ProHoster > Blogs > Administrācija > TS Total Sight. Notikumu apkopoÅ”anas, incidentu analÄ«zes un draudu reaģēŔanas automatizācijas rÄ«ks

TS Total Sight. Notikumu apkopoÅ”anas, incidentu analÄ«zes un draudu reaģēŔanas automatizācijas rÄ«ks

TS Total Sight. Notikumu apkopoÅ”anas, incidentu analÄ«zes un draudu reaģēŔanas automatizācijas rÄ«ks

Labdien, iepriekŔējos rakstos iepazināmies ar ELK Stack darbu. Tagad pārrunāsim iespējas, ko informācijas droŔības speciālists var realizēt Å”o sistēmu izmantoÅ”anā. Kādus žurnālus var un vajadzētu ievadÄ«t elastÄ«gajā meklÄ“Å”anā. Apsvērsim, kādu statistiku var iegÅ«t, iestatot informācijas paneļus, un vai no tā ir kāda peļņa. Kā jÅ«s varat ieviest informācijas droŔības procesu automatizāciju, izmantojot ELK steku. Izveidosim sistēmas arhitektÅ«ru. Kopumā visas funkcionalitātes ievieÅ”ana ir ļoti apjomÄ«gs un grÅ«ts uzdevums, tāpēc risinājumam tika dots atseviŔķs nosaukums ā€“ TS Total Sight.

Å obrÄ«d strauji popularitāti gÅ«st risinājumi, kas apkopo un analizē informācijas droŔības incidentus vienu loÄ£iskā vietā, kā rezultātā speciālists saņem statistiku un rÄ«cÄ«bas robežu, lai uzlabotu informācijas droŔības stāvokli organizācijā. Mēs izvirzÄ«jām sev Å”o uzdevumu, izmantojot ELK steku, un rezultātā sadalÄ«jām galveno funkcionalitāti 4 sadaļās:

  1. Statistika un vizualizācija;
  2. Informācijas droŔības incidentu atklāŔana;
  3. Incidentu prioritāŔu noteikŔana;
  4. Informācijas droŔības procesu automatizācija.

Tālāk mēs sÄ«kāk aplÅ«kosim katru atseviŔķi.

Informācijas droŔības incidentu atklāŔana

Galvenais elasticsearch izmantoŔanas uzdevums mūsu gadījumā ir apkopot tikai informācijas droŔības incidentus. Informācijas droŔības incidentus var apkopot no jebkuriem droŔības līdzekļiem, ja tie atbalsta vismaz dažus žurnālu sūtīŔanas veidus, standarts ir syslog vai scp saglabāŔana failā.

Varat sniegt standarta piemērus droŔības rÄ«kiem un citiem, kur jums vajadzētu konfigurēt žurnālu pārsÅ«tÄ«Å”anu:

  1. Jebkuri NGFW rīki (Check Point, Fortinet);
  2. Jebkuri ievainojamības skeneri (PT Scanner, OpenVas);
  3. tīmekļa lietojumprogrammu ugunsmūris (PT AF);
  4. tīkla plūsmas analizatori (Flowmon, Cisco StealthWatch);
  5. AD serveris.

Kad esat konfigurējis žurnālu un konfigurācijas failu sÅ«tÄ«Å”anu programmā Logstash, varat veikt korelāciju un salÄ«dzināt ar incidentiem, kas nāk no dažādiem droŔības rÄ«kiem. Lai to izdarÄ«tu, ir ērti izmantot indeksus, kuros mēs glabāsim visus ar konkrētu ierÄ«ci saistÄ«tos incidentus. Citiem vārdiem sakot, viens rādÄ«tājs ir visi incidenti vienā ierÄ«cē. Å o izplatÄ«Å”anu var Ä«stenot 2 veidos.

Pirmais variants Tas ir paredzēts, lai konfigurētu Logstash konfigurāciju. Lai to izdarÄ«tu, jums ir jādublē noteiktu lauku žurnāls atseviŔķā vienÄ«bā ar citu veidu. Un pēc tam izmantojiet Å”o veidu nākotnē. Piemērā žurnāli tiek klonēti no Check Point ugunsmÅ«ra IPS lapas.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Lai saglabātu Ŕādus notikumus atseviŔķā indeksā atkarÄ«bā no žurnāla laukiem, piemēram, piemēram, galamērÄ·a IP uzbrukuma paraksti. Varat izmantot lÄ«dzÄ«gu konstrukciju:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Un Ŕādā veidā jÅ«s varat saglabāt visus incidentus indeksā, piemēram, pēc IP adreses vai iekārtas domēna nosaukuma. Å ajā gadÄ«jumā mēs to saglabājam indeksā "viedā aizsardzÄ«ba-%{dst}", pēc paraksta adresāta IP adreses.

Tomēr dažādiem produktiem bÅ«s atŔķirÄ«gi žurnāla lauki, kas radÄ«s haosu un nevajadzÄ«gu atmiņas patēriņu. Un Å”eit jums bÅ«s vai nu rÅ«pÄ«gi jāaizstāj lauki Logstash konfigurācijas iestatÄ«jumos ar iepriekÅ” izstrādātiem laukiem, kas bÅ«s vienādi visu veidu incidentiem, kas arÄ« ir sarežģīts uzdevums.

Otrā ievieÅ”anas iespēja - tas ir skripta vai procesa rakstÄ«Å”ana, kas reāllaikā piekļūs elastÄ«gajai datu bāzei, izvilks nepiecieÅ”amos incidentus un saglabās tos jaunā rādÄ«tājā, tas ir sarežģīts uzdevums, taču tas ļauj jums strādāt ar žurnāliem, kā vēlaties, un tieŔā veidā korelē ar incidentiem no citām droŔības iekārtām. Å Ä« opcija ļauj maksimāli elastÄ«gi konfigurēt darbu ar žurnāliem tā, lai tas bÅ«tu visnoderÄ«gākais jÅ«su gadÄ«jumam, taču Å”eit rodas problēma, meklējot speciālistu, kurÅ” to varētu Ä«stenot.

Un, protams, vissvarīgākais jautājums, un ko var korelēt un atklāt??

Å eit var bÅ«t vairākas iespējas, un tas ir atkarÄ«gs no tā, kādi droŔības rÄ«ki tiek izmantoti jÅ«su infrastruktÅ«rā, daži piemēri:

  1. Visredzamākā un, manuprāt, interesantākā iespēja tiem, kam ir NGFW risinājums un ievainojamÄ«bas skeneris. Å is ir IPS žurnālu un ievainojamÄ«bas skenÄ“Å”anas rezultātu salÄ«dzinājums. Ja IPS sistēma ir atklājusi (nav bloķēta) uzbrukumu un Ŕī ievainojamÄ«ba gala iekārtā netiek aizvērta, pamatojoties uz skenÄ“Å”anas rezultātiem, ir jāpÅ«Å” svilpe, jo pastāv liela varbÅ«tÄ«ba, ka ievainojamÄ«ba ir izmantota. .
  2. Daudzi pieteikÅ”anās mēģinājumi no vienas iekārtas uz dažādām vietām var simbolizēt ļaunprātÄ«gu darbÄ«bu.
  3. Lietotājs lejupielādē vīrusu failus, jo ir apmeklējis milzīgu skaitu potenciāli bīstamu vietņu.

Statistika un vizualizācija

AcÄ«mredzamākā un saprotamākā lieta, kurai ELK Stack ir nepiecieÅ”ama, ir baļķu uzglabāŔana un vizualizācija, iepriekŔējos rakstos tika parādÄ«ts, kā var izveidot žurnālus no dažādām ierÄ«cēm, izmantojot Logstash. Pēc tam, kad žurnāli ir atvērti Elasticsearch, varat iestatÄ«t informācijas paneļus, kas arÄ« tika minēti iepriekŔējos rakstos, ar nepiecieÅ”amo informāciju un statistiku, izmantojot vizualizāciju.

Piemēri:

  1. Draudu novērÅ”anas notikumu informācijas panelis ar vissvarÄ«gākajiem notikumiem. Å eit varat atspoguļot, kuri IPS paraksti tika atklāti un no kurienes tie nāk Ä£eogrāfiski.

    TS Total Sight. Notikumu apkopoÅ”anas, incidentu analÄ«zes un draudu reaģēŔanas automatizācijas rÄ«ks

  2. Informācijas panelis par vissvarīgāko lietojumprogrammu izmantoŔanu, par kurām informācija var tikt nopludināta.

    TS Total Sight. Notikumu apkopoÅ”anas, incidentu analÄ«zes un draudu reaģēŔanas automatizācijas rÄ«ks

  3. Skenējiet rezultātus no jebkura droŔības skenera.

    TS Total Sight. Notikumu apkopoÅ”anas, incidentu analÄ«zes un draudu reaģēŔanas automatizācijas rÄ«ks

  4. Active Directory žurnāli pēc lietotāja.

    TS Total Sight. Notikumu apkopoÅ”anas, incidentu analÄ«zes un draudu reaģēŔanas automatizācijas rÄ«ks

  5. VPN savienojuma informācijas panelis.

Šādā gadÄ«jumā, ja konfigurējat informācijas paneļus, lai tie tiktu atjaunināti ik pēc dažām sekundēm, jÅ«s varat iegÅ«t diezgan ērtu sistēmu notikumu pārraudzÄ«bai reāllaikā, kuru pēc tam var izmantot ātrākai reakcijai uz informācijas droŔības incidentiem, ja paneļi tiek novietoti uz atseviŔķas ekrāns.

Starpgadījumu prioritāŔu noteikŔana

Lielas infrastruktÅ«ras apstākļos incidentu skaits var nebÅ«t mērogs, un speciālistiem nepaspēs laikus tikt galā ar visiem incidentiem. Å ajā gadÄ«jumā, pirmkārt, ir jāizceļ tikai tie incidenti, kas rada lielus draudus. Tāpēc sistēmai ir jānosaka incidentu prioritāte, pamatojoties uz to nopietnÄ«bu saistÄ«bā ar jÅ«su infrastruktÅ«ru. Par Å”iem notikumiem ieteicams iestatÄ«t e-pasta vai telegrammas brÄ«dinājumu. PrioritāŔu noteikÅ”anu var ieviest, izmantojot standarta Kibana rÄ«kus, iestatot vizualizāciju. Bet ar paziņojumiem tas ir grÅ«tāk; pēc noklusējuma Ŕī funkcionalitāte nav iekļauta Elasticsearch pamata versijā, tikai maksas versijā. Tāpēc vai nu iegādājieties maksas versiju, vai arÄ« pats uzrakstiet procesu, kas reāllaikā informēs speciālistus pa e-pastu vai telegrammu.

Informācijas droŔības procesu automatizācija

Un viena no interesantākajām daļām ir informācijas droŔības incidentu darbÄ«bu automatizācija. IepriekÅ” mēs ieviesām Å”o funkcionalitāti Splunk, Å”ajā sadaļā varat lasÄ«t nedaudz vairāk raksts. Galvenā ideja ir tāda, ka IPS politika nekad netiek pārbaudÄ«ta vai optimizēta, lai gan dažos gadÄ«jumos tā ir bÅ«tiska informācijas droŔības procesu sastāvdaļa. Piemēram, gadu pēc NGFW ievieÅ”anas un IPS optimizācijas darbÄ«bu neesamÄ«bas jÅ«s uzkrāsit lielu skaitu parakstu ar darbÄ«bu Detect, kas netiks bloķēts, kas ievērojami samazina informācijas droŔības stāvokli organizācijā. Tālāk ir sniegti daži piemēri tam, ko var automatizēt.

  1. IPS paraksta pārsÅ«tÄ«Å”ana no Detect uz Prevent. Ja Prevent nedarbojas kritiskiem parakstiem, tas nav kārtÄ«bā un aizsardzÄ«bas sistēmā ir nopietna plaisa. Mēs mainām darbÄ«bu politikā uz Ŕādiem parakstiem. Å o funkcionalitāti var ieviest, ja NGFW ierÄ«cei ir REST API funkcionalitāte. Tas ir iespējams tikai tad, ja jums ir programmÄ“Å”anas prasmes; jums ir nepiecieÅ”ams iegÅ«t nepiecieÅ”amo informāciju no Elastcisearch un veikt API pieprasÄ«jumus NGFW vadÄ«bas serverim.
  2. Ja tÄ«kla trafikā no vienas IP adreses tika konstatēti vai bloķēti vairāki paraksti, ir lietderÄ«gi Å”o IP adresi uz laiku bloķēt ugunsmÅ«ra politikā. ÄŖstenoÅ”ana sastāv arÄ« no REST API izmantoÅ”anas.
  3. Palaidiet saimniekdatora skenÄ“Å”anu ar ievainojamÄ«bas skeneri, ja Å”im resursdatoram ir liels skaits IPS parakstu vai citu droŔības rÄ«ku; ja tas ir OpenVas, varat uzrakstÄ«t skriptu, kas caur ssh izveidos savienojumu ar droŔības skeneri un palaist skenÄ“Å”anu.

TS Total Sight. Notikumu apkopoÅ”anas, incidentu analÄ«zes un draudu reaģēŔanas automatizācijas rÄ«ks

TS Total Sight

Kopumā visas funkcionalitātes ievieÅ”ana ir ļoti liels un grÅ«ts uzdevums. Bez programmÄ“Å”anas prasmēm jÅ«s varat konfigurēt minimālo funkcionalitāti, kas var bÅ«t pietiekama izmantoÅ”anai ražoÅ”anā. Bet, ja jÅ«s interesē visa funkcionalitāte, varat pievērst uzmanÄ«bu TS Total Sight. SÄ«kāku informāciju varat atrast mÅ«su vietnē TieÅ”saistē. Rezultātā visa darbÄ«bas shēma un arhitektÅ«ra izskatÄ«sies Ŕādi:

TS Total Sight. Notikumu apkopoÅ”anas, incidentu analÄ«zes un draudu reaģēŔanas automatizācijas rÄ«ks

Secinājums

Mēs apskatÄ«jām, ko var ieviest, izmantojot ELK Stack. Nākamajos rakstos mēs atseviŔķi aplÅ«kosim TS Total Sight funkcionalitāti sÄ«kāk!

Tāpēc sekojiet līdzi informācijai (Telegram, Facebook, VK, TS risinājumu emuārs), Yandex Zen.

Avots: www.habr.com

Pievieno komentāru