты бир гана зыярат кылган сайттарда көрүү үчүн, сүрөттү чыкылдатса болот:
Орнотуулар:
Эң коркунучтуу тиркемелерди колдонуу боюнча диаграмма
Бул үчүн, фигураны түзүңүз - Vertical Bar. Биз ошондой эле count (Y огу) метрика катары колдонобуз, ал эми X огунда биз колдонулган колдонмолордун атын колдонобуз - “appi_name” маанилер катары. Эң негизгиси чыпка орнотуусу - продукт: “Колдонмолорду көзөмөлдөө” ЖАНА колдонмо_тобокелдик: (4 ЖЕ 5 ЖЕ 3 ) ЖАНА иш-аракет: “кабыл алуу”. Биз журналдарды Колдонмонун башкаруу тилкеси боюнча чыпкалап, Критикалык, Жогорку, Орто коркунучтуу сайттар категориясына кирген сайттарды гана алып, бул сайттарга кирүүгө уруксат берилгенде гана өткөрөбүз. Сүрөт чыкылдатса болот:
Орнотуулар, чыкылдатуучу:
Куралдар тактасы
Башкаруу такталарын көрүү жана түзүү өзүнчө меню пунктунда - бөлмө. Бул жерде баары жөнөкөй, жаңы аспаптар тактасы түзүлүп, ага визуализация кошулуп, өз ордуна жайгаштырылды жана бүттү!
Биз маалымат тактасын түзүп жатабыз, анын жардамы менен сиз уюмдагы маалыматтык коопсуздуктун абалынын негизги абалын түшүнө аласыз, албетте, Check Point деңгээлинде гана сүрөттү чыкылдатууга болот:
Бул графиктердин негизинде биз брандмауэрде кайсы критикалык кол тамгалар бөгөттөлбөгөнүн, колдонуучулар кайда барарын жана алар эң кооптуу тиркемелерди колдонгонун түшүнө алабыз.
жыйынтыктоо
Биз Кибанадагы негизги визуализациянын мүмкүнчүлүктөрүн карап чыктык жана башкаруу тактасын курдук, бирок бул кичинекей гана бөлүгү. Андан ары курста биз карталарды орнотуу, elasticsearch системасы менен иштөө, API суроо-талаптары менен таанышуу, автоматташтыруу жана башка көп нерселерди өз алдынча карап чыгабыз!
Андыктан кабардар болуңуз, , , ), .
Source: www.habr.com