🥇3. Еластичен оџак: анализа на безбедносен дневник. Контролни табли

3. Еластичен стек: анализа на безбедносни логови. Контролни табли

Во претходните написи малку се запознавме со стекот елен и со поставувањето на конфигурациската датотека Logstash за анализаторот на дневници. Во оваа статија ќе преминеме на најважната работа од аналитичка гледна точка, што сакате да види од системот и за што е сè создадено - ова се графикони и табели комбинирани во контролни табли. Денес ќе го разгледаме подетално системот за визуелизација Кибана, ќе погледнеме како да креираме графикони и табели и како резултат на тоа ќе изградиме едноставна контролна табла базирана на дневници од заштитниот ѕид на Check Point.

Првиот чекор во работата со кибана е создавањето индекс шема, логично, ова е база на индекси обединети според одреден принцип. Се разбира, ова е чисто поставка за да се направи Kibana попогодно да бара информации низ сите индекси во исто време. Се поставува со совпаѓање на низа, кажете „checkpoint-*“ и името на индексот. На пример, „контролната точка-2019.12.05“ би одговарала на шемата, но едноставно „контролната точка“ повеќе не постои. Вреди да се спомене одделно дека при пребарувањето е невозможно да се бараат информации за различни модели на индекси во исто време; малку подоцна во следните написи ќе видиме дека барањата за API се направени или според името на индексот или само од еден линија на шаблонот, сликата може да се кликне:

По ова, проверуваме во менито Откријте дали сите дневници се индексирани и дека е конфигуриран точниот парсер. Ако се најдат некакви недоследности, на пример, менување на типот на податоци од низа во цел број, треба да ја уредите конфигурациската датотека Logstash, како резултат на тоа, новите дневници ќе бидат правилно напишани. За да може старите дневници да ја добијат посакуваната форма пред промената, помага само процесот на реиндексирање; во следните написи оваа операција ќе се дискутира подетално. Да се увериме дека се е во ред, сликата може да се кликне:

Дневниците се на место, што значи дека можеме да почнеме да градиме контролни табли. Врз основа на аналитиката на контролните табли од безбедносните производи, можете да ја разберете состојбата на безбедноста на информациите во организацијата, јасно да ги видите ранливостите во тековната политика и последователно да развиете начини за нивно отстранување. Ајде да изградиме мала контролна табла користејќи неколку алатки за визуелизација. Контролната табла ќе се состои од 5 компоненти:

табела за пресметување на вкупниот број на трупци по сечила
табела за критичните потписи на IPS
пита шема за настани за превенција од закани
графикон на најпопуларните посетени страници
графикон за употреба на најопасните апликации

За да креирате фигури за визуелизација, треба да отидете во менито Визуелизира, и изберете ја саканата фигура што сакаме да ја изградиме! Ајде да одиме по ред.

Табела за пресметување на вкупниот број на трупци по сечило

За да го направите ова, изберете фигура Табела со податоци, спаѓаме во опремата за креирање графикони, лево се поставките на фигурата, десно е како ќе изгледа во тековните поставки. Прво, ќе покажам како ќе изгледа готовата табела, после тоа ќе поминеме низ поставките, сликата може да се кликне:

Подетални поставки на сликата, на сликата може да се кликне:

Ајде да ги погледнеме поставките.

Првично конфигуриран метрички, ова е вредноста со која ќе се соберат сите полиња. Метриките се пресметуваат врз основа на вредностите извлечени на еден или друг начин од документите. Вредностите обично се извлекуваат од полиња документ, но може да се генерира и со помош на скрипти. Во овој случај ставаме Агрегација: Брои (вкупен број на трупци).

По ова, табелата ја делиме на сегменти (полиња) со кои ќе се пресметува метриката. Оваа функција се изведува со поставката Buckets, која пак се состои од 2 опции за поставки:

поделени редови - додавање колони и последователно делење на табелата во редови
поделена табела - поделба на неколку табели врз основа на вредностите на одредено поле.

В кофи можете да додадете неколку поделби за да креирате неколку колони или табели, ограничувањата овде се прилично логични. Во агрегација, можете да изберете кој метод ќе се користи за поделба на сегменти: опсег ipv4, опсег на датуми, Услови итн. Најинтересниот избор е токму Услови и Значајни термини, поделбата на сегменти се врши според вредностите на одредено поле за индекс, разликата меѓу нив лежи во бројот на вратени вредности и нивниот приказ. Бидејќи сакаме да ја поделиме табелата со името на сечилата, го избираме полето - производ.клучен збор и поставете ја големината на 25 вратени вредности.

Наместо стрингови, elasticsearch користи 2 типа податоци - текст и клучни зборови. Ако сакате да извршите пребарување на целосен текст, треба да го користите типот на текст, што е многу погодно кога ја пишувате вашата услуга за пребарување, на пример, барате спомнување на збор во одредена вредност на поле (текст). Ако сакате само точно совпаѓање, треба да го користите типот на клучниот збор. Исто така, типот на податоци на клучниот збор треба да се користи за полиња кои бараат сортирање или агрегација, што е, во нашиот случај.

Како резултат на тоа, Elasticsearch го брои бројот на дневници за одредено време, агрегирани според вредноста во полето за производ. Во Custom Label го поставуваме името на колоната што ќе се прикаже во табелата, го поставуваме времето за кое собираме дневници, започнуваме со рендерирање - Кибана испраќа барање до elasticsearch, чека одговор и потоа ги визуелизира добиените податоци. Табелата е подготвена!

Пита шема за настани за спречување закани

Посебен интерес е информацијата колку реакции има во процент откривање и се спречи за инциденти со безбедноста на информациите во сегашната безбедносна политика. Табелата на пита работи добро за оваа ситуација. Изберете во Visualize - Табела со пити. Исто така во метриката поставивме агрегација според бројот на логови. Во кофи ставаме Terms => action.

Се чини дека сè е точно, но резултатот покажува вредности за сите сечила; треба да ги филтрирате само оние сечила што работат во рамките на Превенција за закани. Затоа, ние дефинитивно го поставивме филтер со цел да се бараат информации само за сечилата одговорни за инциденти со безбедноста на информациите - производ: („Анти-бот“ ИЛИ „Нов анти-вирус“ ИЛИ „DDoS Protector“ ИЛИ „SmartDefense“ ИЛИ „Емулација на закани“). Сликата може да се кликне:

И подетални поставки, сликата може да се кликне:

Табела за настани на IPS

Следно, многу важно од гледна точка на безбедноста на информациите е гледањето и проверката на настаните на сечилото. IPS и Емулација на заканиДека не се блокирани сегашната политика, со цел последователно или да го промените потписот за да спречите, или ако сообраќајот е валиден, не проверувајте го потписот. Табелата ја креираме на ист начин како и за првиот пример, со единствена разлика што создаваме неколку колони: заштита.клучен збор, сериозност.клучен збор, производ.клучен збор, име на потекло.клучен збор. Погрижете се да поставите филтер за да пребарувате информации само за сечилата одговорни за инциденти со безбедноста на информациите - производ: („SmartDefense“ ИЛИ „Емулација на закани“). Сликата може да се кликне:

Подетални поставки, на сликата може да се кликне:

Табели за најпопуларните посетени страници

За да го направите ова, креирајте фигура - Вертикална лента. Ние исто така користиме броење (оска Y) како метрика, а на оската X ќе го користиме името на посетените страници - „appi_name“ како вредности. Овде има мал трик: ако ги извршите поставките во тековната верзија, тогаш сите страници ќе бидат означени на графиконот со иста боја, за да ги направиме повеќебојни користиме дополнителна поставка - „сплит серија“, што ви овозможува да поделите готова колона на уште неколку вредности, во зависност од избраното поле се разбира! Самата оваа поделба може да се користи или како една колона со повеќе бои според вредностите во режим на наредени или во нормален режим за да се создадат неколку колони според одредена вредност на оската X. Во овој случај, овде ги користиме иста вредност како и на оската X, ова овозможува сите колони да се направат повеќебојни; горе десно тие ќе бидат означени со бои. Во филтерот што го поставивме - производ: „URL Filtering“ за да се видат информации само на посетените страници, сликата може да се кликне:

Поставки:

Дијаграм за употреба на најопасните апликации

За да го направите ова, креирајте фигура - Вертикална лента. Ние исто така користиме броење (оска Y) како метрика, а на оската X ќе го користиме името на користените апликации - „appi_name“ како вредности. Најважно е поставувањето на филтерот - производ: „Контрола на апликација“ И ризик_апликација: (4 ИЛИ 5 ИЛИ 3 ) И дејство: „прифати“. Ги филтрираме дневниците според сечилото за контрола на апликацијата, земајќи ги само оние локации кои се категоризирани како локации со критични, висок и среден ризик и само ако е дозволен пристап до овие локации. Сликата може да се кликне:

Поставки, со кликнување:

Контролна табла

Гледањето и создавањето контролни табли е во посебна ставка од менито - Профил. Сè е едноставно овде, се креира нова контролна табла, се додава визуелизација, поставена на нејзино место и тоа е тоа!

Создаваме контролна табла со која можете да ја разберете основната состојба на состојбата на безбедноста на информациите во една организација, се разбира, само на ниво на Check Point, сликата може да се кликне:

Врз основа на овие графикони, можеме да разбереме кои критични потписи не се блокирани на заштитниот ѕид, каде одат корисниците и кои се најопасните апликации што ги користат.

Заклучок

Ги разгледавме можностите за основна визуелизација во Кибана и изградивме контролна табла, но ова е само мал дел. Понатаму во курсот одделно ќе разгледаме поставување мапи, работа со системот elasticsearch, запознавање со API барања, автоматизација и многу повеќе!

Затоа останете во тек (Телеграма, Facebook, VK, Блог за TS Solution), Yandex Зен.

Извор: www.habr.com