TS Total Sight. Event Collection, Incident Analysis et comminatio Responsionis Automationis Instrumentorum

Salve, in superioribus articulis cum opus ELK Stack cognovimus. Nunc de possibilitatibus disputemus quae per specialitatem informationem securitatis in his systematibus utentes cognosci possunt. Quae omnia in investigationem elasticam iniri possunt et debent. Videamus quid statistica institutio ashboardorum obtineri possit et an in hoc quid sit lucri. Quomodo potes automationem efficere de processibus securitatis informationis utendo ELK acervum. Sit architecto beatae aperiam. In summa, exsecutio omnium functionum amplissimum ac difficile est opus, ideo solutio data est nomine separato - TS Visus Totalis.

In praesenti, solutiones quae solidant et analyses informationes securitatis incidentes in uno loco logice celerius favorem obtinent, ideo, artifex statisticam accipit et terminum actionis ad meliorem statum informationis securitatis in ordinatione. Hoc munus nos constituimus in utendo ACERVUS ACERVUS, et consequenter principalem functionem in 4 sectiones divisimus:

1. Statistics and visualization;
2. Deprehensio notitiarum rerum adiunctis securitatis;
3. Decidentia prioritizationis;
4. Automation of informationes processuum securitatis.

Deinde propius inspiciamus singula.

Deprehensio notitia securitatis incidents

Praecipuum munus utendi elasticis inquisitionis in nostra causa est solum argumenta securitatis notitiarum colligere. Informationes securitatis ex quibusvis instrumentis securitatis colligere potes si modos aliquos saltem stipites mittendi sustineant, vexillum syslog vel scp salvificum ad limam.

Signa dare potes exempla instrumentorum securitatis et plura, unde configurare debes transmissiones lignorum;

1. Quaelibet instrumenta NGFW (Check Point, Fortinet);
2. Aliquod vulnerability scanners (PT Scanner, OpenVas);
3. Tela Application Firewall (PT AF);
4. netflow analysers (Flowmon, Cisco StealthWatch);
5. AD SERV.

Cum missionem lignorum et imaginum tabularum in Logstash configurasti, referre et comparare potes cum incidentibus e variis instrumentis securitatis. Ad hoc pertinet, indices uti in quibus omnia incidentia ad certam notam pertinentia congregemus. Id est, unus index omnes res unius notae sunt. Haec distributio perfici potest 2 modis.

Primum optionem Hoc est Logstash config configurare. Ad hoc faciendum, stipem pro quibusdam agris in distinctam unitatem cum alia specie duplicare debes. Et hoc genus postea utatur in futurum. In exemplo, trabes ab IPS laminae perscriptio firewall ligatae sunt.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Ut eventus servent in indice separato in agris stipes pendentes, exempli gratia, sicut Destinatio IP oppugnationis subscriptionum. Simili constructione uti potes:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Et hoc modo omnia incident in indicem, exempli gratia, per IP oratio, aut nomen loci machinae salvare potes. In hoc casu eam indicem servamus "smartdefense-%{dst}", per IP oratio subscriptionis destinationis.

Nihilominus varia producta habebunt diversos campos stipes, quae ad chaos et consummationem memoriam supervacaneam ducunt. Et hic habebis vel diligenter reponere agros in Logstash config occasus cum praedesignatis, quod idem erit omnium generum incidentium, quod etiam est difficile.

Secundo exsecutionem optionem - Scribere hoc scriptum seu processum qui datorum elasticorum in tempore reali accessurus est, casus necessarios erue, et in novo indice salva, hoc est difficile opus, sed permittit te ut libet stipes operari; et directe cum incidentibus ab aliis instrumento securitatis referant. Haec optio permittit ut opus configurare lignis utilissimum sit ad causam tuam cum maxima flexibilitate, hic autem quaestio oritur in inveniendo artifex, qui hoc efficere possit.

Et sane praecipua quaestio est; et quid connecti et deprehendi potest??

Plures optiones hic esse possunt, et pendet ex quibus instrumenta securitatis in infrastructura tua adhibentur, duobus exemplis:

1. Manifestissima et, ex mea parte, optio maxime interesting pro iis qui solutionem NGFW habent et vulnerabilitatem scanner habent. Haec est comparatio IPS lignorum et curriculorum lusoriis proventuum. Si impetus in systemate IPS (non obstructus) deprehensus est, et haec vulnerabilitas in fine machinae ex insomnio eventuum non clauditur, necesse est sibilum flare, cum probabilitas alta sit quod vulnerabilitas abutitur. .
2. Multi conamina login ab una machina ad loca diversa significare possunt actionem malignam.
3. Usor imaginum virium deprimendi propter ingentem numerum potentiarum periculosas sites visitare.

Statistics et visualization

Manifestissima et intelligibilis res ad quam ELK Stack opus est, est repositio et visualisatio lignorum; in articulis superioribus Ostensum est quomodo ligna ex variis machinis Logstash creare possis. Post acta ad Elastica inquisitionem ire potes, ashboardas erigere potes, quae etiam nominantur in articulis superioribus, cum notitia et statistica per visualizationem debes.

examples:

1. Dashboard pro comminatione praeventionis eventuum cum discrimine maxime. Hic considerare potes quae subscriptiones IPS deprehensae sunt et unde veniant ex geographico.

   

2. Dashboard in usu applicationum criticorum maxime pro quibus notitia emanari potest.

   

3. Scan consequitur securitatem scanner.

   

4. Acta Directory Active ab usuario.

   

5. VPN nexum ashboardday.

In hoc casu, si ashboardas configurare ad singulas brevia momenta renovandas, satis commode ratiocinari potes ad res vigilantias in tempore reali, quod tunc adhiberi potest ad quam celerrime responsio ad res securitatis informationes factas, si in separato pones dashboards. latebra.

incident prioritization

In magnis infrastructuris condicionibus, numerus incidentium scalis abibit, et periti non tempus erit de omnibus incidentibus in tempore agere. In hoc casu, ante omnia necesse est ut ea tantum quae magnum periculum ponunt in lumine ponere. Ideo argumenta prioritizare debent incidentes propter eorum severitatem in relatione ad infrastructuram tuam. Suadetur ut inscriptionem electronicam vel telegraphum in his eventibus erectum erigas. Prioritizationem adhiberi potest instrumenta vexillum Kibana ut visualizationem instituendo. Sed cum notificationibus difficilius est, per defaltam, haec functionalitas non includitur in fundamentali versione Elasticaetionis, solum in versione soluta. Ergo vel versionem mercedem eme vel iterum scribe processum ipsum qui specialitas in reali tempore per electronicas vel telegraphum certiorem faciet.

Automation of notitia securitatem processus

Et una maxime interesting partium est automatio actionum ad informationes rerum gestarum securitatis. Antea hanc functionem Splunk implevimus, paulo plus legere potes in hoc articulus. Praecipua notio est quod consilium IPS numquam probatum vel optimized est, licet in quibusdam casibus critica pars sit processuum securitatis informationis. Exempli gratia, annus post exsecutionem NGFW et absentia actionum ad optimize IPS, magnum numerum signationum cum actione deprehendere coacervabis, quae non obstruetur, quae statum informationum securitatem in ordinatione valde minuit. Infra exempla sunt quae fieri automated possunt:

1. Translatio IPS signature a deprehendere ad praeveni. Si praeventionis notas criticas subscriptionibus non laborat, hoc extra ordinem et gravem intervallum in systemate tutelae est. Actionem mutamus in consilio talium subscriptionum. Haec functionis ratio perfici potest si NGFW fabrica API functionality habet requiem. Hoc tantum fieri potest si artes programmandi habes, notitias necessarias ab Elastcisearch extrahere debes et API petitiones NGFW pro servo procurationis facere.
2. Si plures subscriptiones detectae vel in retis negotiationis ab una IP inscriptione deprehensae sunt, tum sensum praebet ut hanc IP electronicam aliquantisper in consilio Firewall reticuerit. Exsecutio etiam consistit in ceteris API.
3. Curre exercitum scan cum scanner vulnerabilitate, si exercitus hic magnum numerum IPS subscriptionum vel instrumenta securitatis habet, si OpenVas est, tunc scribere potes scriptionem quae per ssh ad securitatem scanner coniunget et scannum currit.

TS Total Visus

In summa, omnium functionum exsecutio amplissimum ac difficile est opus. Sine programmatione ductus, minimam functionem configurare potes, quae ad usum productionis sufficiat. Sed si omnes functiones interest, attendere potes ad aspectum TS Totalis. Plura invenire potes in nostro website. Quam ob rem totam operandi rationem et architecturae huius modi erit:

conclusio,

Inspeximus quid effici possit utens ELK Stack. In articulis subsequentibus, singulatim functionem TS Visui Totalis fusius expendemus!

Itaque mane in luctum (Telegram, Facebook, VK, TS Solutio Blog), rhoncus Yandex.

Source: www.habr.com