IepriekÅ”Äjos rakstos mÄs nedaudz iepazinÄmies ar aļÅu kaudzi un žurnÄla parsÄtÄja Logstash konfigurÄcijas faila iestatÄ«Å”anu. Å ajÄ rakstÄ mÄs pÄriesim pie vissvarÄ«gÄkÄ no analÄ«tiskÄ viedokļa, ko vÄlaties redzÄt no sistÄmas un priekÅ” kam viss radÄ«ts - tie ir grafiki un tabulas, kas apvienotas informÄcijas paneļi. Å odien mÄs tuvÄk apskatÄ«sim vizualizÄcijas sistÄmu Kibana, mÄs apskatÄ«sim, kÄ izveidot diagrammas un tabulas, un rezultÄtÄ mÄs izveidosim vienkÄrÅ”u informÄcijas paneli, pamatojoties uz žurnÄliem no Check Point ugunsmÅ«ra.
Pirmais solis darbÄ ar kibanu ir radÄ«Å”ana indeksa modelis, loÄ£iski, Ŕī ir indeksu bÄze, kas apvienota pÄc noteikta principa. Protams, tas ir tikai iestatÄ«jums, lai Kibana ÄrtÄk meklÄtu informÄciju visos indeksos vienlaikus. Tas tiek iestatÄ«ts, saskaÅojot virkni, sakiet ācheckpoint-*ā un indeksa nosaukumu. PiemÄram, ākontrolpunkts-2019.12.05ā atbilstu modelim, bet vienkÄrÅ”i ākontrolpunktsā vairs nepastÄv. AtseviŔķi ir vÄrts pieminÄt, ka meklÄÅ”anÄ nav iespÄjams vienlaikus meklÄt informÄciju par dažÄdiem indeksa modeļiem, nedaudz vÄlÄk nÄkamajos rakstos redzÄsim, ka API pieprasÄ«jumi tiek veikti vai nu pÄc indeksa nosaukuma, vai tikai ar vienu raksta lÄ«nija, attÄls ir noklikŔķinÄms:
PÄc tam izvÄlnÄ Discover mÄs pÄrbaudÄm, vai visi žurnÄli ir indeksÄti un ir konfigurÄts pareizais parsÄtÄjs. Ja tiek konstatÄtas kÄdas neatbilstÄ«bas, piemÄram, mainot datu tipu no virknes uz veselu skaitli, ir jÄrediÄ£Ä Logstash konfigurÄcijas fails, kÄ rezultÄtÄ jauni žurnÄli tiks ierakstÄ«ti pareizi. Lai vecie žurnÄli iegÅ«tu vÄlamo formu pirms izmaiÅÄm, palÄ«dz tikai atkÄrtotas indeksÄcijas process, turpmÄkajos rakstos Ŕī darbÄ«ba tiks apspriesta sÄ«kÄk. PÄrliecinÄsimies, ka viss ir kÄrtÄ«bÄ, bilde ir noklikŔķinÄma:
Baļķi ir savÄs vietÄs, kas nozÄ«mÄ, ka varam sÄkt bÅ«vÄt informÄcijas paneļus. Pamatojoties uz droŔības produktu informÄcijas paneļu analÄ«zi, varat izprast informÄcijas droŔības stÄvokli organizÄcijÄ, skaidri redzÄt paÅ”reizÄjÄs politikas ievainojamÄ«bas un pÄc tam izstrÄdÄt veidus, kÄ tÄs novÄrst. Izveidosim nelielu informÄcijas paneli, izmantojot vairÄkus vizualizÄcijas rÄ«kus. InformÄcijas panelis sastÄvÄs no 5 komponentiem:
- tabula kopÄjÄ baļķu skaita aprÄÄ·inÄÅ”anai pa asmeÅiem
- tabula par kritiskajiem IPS parakstiem
- sektoru diagramma draudu novÄrÅ”anas pasÄkumiem
- populÄrÄko apmeklÄto vietÅu diagramma
- diagramma par visbÄ«stamÄko lietojumprogrammu izmantoÅ”anu
Lai izveidotu vizualizÄcijas figÅ«ras, jums jÄiet uz izvÄlni IztÄloties, un atlasiet vajadzÄ«go figÅ«ru, kuru vÄlamies uzbÅ«vÄt! Ejam kÄrtÄ«bÄ.
Tabula kopÄjÄ baļķu skaita aprÄÄ·inÄÅ”anai pÄc asmeÅiem
Lai to izdarÄ«tu, atlasiet figÅ«ru Datu tabula, mÄs iekļūstam grafiku veidoÅ”anas aprÄ«kojumÄ, kreisajÄ pusÄ ir attÄla iestatÄ«jumi, labajÄ pusÄ ir redzams, kÄ tas izskatÄ«sies paÅ”reizÄjos iestatÄ«jumos. Vispirms es parÄdÄ«Å”u, kÄ izskatÄ«sies gatavÄ tabula, pÄc tam izejam cauri iestatÄ«jumiem, attÄls ir noklikŔķinÄms:
DetalizÄtÄki figÅ«ras iestatÄ«jumi, uz attÄla var noklikŔķinÄt:
Apskatīsim iestatījumus.
SÄkotnÄji konfigurÄts metriku, Ŕī ir vÄrtÄ«ba, pÄc kuras tiks apkopoti visi lauki. Metrikas tiek aprÄÄ·inÄtas, pamatojoties uz vÄrtÄ«bÄm, kas vienÄ vai otrÄ veidÄ iegÅ«tas no dokumentiem. VÄrtÄ«bas parasti tiek iegÅ«tas no laukiem dokumentu, bet to var arÄ« Ä£enerÄt, izmantojot skriptus. Å ajÄ gadÄ«jumÄ mÄs ievietojam ApkopoÅ”ana: Skaits (kopÄjais baļķu skaits).
PÄc tam mÄs sadalÄm tabulu segmentos (laukos), pÄc kuriem tiks aprÄÄ·inÄta metrika. Å o funkciju veic iestatÄ«jums Buckets, kas savukÄrt sastÄv no 2 iestatÄ«jumu opcijÄm:
- sadalÄ«t rindas - pievienojot kolonnas un pÄc tam sadalot tabulu rindÄs
- sadalÄ«ta tabula - sadalÄ«Å”ana vairÄkÄs tabulÄs, pamatojoties uz noteikta lauka vÄrtÄ«bÄm.
Š kausi JÅ«s varat pievienot vairÄkas nodaļas, lai izveidotu vairÄkas kolonnas vai tabulas, ierobežojumi Å”eit ir diezgan loÄ£iski. Apkopojot varat izvÄlÄties, kura metode tiks izmantota sadalÄ«Å”anai segmentos: ipv4 diapazons, datumu diapazons, noteikumi utt. InteresantÄkÄ izvÄle ir tieÅ”i Noteikumi Šø NozÄ«mÄ«gi noteikumi, sadalÄ«Å”ana segmentos tiek veikta pÄc noteikta indeksa lauka vÄrtÄ«bÄm, atŔķirÄ«ba starp tÄm ir atgriezto vÄrtÄ«bu skaitÄ un to attÄloÅ”anÄ. TÄ kÄ mÄs vÄlamies sadalÄ«t tabulu pÄc asmeÅu nosaukuma, mÄs atlasÄm lauku - produkts.atslÄgvÄrds un iestatiet lielumu uz 25 atgrieztajÄm vÄrtÄ«bÄm.
VirkÅu vietÄ elasticsearch izmanto 2 datu tipus - teksts Šø atslÄgvÄrds. Ja vÄlaties veikt pilna teksta meklÄÅ”anu, izmantojiet teksta veidu, kas ir ļoti Ärta lieta, rakstot meklÄÅ”anas pakalpojumu, piemÄram, meklÄjot vÄrda pieminÄÅ”anu noteiktÄ lauka vÄrtÄ«bÄ (tekstÄ). Ja vÄlaties tikai precÄ«zu atbilstÄ«bu, izmantojiet atslÄgvÄrda veidu. TÄpat atslÄgvÄrdu datu tips ir jÄizmanto laukiem, kuriem nepiecieÅ”ama kÄrtoÅ”ana vai apkopoÅ”ana, tas ir, mÅ«su gadÄ«jumÄ.
RezultÄtÄ Elasticsearch uzskaita žurnÄlu skaitu noteiktÄ laika periodÄ, kas tiek apkopots pÄc vÄrtÄ«bas produkta laukÄ. PielÄgotajÄ etiÄ·etÄ mÄs iestatÄm kolonnas nosaukumu, kas tiks parÄdÄ«ta tabulÄ, iestatÄm laiku, kurÄ apkopojam žurnÄlus, sÄkam renderÄÅ”anu - Kibana nosÅ«ta pieprasÄ«jumu elasticsearch, gaida atbildi un pÄc tam vizualizÄ saÅemtos datus. Galds gatavs!
Sektoru diagramma draudu novÄrÅ”anas pasÄkumiem
ÄŖpaÅ”i interesanti ir informÄcija par to, cik daudz reakciju ir procentos atklÄt Šø novÄrstu par informÄcijas droŔības incidentiem paÅ”reizÄjÄ droŔības politikÄ. Å ai situÄcijai labi noder sektoru diagramma. IzvÄlieties vizualizÄcijÄ - Sektoru diagramma. ArÄ« metrikÄ mÄs iestatÄm apkopoÅ”anu pÄc žurnÄlu skaita. SpaiÅos ievietojam Terms => action.
Å Ä·iet, ka viss ir pareizi, bet rezultÄts parÄda vÄrtÄ«bas visiem asmeÅiem; jums ir jÄfiltrÄ tikai tie asmeÅi, kas darbojas draudu novÄrÅ”anas ietvaros. TÄpÄc mÄs noteikti to uzstÄdÄ«jÄm filtru lai meklÄtu informÄciju tikai par informÄcijas droŔības incidentiem atbildÄ«gos asmeÅus - produkts: (āAnti-Botā VAI āNew Anti-Virusā VAI āDDoS Protectorā VAI āSmartDefenseā VAI āDraudu emulÄcijaā). AttÄls ir noklikŔķinÄms:
Un detalizÄtÄki iestatÄ«jumi, uz attÄla var noklikŔķinÄt:
IPS notikumu tabula
TÄlÄk ļoti svarÄ«gi no informÄcijas droŔības viedokļa ir notikumu apskate un pÄrbaude uz asmens. IPS Šø Draudu emulÄcijaKa nav bloÄ·Äti paÅ”reizÄjo politiku, lai pÄc tam vai nu mainÄ«tu parakstu, lai novÄrstu, vai, ja trafiks ir derÄ«gs, nepÄrbaudiet parakstu. Tabulu veidojam tÄpat kÄ pirmajÄ piemÄrÄ, ar vienÄ«go atŔķirÄ«bu, ka izveidojam vairÄkas kolonnas: protections.keyword, verity.keyword, product.keyword, originsicname.keyword. Noteikti iestatiet filtru, lai meklÄtu informÄciju tikai par informÄcijas droŔības incidentiem atbildÄ«gos lÄpstiÅus ā produkts: (āSmartDefenseā VAI āDraudu emulÄcijaā). AttÄls ir noklikŔķinÄms:
DetalizÄtÄki iestatÄ«jumi, uz attÄla var noklikŔķinÄt:
PopulÄrÄko apmeklÄto vietÅu diagrammas
Lai to izdarÄ«tu, izveidojiet figÅ«ru - VertikÄlÄ josla. MÄs arÄ« izmantojam skaitÄ«Å”anu (Y ass) kÄ metriku, bet uz X ass kÄ vÄrtÄ«bas izmantosim apmeklÄto vietÅu nosaukumus ā āappi_nameā. Å eit ir neliels triks: ja palaižat iestatÄ«jumus paÅ”reizÄjÄ versijÄ, visas vietnes tiks atzÄ«mÄtas diagrammÄ ar vienÄdu krÄsu, lai padarÄ«tu tÄs daudzkrÄsainas, mÄs izmantojam papildu iestatÄ«jumu - āsadalÄ«ta sÄrijaā, kas ļauj sadalÄ«t gatavu kolonnu vÄl vairÄkÄs vÄrtÄ«bÄs atkarÄ«bÄ no izvÄlÄtÄ lauka protams! Å o paÅ”u iedalÄ«jumu var izmantot vai nu kÄ vienu daudzkrÄsainu kolonnu atbilstoÅ”i vÄrtÄ«bÄm stacked režīmÄ, vai arÄ« parastajÄ režīmÄ, lai izveidotu vairÄkas kolonnas atbilstoÅ”i noteiktai vÄrtÄ«bai uz X ass. Å ajÄ gadÄ«jumÄ mÄs izmantojam TÄda pati vÄrtÄ«ba kÄ uz X ass, tas ļauj padarÄ«t visas kolonnas daudzkrÄsainas; tÄs tiks norÄdÄ«tas ar krÄsÄm augÅ”ÄjÄ labajÄ stÅ«rÄ«. MÅ«su iestatÄ«tajÄ filtrÄ - produkts: āURL filtrÄÅ”anaā, lai redzÄtu informÄciju tikai par apmeklÄtajÄm vietnÄm, uz attÄla var noklikŔķinÄt:
Iestatījumi:
Diagramma par visbÄ«stamÄko lietojumprogrammu izmantoÅ”anu
Lai to izdarÄ«tu, izveidojiet figÅ«ru - VertikÄlÄ josla. MÄs arÄ« izmantojam skaitu (Y ass) kÄ metriku, un uz X ass kÄ vÄrtÄ«bas izmantosim izmantoto lietojumprogrammu nosaukumus - āappi_nameā. VissvarÄ«gÄkais ir filtra iestatÄ«jums - produkts: āApplication Controlā UN app_risk: (4 VAI 5 VAI 3 ) UN darbÄ«ba: āakceptÄtā. MÄs filtrÄjam žurnÄlus, izmantojot lietojumprogrammu vadÄ«bas paneli, Åemot tikai tÄs vietnes, kas ir klasificÄtas kÄ kritiskas, augsta, vidÄja riska vietnes, un tikai tad, ja piekļuve Ŕīm vietnÄm ir atļauta. AttÄls ir noklikŔķinÄms:
IestatÄ«jumi, noklikŔķinÄms:
MÄrinstrumentu panelis
InformÄcijas paneļu apskate un izveide ir atseviÅ”Ä·Ä izvÄlnes vienumÄ - Mans Profils. Å eit viss ir vienkÄrÅ”i, tiek izveidots jauns informÄcijas panelis, tam tiek pievienota vizualizÄcija, novietota vietÄ un viss!
MÄs veidojam informÄcijas paneli, pÄc kura var izprast informÄcijas droŔības stÄvokļa pamatsituÄciju organizÄcijÄ, protams, tikai Check Point lÄ«menÄ«, bilde ir noklikŔķinÄma:
Pamatojoties uz Å”iem grafikiem, mÄs varam saprast, kuri kritiskie paraksti nav bloÄ·Äti ugunsmÅ«rÄ«, kur lietotÄji dodas un kÄdas visbÄ«stamÄkÄs lietojumprogrammas viÅi izmanto.
SecinÄjums
MÄs apskatÄ«jÄm pamata vizualizÄcijas iespÄjas KibanÄ un izveidojÄm informÄcijas paneli, taÄu tÄ ir tikai neliela daļa. TÄlÄk kursÄ atseviŔķi aplÅ«kosim karÅ”u uzstÄdÄ«Å”anu, darbu ar elasticsearch sistÄmu, iepazÄ«Å”anos ar API pieprasÄ«jumiem, automatizÄciju un daudz ko citu!
TÄpÄc sekojiet lÄ«dzi informÄcijai (
Avots: www.habr.com