🥇3. Elastīgā kaudze: drošības žurnālu analīze. Informācijas paneļi

Iepriekšējos rakstos mēs nedaudz iepazināmies ar aļņu kaudzi un žurnāla parsētāja Logstash konfigurācijas faila iestatīšanu. Šajā rakstā mēs pāriesim pie vissvarīgākā no analītiskā viedokļa, ko vēlaties redzēt no sistēmas un priekš kam viss radīts - tie ir grafiki un tabulas, kas apvienotas informācijas paneļi. Šodien mēs tuvāk apskatīsim vizualizācijas sistēmu Kibana, mēs apskatīsim, kā izveidot diagrammas un tabulas, un rezultātā mēs izveidosim vienkāršu informācijas paneli, pamatojoties uz žurnāliem no Check Point ugunsmūra.

Pirmais solis darbā ar kibanu ir radīšana indeksa modelis, loģiski, šī ir indeksu bāze, kas apvienota pēc noteikta principa. Protams, tas ir tikai iestatījums, lai Kibana ērtāk meklētu informāciju visos indeksos vienlaikus. Tas tiek iestatīts, saskaņojot virkni, sakiet “checkpoint-*” un indeksa nosaukumu. Piemēram, “kontrolpunkts-2019.12.05” atbilstu modelim, bet vienkārši “kontrolpunkts” vairs nepastāv. Atsevišķi ir vērts pieminēt, ka meklēšanā nav iespējams vienlaikus meklēt informāciju par dažādiem indeksa modeļiem, nedaudz vēlāk nākamajos rakstos redzēsim, ka API pieprasījumi tiek veikti vai nu pēc indeksa nosaukuma, vai tikai ar vienu raksta līnija, attēls ir noklikšķināms:

Pēc tam izvēlnē Discover mēs pārbaudām, vai visi žurnāli ir indeksēti un ir konfigurēts pareizais parsētājs. Ja tiek konstatētas kādas neatbilstības, piemēram, mainot datu tipu no virknes uz veselu skaitli, ir jārediģē Logstash konfigurācijas fails, kā rezultātā jauni žurnāli tiks ierakstīti pareizi. Lai vecie žurnāli iegūtu vēlamo formu pirms izmaiņām, palīdz tikai atkārtotas indeksācijas process, turpmākajos rakstos šī darbība tiks apspriesta sīkāk. Pārliecināsimies, ka viss ir kārtībā, bilde ir noklikšķināma:

Baļķi ir savās vietās, kas nozīmē, ka varam sākt būvēt informācijas paneļus. Pamatojoties uz drošības produktu informācijas paneļu analīzi, varat izprast informācijas drošības stāvokli organizācijā, skaidri redzēt pašreizējās politikas ievainojamības un pēc tam izstrādāt veidus, kā tās novērst. Izveidosim nelielu informācijas paneli, izmantojot vairākus vizualizācijas rīkus. Informācijas panelis sastāvēs no 5 komponentiem:

tabula kopējā baļķu skaita aprēķināšanai pa asmeņiem
tabula par kritiskajiem IPS parakstiem
sektoru diagramma draudu novēršanas pasākumiem
populārāko apmeklēto vietņu diagramma
diagramma par visbīstamāko lietojumprogrammu izmantošanu

Lai izveidotu vizualizācijas figūras, jums jāiet uz izvēlni Iztēloties, un atlasiet vajadzīgo figūru, kuru vēlamies uzbūvēt! Ejam kārtībā.

Tabula kopējā baļķu skaita aprēķināšanai pēc asmeņiem

Lai to izdarītu, atlasiet figūru Datu tabula, mēs iekļūstam grafiku veidošanas aprīkojumā, kreisajā pusē ir attēla iestatījumi, labajā pusē ir redzams, kā tas izskatīsies pašreizējos iestatījumos. Vispirms es parādīšu, kā izskatīsies gatavā tabula, pēc tam izejam cauri iestatījumiem, attēls ir noklikšķināms:

Detalizētāki figūras iestatījumi, uz attēla var noklikšķināt:

Apskatīsim iestatījumus.

Sākotnēji konfigurēts metriku, šī ir vērtība, pēc kuras tiks apkopoti visi lauki. Metrikas tiek aprēķinātas, pamatojoties uz vērtībām, kas vienā vai otrā veidā iegūtas no dokumentiem. Vērtības parasti tiek iegūtas no laukiem dokumentu, bet to var arī ģenerēt, izmantojot skriptus. Šajā gadījumā mēs ievietojam Apkopošana: Skaits (kopējais baļķu skaits).

Pēc tam mēs sadalām tabulu segmentos (laukos), pēc kuriem tiks aprēķināta metrika. Šo funkciju veic iestatījums Buckets, kas savukārt sastāv no 2 iestatījumu opcijām:

sadalīt rindas - pievienojot kolonnas un pēc tam sadalot tabulu rindās
sadalīta tabula - sadalīšana vairākās tabulās, pamatojoties uz noteikta lauka vērtībām.

В kausi Jūs varat pievienot vairākas nodaļas, lai izveidotu vairākas kolonnas vai tabulas, ierobežojumi šeit ir diezgan loģiski. Apkopojot varat izvēlēties, kura metode tiks izmantota sadalīšanai segmentos: ipv4 diapazons, datumu diapazons, noteikumi utt. Interesantākā izvēle ir tieši Noteikumi и Nozīmīgi noteikumi, sadalīšana segmentos tiek veikta pēc noteikta indeksa lauka vērtībām, atšķirība starp tām ir atgriezto vērtību skaitā un to attēlošanā. Tā kā mēs vēlamies sadalīt tabulu pēc asmeņu nosaukuma, mēs atlasām lauku - produkts.atslēgvārds un iestatiet lielumu uz 25 atgrieztajām vērtībām.

Virkņu vietā elasticsearch izmanto 2 datu tipus - teksts и atslēgvārds. Ja vēlaties veikt pilna teksta meklēšanu, izmantojiet teksta veidu, kas ir ļoti ērta lieta, rakstot meklēšanas pakalpojumu, piemēram, meklējot vārda pieminēšanu noteiktā lauka vērtībā (tekstā). Ja vēlaties tikai precīzu atbilstību, izmantojiet atslēgvārda veidu. Tāpat atslēgvārdu datu tips ir jāizmanto laukiem, kuriem nepieciešama kārtošana vai apkopošana, tas ir, mūsu gadījumā.

Rezultātā Elasticsearch uzskaita žurnālu skaitu noteiktā laika periodā, kas tiek apkopots pēc vērtības produkta laukā. Pielāgotajā etiķetē mēs iestatām kolonnas nosaukumu, kas tiks parādīta tabulā, iestatām laiku, kurā apkopojam žurnālus, sākam renderēšanu - Kibana nosūta pieprasījumu elasticsearch, gaida atbildi un pēc tam vizualizē saņemtos datus. Galds gatavs!

Sektoru diagramma draudu novēršanas pasākumiem

Īpaši interesanti ir informācija par to, cik daudz reakciju ir procentos atklāt и novērstu par informācijas drošības incidentiem pašreizējā drošības politikā. Šai situācijai labi noder sektoru diagramma. Izvēlieties vizualizācijā - Sektoru diagramma. Arī metrikā mēs iestatām apkopošanu pēc žurnālu skaita. Spaiņos ievietojam Terms => action.

Šķiet, ka viss ir pareizi, bet rezultāts parāda vērtības visiem asmeņiem; jums ir jāfiltrē tikai tie asmeņi, kas darbojas draudu novēršanas ietvaros. Tāpēc mēs noteikti to uzstādījām filtru lai meklētu informāciju tikai par informācijas drošības incidentiem atbildīgos asmeņus - produkts: (“Anti-Bot” VAI “New Anti-Virus” VAI “DDoS Protector” VAI “SmartDefense” VAI “Draudu emulācija”). Attēls ir noklikšķināms:

Un detalizētāki iestatījumi, uz attēla var noklikšķināt:

IPS notikumu tabula

Tālāk ļoti svarīgi no informācijas drošības viedokļa ir notikumu apskate un pārbaude uz asmens. IPS и Draudu emulācijaKa nav bloķēti pašreizējo politiku, lai pēc tam vai nu mainītu parakstu, lai novērstu, vai, ja trafiks ir derīgs, nepārbaudiet parakstu. Tabulu veidojam tāpat kā pirmajā piemērā, ar vienīgo atšķirību, ka izveidojam vairākas kolonnas: protections.keyword, verity.keyword, product.keyword, originsicname.keyword. Noteikti iestatiet filtru, lai meklētu informāciju tikai par informācijas drošības incidentiem atbildīgos lāpstiņus — produkts: (“SmartDefense” VAI “Draudu emulācija”). Attēls ir noklikšķināms:

Detalizētāki iestatījumi, uz attēla var noklikšķināt:

Populārāko apmeklēto vietņu diagrammas

Lai to izdarītu, izveidojiet figūru - Vertikālā josla. Mēs arī izmantojam skaitīšanu (Y ass) kā metriku, bet uz X ass kā vērtības izmantosim apmeklēto vietņu nosaukumus — “appi_name”. Šeit ir neliels triks: ja palaižat iestatījumus pašreizējā versijā, visas vietnes tiks atzīmētas diagrammā ar vienādu krāsu, lai padarītu tās daudzkrāsainas, mēs izmantojam papildu iestatījumu - “sadalīta sērija”, kas ļauj sadalīt gatavu kolonnu vēl vairākās vērtībās atkarībā no izvēlētā lauka protams! Šo pašu iedalījumu var izmantot vai nu kā vienu daudzkrāsainu kolonnu atbilstoši vērtībām stacked režīmā, vai arī parastajā režīmā, lai izveidotu vairākas kolonnas atbilstoši noteiktai vērtībai uz X ass. Šajā gadījumā mēs izmantojam Tāda pati vērtība kā uz X ass, tas ļauj padarīt visas kolonnas daudzkrāsainas; tās tiks norādītas ar krāsām augšējā labajā stūrī. Mūsu iestatītajā filtrā - produkts: “URL filtrēšana”, lai redzētu informāciju tikai par apmeklētajām vietnēm, uz attēla var noklikšķināt:

Iestatījumi:

Diagramma par visbīstamāko lietojumprogrammu izmantošanu

Lai to izdarītu, izveidojiet figūru - Vertikālā josla. Mēs arī izmantojam skaitu (Y ass) kā metriku, un uz X ass kā vērtības izmantosim izmantoto lietojumprogrammu nosaukumus - “appi_name”. Vissvarīgākais ir filtra iestatījums - produkts: “Application Control” UN app_risk: (4 VAI 5 VAI 3 ) UN darbība: “akceptēt”. Mēs filtrējam žurnālus, izmantojot lietojumprogrammu vadības paneli, ņemot tikai tās vietnes, kas ir klasificētas kā kritiskas, augsta, vidēja riska vietnes, un tikai tad, ja piekļuve šīm vietnēm ir atļauta. Attēls ir noklikšķināms:

Iestatījumi, noklikšķināms:

Mērinstrumentu panelis

Informācijas paneļu apskate un izveide ir atsevišķā izvēlnes vienumā - Mans Profils. Šeit viss ir vienkārši, tiek izveidots jauns informācijas panelis, tam tiek pievienota vizualizācija, novietota vietā un viss!

Mēs veidojam informācijas paneli, pēc kura var izprast informācijas drošības stāvokļa pamatsituāciju organizācijā, protams, tikai Check Point līmenī, bilde ir noklikšķināma:

Pamatojoties uz šiem grafikiem, mēs varam saprast, kuri kritiskie paraksti nav bloķēti ugunsmūrī, kur lietotāji dodas un kādas visbīstamākās lietojumprogrammas viņi izmanto.

Secinājums

Mēs apskatījām pamata vizualizācijas iespējas Kibanā un izveidojām informācijas paneli, taču tā ir tikai neliela daļa. Tālāk kursā atsevišķi aplūkosim karšu uzstādīšanu, darbu ar elasticsearch sistēmu, iepazīšanos ar API pieprasījumiem, automatizāciju un daudz ko citu!

Tāpēc sekojiet līdzi informācijai (Telegram, Facebook, VK, TS risinājumu emuārs), Yandex Zen.

Avots: www.habr.com

3. Elastīgā kaudze: drošības žurnālu analīze. Informācijas paneļi