Gudde Mëtteg, a fréieren Artikelen hu mir d'Aarbecht vum ELK Stack kennegeléiert. An elo wäerte mir iwwer d'Méiglechkeeten diskutéieren, déi vun engem Informatiounssécherheetsspezialist bei der Benotzung vun dëse Systemer realiséiert kënne ginn. Wat Logbicher kann a soll zu elasticsearch dobäi ginn. Loosst eis kucken wéi eng Statistike kënne kritt ginn andeems Dir Dashboards opstellt an ob et e Gewënn ass. Wéi kann ech d'Automatisatioun vun Informatiounssécherheetsprozesser mat dem ELK Stack ëmsetzen. Loosst eis d'Architektur vum System erstellen. Zesummegefaasst ass d'Ëmsetzung vun all Funktionalitéit eng ganz grouss a schwiereg Aufgab, sou datt d'Léisung e separaten Numm krut - TS Total Sight.
De Moment gewannen d'Léisungen, déi Informatiounssécherheetstëschefäll op enger logescher Plaz konsolidéieren an analyséieren, Popularitéit, als Resultat kritt e Spezialist Statistiken an eng Front fir Handlung fir den Zoustand vun der Informatiounssécherheet an enger Organisatioun ze verbesseren. Mir hunn eis esou eng Aufgab gesat fir den ELK Stack ze benotzen, als Resultat hu mir d'Haaptfunktionalitéit a 4 Sektiounen erausgesicht:
- Statistiken a Visualiséierung;
- IS Tëschefall Detektioun;
- Prioritéit vun Tëschefäll;
- Automatisatioun vun Informatiounssécherheetsprozesser.
Loosst eis all eenzel méi genau kucken.
Informatioun Sécherheet Tëschefall Detektioun
D'Haaptaufgab bei der Benotzung vun elastesche Sich an eisem Fall ass nëmmen Informatiounssécherheetsfäll ze sammelen. Dir kënnt Informatiounssécherheet Tëschefäll aus all Schutzmëttel sammelen wa se op d'mannst e puer Log Transfermodi ënnerstëtzen, de Standard ass syslog oder scp späicheren op eng Datei.
Dir kënnt Standard Beispiller vu Schutzinstrumenter ginn an net nëmme vu wou Dir d'Forwarding vu Logbicher konfiguréiere sollt:
- All NGFW Fongen (Check Point, Fortinet);
- All Schwachstelle Scanner (PT Scanner, OpenVas);
- Web Application Firewall (PTAF);
- Netflow Analysatoren (Flowmon, Cisco StealthWatch);
- AD Server.
Wann Dir Logstash ageriicht hutt fir Logbicher a Konfiguratiounsdateien ze schécken, kënnt Dir korreléieren a vergläichen mat Tëschefäll aus verschiddene Sécherheetsinstrumenter. Fir dëst ze maachen, ass et bequem Indexen ze benotzen, an deem mir all Tëschefäll am Zesummenhang mat engem bestëmmten Apparat späicheren. An anere Wierder, een Index ass all Tëschefäll fir een Apparat. Dës Verdeelung kann op zwou Weeër ëmgesat ginn.
Déi éischt Optioun ass fir Logstash Config ze konfiguréieren. Fir dëst ze maachen, musst Dir de Logbuch fir bestëmmte Felder an eng separat Eenheet mat engem aneren Typ duplizéieren. An dann spéider dës Zort benotzen. D'Beispill klone Logbicher aus der IPS Blade vun der Check Point Firewall.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
Fir esou Evenementer an engem getrennten Index ze späicheren ofhängeg vun de Felder vun de Logbicher, zum Beispill, wéi d'Destinatioun IP vun der Attack Ënnerschrëft. Dir kënnt eng ähnlech Konstruktioun benotzen:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
An op dës Manéier kënnt Dir all Tëschefäll am Index späicheren, zum Beispill duerch IP Adress, oder duerch den Domain Numm vun der Maschinn. An dësem Fall späichere mir am Index "smartdefense-%{dst}", vun der IP Adress vun der Ënnerschrëft Destinatioun.
Wéi och ëmmer, verschidde Produkter wäerten ënnerschiddlech Logfelder hunn, wat zu Chaos a verschwendene Erënnerung resultéiert. An hei wäert et néideg sinn entweder d'Felder an de Logstash Configuratioun Astellunge virsiichteg ze ersetzen mat pre-designéierten, déi d'selwecht sinn fir all Typ vun Tëschefäll, wat och eng schwiereg Aufgab ass.
Zweet Ëmsetzung Optioun - dëst schreift e Skript oder e Prozess deen Zougang zu der elastescher Basis an Echtzäit kritt, déi néideg Tëschefäll erauszéien, a späichert se an en neien Index, dëst ass eng schwiereg Aufgab, awer et erlaabt Iech mat de Logbicher ze schaffen wéi Dir wëllt , a korreléiert direkt mat Tëschefäll vun aneren Sécherheetsinstrumenter. Dës Optioun erlaabt Iech d'Aarbecht mat Logbicher esou nëtzlech wéi méiglech fir Äre Fall mat maximaler Flexibilitéit ze personaliséieren, awer hei ass et e Problem fir e Spezialist ze fannen deen dëst ëmsetzen kann.
An, natierlech, déi wichtegst Fro wat kann korreléiert a festgestallt ginn?
Et kënnen e puer Optiounen hei sinn, an ofhängeg vu wéi eng Sécherheetsinstrumenter an Ärer Infrastruktur benotzt ginn, e puer Beispiller:
- Déi offensichtlechst a vu menger Siicht déi interessantst Optioun fir déi, déi eng NGFW Léisung an e Schwachstelle Scanner hunn. Dëst ass e Verglach vun IPS Logbicher a Schwachstelle Scan Resultater. Wann en Attack vum IPS System festgestallt gouf (net blockéiert), an dës Schwachstelle ass net op der Endmaschinn zougemaach op Basis vun de Resultater vum Scan, ass et néideg all Päifen ze sprengen, well et eng héich Wahrscheinlechkeet ass datt d'Schwachheet war exploitéiert.
- Vill Loginversuche vun enger Maschinn op verschidde Plazen kënne béisaarteg Aktivitéit symboliséieren.
- Eroflueden vu Virusdateien vum Benotzer wéinst enger grousser Zuel vu potenziell geféierleche Siten.
Statistiken a Visualiséierung
Deen offensichtlechsten a verständlechen Zweck vum ELK Stack ass d'Lagerung an d'Visualiséierung vu Logbicher, et gouf gewisen wéi Dir Logbicher vu verschiddenen Apparater mat Logstash kritt. Nodeems d'Logbicher op Elasticsearch goen, kënnt Dir Dashboards opsetzen, déi och ernimmt goufen , mat der Informatioun a Statistiken déi Dir braucht duerch Visualiséierung.
Beispiller:
- Dashboard vun Threat Prevention Eventer mat de kriteschen Eventer. Hei kënnt Dir reflektéieren wéi eng IPS Ënnerschrëften entdeckt goufen, wou se geographesch hierkommen.
- Dashboard iwwer d'Benotzung vun de kriteschsten Uwendungen, fir déi Informatioune kënne geleet ginn.
- Scan Resultater vun all Sécherheetsscanner.
- Logbicher aus Active Directory vu Benotzer.
- VPN Verbindung Dashboard.
An dësem Fall, wann Dir Dashboards opstellt fir all puer Sekonnen ze aktualiséieren, kënnt Dir e zimmlech praktesche System kréien fir Eventer an Echtzäit ze iwwerwaachen, deen dann benotzt ka ginn fir sou séier wéi méiglech op Informatiounssécherheetsinfäll ze reagéieren wann Dir Dashboards op engem separat Écran.
Tëschefall Prioritéit
Ënner Bedingungen vun enger grousser Infrastruktur kann d'Zuel vun den Tëschefäll aus der Skala goen, an d'Spezialisten hunn net Zäit fir all Tëschefäll an der Zäit ze analyséieren. An dësem Fall ass et néideg fir d'éischt nëmmen déi Tëschefäll auszeschléissen, déi eng grouss Bedrohung droen. Dofir muss de System Tëschefäll prioritär no hirer Gravitéit par rapport zu Ärer Infrastruktur. Et ass ubruecht eng Notifikatioun an der Mail oder Telegramme vun dësen Eventer opzestellen. Prioritéit ka mat normale Kibana Tools ëmgesat ginn, andeems Dir Visualiséierung opstellt. Awer mat enger Notifikatioun ass et méi schwéier, par défaut ass dës Funktionalitéit net an der Basisversioun vun Elasticsearch abegraff, nëmmen an der bezuelter. Dofir, kaaft entweder eng bezuelte Versioun, oder, nach eng Kéier, schreift selwer e Prozess deen d'Spezialisten an Echtzäit per Mail oder Telegramm informéiert.
Automatisatioun vun Informatiounssécherheetsprozesser
An ee vun den interessantsten Deeler ass d'Automatiséierung vun Aktiounen fir Informatiounssécherheetsfäll. Virdrun hu mir dës Funktionalitéit fir Splunk implementéiert, Dir kënnt e bësse méi an dësem liesen . D'Basis Iddi ass datt d'IPS Politik ni getest oder optimiséiert gëtt, obwuel et a verschiddene Fäll e wesentleche Bestanddeel vun Informatiounssécherheetsprozesser ass. Zum Beispill, e Joer no der Ëmsetzung vun NGFW an der Verontreiung vun Aktiounen IPS ze optimiséieren, cumuléiert Dir eng grouss Unzuel vun Ënnerschrëften mat der Detect Aktioun, déi net blockéiert ginn, déi staark reduzéiert den Zoustand vun Informatiounen Sécherheet an der Organisatioun. Hei sinn e puer Beispiller vu wat automatiséiert ka ginn:
- Wiesselt d'IPS Ënnerschrëft vum Detect op Prevent. Wann Prevent net op kriteschen Ënnerschrëften fonctionnéiert, dann ass dat an der Rei, an e seriöse Verstouss am Schutzsystem. Mir änneren d'Aktioun an der Politik op esou Ënnerschrëften. Dës Funktionalitéit kann ëmgesat ginn wann den NGFW Apparat d'REST API Funktionalitéit huet. Dëst ass nëmme méiglech wann Dir Programméierungsfäegkeeten hutt, Dir musst déi néideg Informatioun aus Elastcisearch erauszéien an API-Ufroen op den NGFW Kontrollserver ausféieren.
- Wann vill Ënnerschrëften am Netzverkéier vun enger IP Adress entdeckt oder blockéiert goufen, dann ass et Sënn fir dës IP Adress fir eng Zäit an der Firewall Politik ze blockéieren. D'Ëmsetzung besteet och aus der Benotzung vun der REST API.
- Lancéiere engem Host Scan mat engem Schwachstelle Scanner wann dësen Host eng grouss Unzuel vun Ënnerschrëften fir IPS oder aner Sécherheetsinstrumenter huet, wann et OpenVas ass, da kënnt Dir e Skript schreiwen, deen iwwer ssh mam Sécherheetsscanner verbënnt an de Scan ausféiert.
TS Total Siicht
Zesummegefaasst ass d'Ëmsetzung vun all Funktionalitéit eng ganz grouss a schwiereg Aufgab. Ouni programméiere Kompetenzen, kënnt Dir d'Mindest Funktionalitéit Ariichten, déi genuch fir d'Produktivitéit benotzen kann. Awer wann Dir un all Funktionalitéit interesséiert sidd, kënnt Dir op TS Total Sight oppassen. Dir fannt méi Detailer op eisem . Als Resultat wäert de ganze Schema vun der Aarbecht an der Architektur esou ausgesinn:
Konklusioun
Mir hunn gekuckt wat mat dem ELK Stack ëmgesat ka ginn. An de folgenden Artikelen wäerte mir d'Funktionalitéit vun TS Total Sight separat méi detailléiert betruechten!
Also bleiwt drun, , , ), .
Source: will.com