Labdien, iepriekÅ”Äjos rakstos iepazinÄmies ar ELK Stack darbu. Tagad pÄrrunÄsim iespÄjas, ko informÄcijas droŔības speciÄlists var realizÄt Å”o sistÄmu izmantoÅ”anÄ. KÄdus žurnÄlus var un vajadzÄtu ievadÄ«t elastÄ«gajÄ meklÄÅ”anÄ. ApsvÄrsim, kÄdu statistiku var iegÅ«t, iestatot informÄcijas paneļus, un vai no tÄ ir kÄda peļÅa. KÄ jÅ«s varat ieviest informÄcijas droŔības procesu automatizÄciju, izmantojot ELK steku. Izveidosim sistÄmas arhitektÅ«ru. KopumÄ visas funkcionalitÄtes ievieÅ”ana ir ļoti apjomÄ«gs un grÅ«ts uzdevums, tÄpÄc risinÄjumam tika dots atseviŔķs nosaukums ā TS Total Sight.
Å obrÄ«d strauji popularitÄti gÅ«st risinÄjumi, kas apkopo un analizÄ informÄcijas droŔības incidentus vienu loÄ£iskÄ vietÄ, kÄ rezultÄtÄ speciÄlists saÅem statistiku un rÄ«cÄ«bas robežu, lai uzlabotu informÄcijas droŔības stÄvokli organizÄcijÄ. MÄs izvirzÄ«jÄm sev Å”o uzdevumu, izmantojot ELK steku, un rezultÄtÄ sadalÄ«jÄm galveno funkcionalitÄti 4 sadaļÄs:
- Statistika un vizualizÄcija;
- InformÄcijas droŔības incidentu atklÄÅ”ana;
- Incidentu prioritÄÅ”u noteikÅ”ana;
- InformÄcijas droŔības procesu automatizÄcija.
TÄlÄk mÄs sÄ«kÄk aplÅ«kosim katru atseviŔķi.
InformÄcijas droŔības incidentu atklÄÅ”ana
Galvenais elasticsearch izmantoÅ”anas uzdevums mÅ«su gadÄ«jumÄ ir apkopot tikai informÄcijas droŔības incidentus. InformÄcijas droŔības incidentus var apkopot no jebkuriem droŔības lÄ«dzekļiem, ja tie atbalsta vismaz dažus žurnÄlu sÅ«tÄ«Å”anas veidus, standarts ir syslog vai scp saglabÄÅ”ana failÄ.
Varat sniegt standarta piemÄrus droŔības rÄ«kiem un citiem, kur jums vajadzÄtu konfigurÄt žurnÄlu pÄrsÅ«tÄ«Å”anu:
- Jebkuri NGFW rīki (Check Point, Fortinet);
- Jebkuri ievainojamības skeneri (PT Scanner, OpenVas);
- tīmekļa lietojumprogrammu ugunsmūris (PT AF);
- tīkla plūsmas analizatori (Flowmon, Cisco StealthWatch);
- AD serveris.
Kad esat konfigurÄjis žurnÄlu un konfigurÄcijas failu sÅ«tÄ«Å”anu programmÄ Logstash, varat veikt korelÄciju un salÄ«dzinÄt ar incidentiem, kas nÄk no dažÄdiem droŔības rÄ«kiem. Lai to izdarÄ«tu, ir Ärti izmantot indeksus, kuros mÄs glabÄsim visus ar konkrÄtu ierÄ«ci saistÄ«tos incidentus. Citiem vÄrdiem sakot, viens rÄdÄ«tÄjs ir visi incidenti vienÄ ierÄ«cÄ. Å o izplatÄ«Å”anu var Ä«stenot 2 veidos.
Pirmais variants Tas ir paredzÄts, lai konfigurÄtu Logstash konfigurÄciju. Lai to izdarÄ«tu, jums ir jÄdublÄ noteiktu lauku žurnÄls atseviÅ”Ä·Ä vienÄ«bÄ ar citu veidu. Un pÄc tam izmantojiet Å”o veidu nÄkotnÄ. PiemÄrÄ Å¾urnÄli tiek klonÄti no Check Point ugunsmÅ«ra IPS lapas.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
Lai saglabÄtu Å”Ädus notikumus atseviÅ”Ä·Ä indeksÄ atkarÄ«bÄ no žurnÄla laukiem, piemÄram, piemÄram, galamÄrÄ·a IP uzbrukuma paraksti. Varat izmantot lÄ«dzÄ«gu konstrukciju:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
Un Å”ÄdÄ veidÄ jÅ«s varat saglabÄt visus incidentus indeksÄ, piemÄram, pÄc IP adreses vai iekÄrtas domÄna nosaukuma. Å ajÄ gadÄ«jumÄ mÄs to saglabÄjam indeksÄ "viedÄ aizsardzÄ«ba-%{dst}", pÄc paraksta adresÄta IP adreses.
TomÄr dažÄdiem produktiem bÅ«s atŔķirÄ«gi žurnÄla lauki, kas radÄ«s haosu un nevajadzÄ«gu atmiÅas patÄriÅu. Un Å”eit jums bÅ«s vai nu rÅ«pÄ«gi jÄaizstÄj lauki Logstash konfigurÄcijas iestatÄ«jumos ar iepriekÅ” izstrÄdÄtiem laukiem, kas bÅ«s vienÄdi visu veidu incidentiem, kas arÄ« ir sarežģīts uzdevums.
OtrÄ ievieÅ”anas iespÄja - tas ir skripta vai procesa rakstÄ«Å”ana, kas reÄllaikÄ piekļūs elastÄ«gajai datu bÄzei, izvilks nepiecieÅ”amos incidentus un saglabÄs tos jaunÄ rÄdÄ«tÄjÄ, tas ir sarežģīts uzdevums, taÄu tas ļauj jums strÄdÄt ar žurnÄliem, kÄ vÄlaties, un tieÅ”Ä veidÄ korelÄ ar incidentiem no citÄm droŔības iekÄrtÄm. Å Ä« opcija ļauj maksimÄli elastÄ«gi konfigurÄt darbu ar žurnÄliem tÄ, lai tas bÅ«tu visnoderÄ«gÄkais jÅ«su gadÄ«jumam, taÄu Å”eit rodas problÄma, meklÄjot speciÄlistu, kurÅ” to varÄtu Ä«stenot.
Un, protams, vissvarÄ«gÄkais jautÄjums, un ko var korelÄt un atklÄt??
Å eit var bÅ«t vairÄkas iespÄjas, un tas ir atkarÄ«gs no tÄ, kÄdi droŔības rÄ«ki tiek izmantoti jÅ«su infrastruktÅ«rÄ, daži piemÄri:
- VisredzamÄkÄ un, manuprÄt, interesantÄkÄ iespÄja tiem, kam ir NGFW risinÄjums un ievainojamÄ«bas skeneris. Å is ir IPS žurnÄlu un ievainojamÄ«bas skenÄÅ”anas rezultÄtu salÄ«dzinÄjums. Ja IPS sistÄma ir atklÄjusi (nav bloÄ·Äta) uzbrukumu un Ŕī ievainojamÄ«ba gala iekÄrtÄ netiek aizvÄrta, pamatojoties uz skenÄÅ”anas rezultÄtiem, ir jÄpÅ«Å” svilpe, jo pastÄv liela varbÅ«tÄ«ba, ka ievainojamÄ«ba ir izmantota. .
- Daudzi pieteikÅ”anÄs mÄÄ£inÄjumi no vienas iekÄrtas uz dažÄdÄm vietÄm var simbolizÄt ļaunprÄtÄ«gu darbÄ«bu.
- LietotÄjs lejupielÄdÄ vÄ«rusu failus, jo ir apmeklÄjis milzÄ«gu skaitu potenciÄli bÄ«stamu vietÅu.
Statistika un vizualizÄcija
AcÄ«mredzamÄkÄ un saprotamÄkÄ lieta, kurai ELK Stack ir nepiecieÅ”ama, ir baļķu uzglabÄÅ”ana un vizualizÄcija,
PiemÄri:
- Draudu novÄrÅ”anas notikumu informÄcijas panelis ar vissvarÄ«gÄkajiem notikumiem. Å eit varat atspoguļot, kuri IPS paraksti tika atklÄti un no kurienes tie nÄk Ä£eogrÄfiski.
- InformÄcijas panelis par vissvarÄ«gÄko lietojumprogrammu izmantoÅ”anu, par kurÄm informÄcija var tikt nopludinÄta.
- SkenÄjiet rezultÄtus no jebkura droŔības skenera.
- Active Directory žurnÄli pÄc lietotÄja.
- VPN savienojuma informÄcijas panelis.
Å ÄdÄ gadÄ«jumÄ, ja konfigurÄjat informÄcijas paneļus, lai tie tiktu atjauninÄti ik pÄc dažÄm sekundÄm, jÅ«s varat iegÅ«t diezgan Ärtu sistÄmu notikumu pÄrraudzÄ«bai reÄllaikÄ, kuru pÄc tam var izmantot ÄtrÄkai reakcijai uz informÄcijas droŔības incidentiem, ja paneļi tiek novietoti uz atseviŔķas ekrÄns.
StarpgadÄ«jumu prioritÄÅ”u noteikÅ”ana
Lielas infrastruktÅ«ras apstÄkļos incidentu skaits var nebÅ«t mÄrogs, un speciÄlistiem nepaspÄs laikus tikt galÄ ar visiem incidentiem. Å ajÄ gadÄ«jumÄ, pirmkÄrt, ir jÄizceļ tikai tie incidenti, kas rada lielus draudus. TÄpÄc sistÄmai ir jÄnosaka incidentu prioritÄte, pamatojoties uz to nopietnÄ«bu saistÄ«bÄ ar jÅ«su infrastruktÅ«ru. Par Å”iem notikumiem ieteicams iestatÄ«t e-pasta vai telegrammas brÄ«dinÄjumu. PrioritÄÅ”u noteikÅ”anu var ieviest, izmantojot standarta Kibana rÄ«kus, iestatot vizualizÄciju. Bet ar paziÅojumiem tas ir grÅ«tÄk; pÄc noklusÄjuma Ŕī funkcionalitÄte nav iekļauta Elasticsearch pamata versijÄ, tikai maksas versijÄ. TÄpÄc vai nu iegÄdÄjieties maksas versiju, vai arÄ« pats uzrakstiet procesu, kas reÄllaikÄ informÄs speciÄlistus pa e-pastu vai telegrammu.
InformÄcijas droŔības procesu automatizÄcija
Un viena no interesantÄkajÄm daļÄm ir informÄcijas droŔības incidentu darbÄ«bu automatizÄcija. IepriekÅ” mÄs ieviesÄm Å”o funkcionalitÄti Splunk, Å”ajÄ sadaÄ¼Ä varat lasÄ«t nedaudz vairÄk
- IPS paraksta pÄrsÅ«tÄ«Å”ana no Detect uz Prevent. Ja Prevent nedarbojas kritiskiem parakstiem, tas nav kÄrtÄ«bÄ un aizsardzÄ«bas sistÄmÄ ir nopietna plaisa. MÄs mainÄm darbÄ«bu politikÄ uz Å”Ädiem parakstiem. Å o funkcionalitÄti var ieviest, ja NGFW ierÄ«cei ir REST API funkcionalitÄte. Tas ir iespÄjams tikai tad, ja jums ir programmÄÅ”anas prasmes; jums ir nepiecieÅ”ams iegÅ«t nepiecieÅ”amo informÄciju no Elastcisearch un veikt API pieprasÄ«jumus NGFW vadÄ«bas serverim.
- Ja tÄ«kla trafikÄ no vienas IP adreses tika konstatÄti vai bloÄ·Äti vairÄki paraksti, ir lietderÄ«gi Å”o IP adresi uz laiku bloÄ·Ät ugunsmÅ«ra politikÄ. ÄŖstenoÅ”ana sastÄv arÄ« no REST API izmantoÅ”anas.
- Palaidiet saimniekdatora skenÄÅ”anu ar ievainojamÄ«bas skeneri, ja Å”im resursdatoram ir liels skaits IPS parakstu vai citu droŔības rÄ«ku; ja tas ir OpenVas, varat uzrakstÄ«t skriptu, kas caur ssh izveidos savienojumu ar droŔības skeneri un palaist skenÄÅ”anu.
TS Total Sight
KopumÄ visas funkcionalitÄtes ievieÅ”ana ir ļoti liels un grÅ«ts uzdevums. Bez programmÄÅ”anas prasmÄm jÅ«s varat konfigurÄt minimÄlo funkcionalitÄti, kas var bÅ«t pietiekama izmantoÅ”anai ražoÅ”anÄ. Bet, ja jÅ«s interesÄ visa funkcionalitÄte, varat pievÄrst uzmanÄ«bu TS Total Sight. SÄ«kÄku informÄciju varat atrast mÅ«su vietnÄ
SecinÄjums
MÄs apskatÄ«jÄm, ko var ieviest, izmantojot ELK Stack. NÄkamajos rakstos mÄs atseviŔķi aplÅ«kosim TS Total Sight funkcionalitÄti sÄ«kÄk!
TÄpÄc sekojiet lÄ«dzi informÄcijai (
Avots: www.habr.com