ProHoster > Blog > fitantanan-draharaha > TS Total Sight. Fanangonana hetsika, Famakafakana trangan-javatra, ary Fitaovana automatique amin'ny fandrahonana

TS Total Sight. Fanangonana hetsika, Famakafakana trangan-javatra, ary Fitaovana automatique amin'ny fandrahonana

TS Total Sight. Fanangonana hetsika, Famakafakana trangan-javatra, ary Fitaovana automatique amin'ny fandrahonana

Salama tolakandro, tamin'ny lahatsoratra teo aloha dia nahafantatra ny asan'ny ELK Stack izahay. Ary ankehitriny isika dia hiresaka momba ny mety ho azon'ny manam-pahaizana manokana momba ny fiarovana ny vaovao amin'ny fampiasana ireo rafitra ireo. Inona no logs azo ary tokony ampiana amin'ny elasticsearch. Andeha hojerentsika hoe inona no antontan'isa azo amin'ny fametrahana dashboard ary raha misy tombony amin'izany. Ahoana no ahafahako mampihatra automatique ny fizotry ny fiarovana ny vaovao amin'ny alΓ lan'ny stack ELK. Andao hamorona ny rafitry ny rafitra. Raha fintinina, ny fampiharana ny fiasa rehetra dia asa lehibe sy sarotra, noho izany dia nomena anarana manokana ny vahaolana - TS Total Sight.

Amin'izao fotoana izao, ny vahaolana izay manambatra sy manadihady ireo trangan-javatra momba ny fiarovana ny fampahalalam-baovao amin'ny toerana lojika iray dia miha-malaza, vokatr'izany, ny manam-pahaizana manokana dia mahazo antontan'isa sy lohalaharana amin'ny hetsika hanatsarana ny fiarovana ny fampahalalam-baovao ao amin'ny fikambanana iray. Nametraka asa toy izany izahay tamin'ny fampiasana ny stack ELK, vokatr'izany dia nozarainay tao amin'ny fizarana 4 ny fiasa fototra:

  1. Statistics and visualization;
  2. Famantarana trangan-javatra IS;
  3. Laharam-pahamehana ny trangan-javatra;
  4. Automation ny fizotry ny fiarovana ny vaovao.

Andeha hojerentsika akaiky ny tsirairay amin'izy ireo amin'ny antsipiriany.

Fikarohana zava-nitranga momba ny fiarovana ny vaovao

Ny asa lehibe indrindra amin'ny fampiasana elasticsearch amin'ny tranga misy antsika dia ny fanangonana ireo tranga momba ny fiarovana ny vaovao. Azonao atao ny manangona trangan-javatra fiarovana amin'ny fampahalalam-baovao amin'ny fomba fiarovana rehetra raha toa ka manohana ny fomba famindrana log farafaharatsiny, ny mahazatra dia syslog na scp mitahiry amin'ny rakitra iray.

Azonao atao ny manome ohatra manara-penitra amin'ny fitaovana fiarovana fa tsy avy amin'ny toerana tokony hamboarinao ny fandefasana log:

  1. Izay vola NGFW (Check Point, Fortinet);
  2. Ireo scanner vulnerable (PT Scanner, OpenVas);
  3. Web Application Firewall (PTAF);
  4. Mpanadihady Netflow (Flowmon, Cisco StealthWatch);
  5. AD server.

Raha vantany vao nanangana Logstash ianao handefa logs sy fisie, dia azonao atao ny mampifandray sy mampitaha amin'ireo tranga avy amin'ny fitaovana fiarovana isan-karazany. Mba hanaovana izany, dia mety ny mampiasa indexes, izay hitahiry ny zava-nitranga rehetra mifandray amin'ny fitaovana manokana. Raha lazaina amin'ny teny hafa, ny index iray dia tranga rehetra ho an'ny fitaovana iray. Ity fizarana ity dia azo ampiharina amin'ny fomba roa.

Ny safidy voalohany dia ny manamboatra Logstash config. Mba hanaovana izany, dia mila manao duplicate ny log ho an'ny saha sasany ho vondrona misaraka misy karazana hafa. Ary avy eo dia ampiasao ity karazana ity. Ny klioba ohatra dia mirakitra avy amin'ny lelan'ny IPS an'ny rindrina Check Point.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Mba hitehirizana hetsika toy izany amin'ny index misaraka miankina amin'ny sahan'ny logs, ohatra, toy ny IP Destination an'ny sonia fanafihana. Azonao atao ny mampiasa fanorenana mitovy:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Ary amin'izany fomba izany dia azonao atao ny mamonjy ny tranga rehetra amin'ny index, ohatra, amin'ny adiresy IP, na amin'ny anaran'ny sehatra an'ny milina. Amin'ity tranga ity, dia mitahiry ao amin'ny index "smartdefense-%{dst}", amin'ny adiresy IP amin'ny toerana misy sonia.

Na izany aza, ny vokatra isan-karazany dia hanana saha lozisialy samihafa, ka miteraka korontana sy fitadidiana very maina. Ary eto dia ilaina ny manolo amim-pitandremana ireo saha ao amin'ny fikandrana Logstash config miaraka amin'ireo efa nomanina mialoha, izay hitovy amin'ny karazana tranga rehetra, izay asa sarotra ihany koa.

Safidy fampiharana faharoa - manoratra script na dingana izay hiditra amin'ny fototra elastika amin'ny fotoana tena izy, manala ireo tranga ilaina, ary mamonjy azy ireo amin'ny index vaovao, asa sarotra izany, saingy mamela anao hiasa amin'ny logs araka izay tianao. , ary ampifandraiso mivantana amin'ny zava-mitranga avy amin'ny fitaovana fiarovana hafa. Ity safidy ity dia ahafahanao manamboatra ny asa miaraka amin'ny logs ho mahasoa araka izay azo atao ho an'ny raharahanao miaraka amin'ny fahafaha-manao ambony indrindra, saingy eto dia misy olana amin'ny fitadiavana manam-pahaizana manokana afaka mampihatra izany.

Ary, mazava ho azy, ny fanontaniana manan-danja indrindra inona no azo ampifandraisina sy tsikaritra?

Mety misy safidy maromaro eto, ary miankina amin'ny fitaovana fiarovana ampiasaina amin'ny fotodrafitrasa misy anao, ohatra roa:

  1. Ny tena miharihary ary araka ny fijeriko no safidy mahaliana indrindra ho an'ireo izay manana vahaolana NGFW sy scanner vulnerability. Ity dia fampitahana ny logs IPS sy ny valin'ny scan vulnerability. Raha misy fanafihana hita (tsy voasakana) amin'ny rafitra IPS, ary io vulnerability io dia tsy mihidy amin'ny milina farany mifototra amin'ny valin'ny scan, dia ilaina ny mitsoka ny fantsona rehetra, satria misy ny mety hisian'ny vulnerability. araraotina.
  2. Betsaka ny andrana fidirana avy amin'ny milina iray mankany amin'ny toerana samihafa dia afaka maneho hetsika ratsy.
  3. Ny fampidinana ireo rakitra otrik'aretina ataon'ny mpampiasa noho ny fitsidihany ireo tranonkala mety hampidi-doza.

Statistics sy visualization

Ny tanjona mazava sy azo takarina indrindra amin'ny ELK Stack dia ny fitahirizana sy ny fijerena ny logs, ao amin'ny lahatsoratra taloha naseho ny fomba hahazoanao diary avy amin'ny fitaovana isan-karazany mampiasa Logstash. Aorian'ny fandehanana any amin'ny Elasticsearch dia azonao atao ny mametraka dashboards, izay voalaza ihany koa ao amin'ny lahatsoratra taloha, miaraka amin'ny fampahalalana sy antontan'isa ilainao amin'ny alΓ lan'ny sary.

ohatra:

  1. Dashboard amin'ny hetsika fisorohana ny fandrahonana miaraka amin'ireo hetsika manakiana indrindra. Eto ianao dia afaka maneho ny sonia IPS hita, avy amin'ny toerana ara-jeografika.

    TS Total Sight. Fanangonana hetsika, Famakafakana trangan-javatra, ary Fitaovana automatique amin'ny fandrahonana

  2. Dashboard amin'ny fampiasana ny rindranasa manakiana indrindra ahafahana miporitsaka vaovao.

    TS Total Sight. Fanangonana hetsika, Famakafakana trangan-javatra, ary Fitaovana automatique amin'ny fandrahonana

  3. Ny valin'ny scan avy amin'ny scanner fiarovana rehetra.

    TS Total Sight. Fanangonana hetsika, Famakafakana trangan-javatra, ary Fitaovana automatique amin'ny fandrahonana

  4. Logs avy amin'ny Active Directory nataon'ny mpampiasa.

    TS Total Sight. Fanangonana hetsika, Famakafakana trangan-javatra, ary Fitaovana automatique amin'ny fandrahonana

  5. Dashboard fifandraisana VPN.

Amin'ity tranga ity, raha manangana dashboard ianao hanavao isaky ny segondra vitsy, dia afaka mahazo rafitra mety tsara amin'ny fanaraha-maso ny zava-mitranga amin'ny fotoana tena izy, izay azo ampiasaina hamaliana haingana ny trangan-javatra momba ny fiarovana ny vaovao raha mametraka dashboards amin'ny Γ©cran misaraka.

Laharam-pahamehana ny tranga

Amin'ny toe-javatra misy fotodrafitrasa lehibe, mety hihoatra ny isan'ny tranga, ary tsy hanam-potoana hamakafaka ny zava-nitranga rehetra ara-potoana ny manam-pahaizana manokana. Amin'ity tranga ity dia ilaina aloha ny manavaka ireo tranga izay mitondra fandrahonana lehibe. Noho izany, ny rafitra dia tsy maintsy manao laharam-pahamehana ny trangan-javatra araka ny hamafin'izy ireo mifandraika amin'ny fotodrafitrasa misy anao. Tsara ny mametraka fampahafantarana amin'ny mailaka na telegrama momba ireo hetsika ireo. Ny laharam-pahamehana dia azo ampiharina amin'ny fampiasana fitaovana Kibana mahazatra, amin'ny alΓ lan'ny fametrahana sary. Saingy amin'ny fampandrenesana dia sarotra kokoa, amin'ny alΓ lan'ny default dia tsy tafiditra ao amin'ny dikan-teny fototra an'ny Elasticsearch ity fampiasa ity, ao amin'ny dikan-karama ihany. Noho izany, na mividy dikan-karama, na, indray, manorata dingana iray izay hampandre ny manam-pahaizana manokana amin'ny alΓ lan'ny mailaka na telegrama.

Automation ny fizotry ny fiarovana ny vaovao

Ary ny iray amin'ireo ampahany mahaliana indrindra dia ny automatique ny hetsika ho an'ny tranga momba ny fiarovana ny vaovao. Teo aloha, nampihatra ity fampiasa ity ho an'ny Splunk izahay, afaka mamaky bebe kokoa amin'ity ianao lahatsoratra. Ny hevitra fototra dia ny hoe ny politikan'ny IPS dia tsy voasedra na ovaina na oviana na oviana, na dia amin'ny toe-javatra sasany aza dia ampahany manan-danja amin'ny fizotry ny fiarovana ny vaovao izany. Ohatra, herintaona taorian'ny fampiharana ny NGFW sy ny tsy fisian'ny hetsika hanatsarana ny IPS, dia hanangona sonia marobe miaraka amin'ny hetsika Detect izay tsy hosakanana, izay mampihena be ny toetry ny fiarovana ny fampahalalana ao amin'ny fikambanana. Ireto misy ohatra sasantsasany amin'ny zavatra azo automatique:

  1. Famadihana ny sonia IPS avy amin'ny Detect to Prevent. Raha tsy mandeha amin'ny sonia manakiana ny Prevent, dia tsy mandeha amin'ny laoniny izany, ary fandikana mafy ny rafitra fiarovana. Ovainay ho sonia toy izany ny hetsika ao amin'ny politika. Ity fampiasa ity dia azo ampiharina raha manana ny fiasa REST API ny fitaovana NGFW. Tsy azo atao izany raha manana fahaiza-manao fandaharana ianao, mila misintona ny fampahalalana ilaina avy amin'ny Elastcisearch ianao ary manatanteraka ny fangatahana API amin'ny mpizara fanaraha-maso NGFW.
  2. Raha misy sonia marobe hita na voasakana amin'ny fifamoivoizana amin'ny tambajotra avy amin'ny adiresy IP iray, dia misy dikany ny manakana ity adiresy IP ity mandritra ny fotoana fohy ao amin'ny politikan'ny Firewall. Ny fampiharana dia ahitana ihany koa ny fampiasana ny REST API.
  3. Alefaso ny scan host miaraka amin'ny scanner vulnerability raha manana sonia marobe ho an'ny IPS na fitaovana fiarovana hafa ity mpampiantrano ity, raha OpenVas izany, dia azonao atao ny manoratra script izay hampifandray amin'ny ssh amin'ny scanner fiarovana ary mihazakazaka ny scan.

TS Total Sight. Fanangonana hetsika, Famakafakana trangan-javatra, ary Fitaovana automatique amin'ny fandrahonana

TS Total Sight

Raha fintinina, ny fampiharana ny fiasa rehetra dia asa lehibe sy sarotra. Raha tsy misy ny fahaiza-manao fandaharana dia azonao atao ny mametraka ny fiasa faran'izay kely indrindra, izay mety ho ampy hampiasaina amin'ny famokarana. Fa raha liana amin'ny fampiasa rehetra ianao dia afaka mihaino ny TS Total Sight. Afaka mahita antsipiriany bebe kokoa momba ny anay ianao tranonkala. Vokatr'izany, ny rafitra manontolo amin'ny asa sy ny maritrano dia ho toy izao:

TS Total Sight. Fanangonana hetsika, Famakafakana trangan-javatra, ary Fitaovana automatique amin'ny fandrahonana

famaranana

Nijery izay azo ampiharina amin'ny fampiasana ny ELK Stack izahay. Ao amin'ny lahatsoratra manaraka dia hodinihintsika amin'ny antsipiriany bebe kokoa ny fiasan'ny TS Total Sight!

Koa araho hatranytelegrama, Facebook, VK, TS Solution Blog), Yandex Zen.

Source: www.habr.com

Add a comment