Finito venditione systematis Splunk ad notandum et analytica facienda in Russia, quaestio orta est: quid id substituere posset? Postquam tempus impendi varias solutiones examinando, solutionem viro vero aptam elegi— Acervus ELKHoc systema tempus requirit ad instituendum, sed exitus est systema potentissimum ad statum analysandum et celeriter respondendum incidentibus securitatis informationum intra organizationem. In hac serie articulorum, facultates fundamentales (et fortasse non) acervi ELK tractabimus, explorabimus quomodo acta resolvantur, grapha et tabulas instrumentorum construantur, et explorabimus quasdam proprietates interessantes quae creari possunt utens actis ex muro ignis Check Point vel scrutatore securitatis OpenVas. Primum, inspiciamus quid acervus ELK sit et quibus componentibus constet.
Acervus ELK — est acronymum pro tribus inceptis fontis aperti: Elasticsearch, Logstash и KibanaAb Elastic, una cum omnibus proiectis conexis, Elasticsearch est cor totius systematis, functiones database, investigationis, et analyticae coniungens. Logstash est canalis processus datorum a latere servitoris qui data ex multis fontibus simul accipit, acta interpretatur, et deinde ad database Elasticsearch mittit. Kibana usoribus permittit data visualizare utens diagrammatibus et graphis in Elasticsearch. Kibana etiam ad administrationem database adhiberi potest. Infra, propius inspiciemus unumquodque systema seorsum.
Logstash
Logstash est instrumentum ad eventa diarii ex variis fontibus tractanda. Permittit tibi campos eorumque valores in nuntiis extrahere, necnon filtrationem et emendationem datorum configurare. Post omnes manipulationes, Logstash eventa ad repositorium datorum finale dirigit. Instrumentum solum per fasciculos configurationis configuratur.
Typica configuratio Logstash constat ex fasciculo (vel fasciculis) continenti plures rivos ingressus, plura filtra pro illa informatione, et plures rivos egressus. Hoc constat ex uno pluribusve fasciculis configurationis, qui in forma simplicissima (quae nihil omnino facit) hoc modo apparent:
input {
}
filter {
}
output {
}
In `INPUT`, portum ad recipienda acta, protocollum utendum, et fasciculum unde fasciculi novi vel continue renovati legendi sunt, configuramus. In `FILTRUM`, analysatorem acti configuramus: agros interpretando, valores mutando, novos parametros addendo, vel eos delendo. `FILTRUM` est ager ad nuntium ad Logstash missum administrandum, cum variis optionibus mutandi. In `output`, quo acta interpretata mittantur, configuramus. In `ElasticSearch`, petitio JSON mittitur, agros cum valoribus continens. Ad errorem corrigendum, eam ad `stdout` emittere vel in fasciculum scribere possumus.
ElasticSearch
Initio, Elasticsearch solutio est ad quaerendum textum integrum, sed cum notis additis ut scalabilitate facili, replicatione, aliisque facultatibus, solutio est commoda et efficax ad proiecta oneris magni cum volumine datorum. Elasticsearch est repositorium documentorum non-relationale (NoSQL) pro documentis JSON et machina quaerendi in quaerendo textum integrum Lucene fundatum. Eius suggestus ferramentorum est Machina Virtualis Java, ita systema requirit quantitatem significantem opum CPU et RAM ad currendum.
Omnis nuntius adveniens, sive a Logstash sive per interrogationem API, ut "documentum" indicatur — analoge tabulae in SQL relationali. Omnia documenta in indice servantur — analoge basi datorum in SQL.
Exemplum documenti in basi datorum:
{
"_index": "checkpoint-2019.10.10",
"_type": "_doc",
"_id": "yvNZcWwBygXz5W1aycBy",
"_version": 1,
"_score": null,
"_source": {
"layer_uuid": [
"dae7f01c-4c98-4c3a-a643-bfbb8fcf40f0",
"dbee3718-cf2f-4de0-8681-529cb75be9a6"
],
"outzone": "External",
"layer_name": [
"TSS-Standard Security",
"TSS-Standard Application"
],
"time": "1565269565",
"dst": "103.5.198.210",
"parent_rule": "0",
"host": "10.10.10.250",
"ifname": "eth6",
]
}
Omnes interactiones cum basi datorum in interrogationibus JSON fundantur, quae vel documenta indicata vel quasdam statisticas in forma quaestionum et responsorum reddunt. Kibana, ministerium interretiale, elaboratum est ad omnia responsa interrogationum visualizanda.
Kibana
Kibana tibi permittit ut notitias et statisticas interrogationum ex database ElasticSearch quaeras et recuperes, et responsa ad varia pulchra graphia et tabulas instrumentorum construendas adhibentur. Systema etiam functionem administrationis database ElasticSearch includit; hoc officium uberius in futuris articulis explorabimus. Interim, exemplum tabularum instrumentorum quas pro muro ignis Check Point et scrutatore vulnerabilitatum OpenVas construere potes tibi demonstrabimus.
Exemplum tabulae instrumentorum pro Check Point, imago cliccari potest:
Exemplum tabulae instrumentorum OpenVas, imago cliccabilis est:
conclusio,
Ex quo constat inspeximus Acervus ELKBrevem introductionem ad producta principalia accepimus. Postea in cursu, de scriptura fasciculi configurationis Logstash, constitutione tabularum instrumentorum in Kibana, discendo de petitionibus API, automatione, et multo plura tractabimus!
Itaque mane in luctum (, , , ), .
Source: www.habr.com
