Өмнөх нийтлэлүүдэд бид хандгай стекийн талаар бага зэрэг мэддэг болсон бөгөөд лог задлагчийн хувьд Logstash тохиргооны файлыг тохируулсан. Энэ нийтлэлд бид аналитик талаас хамгийн чухал зүйл болох системээс юу харахыг хүсч байгаа, юунд зориулж бүх зүйлийг бүтээсэн тухай ярих болно - эдгээр нь график, хүснэгтүүдийг нэгтгэсэн график юм. хяналтын самбаруудӨнөөдөр бид дүрслэх системийг нарийвчлан авч үзэх болно. Кибана, бид график, хүснэгтийг хэрхэн бүтээх талаар судалж, эцэст нь Check Point галт хананы бүртгэл дээр суурилсан энгийн хяналтын самбарыг бүтээх болно.
Кибанатай ажиллах эхний алхам бол бүтээх явдал юм индекс загварЛогикийн хувьд энэ нь тодорхой хэв маягийг дагаж мөрддөг индексүүдийн мэдээллийн сан юм. Мэдээжийн хэрэг, энэ нь Кибана-д бүх индексийн мэдээллийг нэгэн зэрэг хялбархан хайх боломжийг олгодог тохиргоо юм. Энэ нь "checkpoint-*" гэсэн мөрийг индексийн нэртэй тааруулах замаар тодорхойлогддог. Жишээлбэл, "checkpoint-2019.12.05" нь загвартай таарч тохирох боловч "checkpoint" нь тохирохгүй. Янз бүрийн индексийн загварт мэдээллийг нэгэн зэрэг хайх боломжгүй гэдгийг тэмдэглэх нь зүйтэй. Дараа нь нийтлэлүүдээс бид API хүсэлтийг индексийн нэрээр эсвэл загвар доторх нэг стрингээр хийдэг болохыг харах болно. Зургийг товших боломжтой:
Үүний дараа Discover цэснээс бүх бүртгэл индексжүүлсэн, зөв задлан шинжлэгч тохируулагдсан эсэхийг шалгана уу. Хэрэв ямар нэгэн зөрчил илэрвэл, жишээлбэл, өгөгдлийн төрлийг мөрнөөс бүхэл тоо болгон өөрчлөх үед та Logstash тохиргооны файлыг засах хэрэгтэй болно. Энэ нь шинэ бүртгэлийг зөв бичсэн эсэхийг баталгаажуулах болно. Өөрчлөлт хийхээс өмнө хуучин бүртгэлүүд зөв форматлагдсан эсэхийг шалгахын тулд зөвхөн дахин индексжүүлэх боломжтой; Энэ үйл явцыг дараагийн нийтлэлүүдэд илүү дэлгэрэнгүй авч үзэх болно. Бүх зүйл эмх цэгцтэй байгаа эсэхийг шалгахын тулд зургийг дарж болно:
Бүртгэлүүд байгаа тул бид хяналтын самбар барьж эхлэх боломжтой. Хамгаалалтын бүтээгдэхүүний хяналтын самбарын аналитикийг ашигласнаар бид байгууллагын мэдээллийн аюулгүй байдлын төлөв байдлыг ойлгож, одоогийн бодлогод байгаа сул талыг тодорхой тодорхойлж, тэдгээрийг арилгах шийдлүүдийг боловсруулж чадна. Хэд хэдэн дүрслэх хэрэгслийг ашиглан жижиг хяналтын самбар бүтээцгээе. Хяналтын самбар нь таван бүрэлдэхүүн хэсгээс бүрдэнэ.
- логны нийт тоог ирээр тооцоолох хүснэгт
- чухал IPS гарын үсгийн хүснэгт
- Аюулаас урьдчилан сэргийлэх үйл явдлын дугуй диаграм
- хамгийн алдартай зочилсон сайтуудын график
- ашигласан хамгийн аюултай програмуудын график
Дүрслэх дүрс үүсгэхийн тулд та цэс рүү очих хэрэгтэй Дүрслэх, мөн бидний бүтээхийг хүссэн хүссэн дүрсээ сонго! Алхам алхмаар явцгаая.
Бүртгэлийн нийт тоог ирээр тооцоолох хүснэгт
Үүнийг хийхийн тулд бид дүрсийг сонгоно Мэдээллийн хүснэгт, бид диаграм үүсгэх хэрэгсэл рүү очно. Зүүн талд та зургийн тохиргоог харах ба баруун талд одоогийн тохиргоотой хэрхэн харагдахыг харах болно. Эхлээд би бэлэн хүснэгт ямар байхыг харуулах болно, дараа нь бид тохиргоог хийх болно. Зургийг товших боломжтой:
Илүү нарийвчилсан зургийн тохиргоо, товших боломжтой зураг:
Тохиргоог харцгаая.
Эхэндээ тохируулсан хэмжүүр, энэ нь бүх талбарыг нэгтгэх утга юм. Баримт бичгээс ямар нэгэн байдлаар гаргаж авсан утгууд дээр үндэслэн хэмжигдэхүүнүүдийг тооцдог. Утгыг ихэвчлэн дараахаас гаргаж авдаг талбайнууд баримт бичиг боловч скрипт ашиглан үүсгэж болно. Энэ тохиолдолд бид оруулдаг Нэгтгэх: тоолох (логуудын нийт тоо).
Дараа нь бид хүснэгтийг хэмжигдэхүүнийг тооцоолох сегментүүдэд (талбарууд) хуваана. Энэ функцийг Buckets тохиргоо гүйцэтгэдэг бөгөөд энэ нь эргээд хоёр тохиргооны сонголтоос бүрдэнэ.
- мөр хуваах - багана нэмж, дараа нь хүснэгтийг мөр болгон хуваах
- хуваах хүснэгт - тодорхой талбарын утгууд дээр үндэслэн хэд хэдэн хүснэгтэд хуваах.
В хувин Та олон багана эсвэл хүснэгт үүсгэхийн тулд олон хэлтэс нэмж болно; Энд байгаа хязгаарлалтууд нь илүү логик юм. Нэгтгэхдээ та сегментүүдэд хуваагдах аргыг сонгож болно: IPv4 муж, огнооны хүрээ, Нөхцөл гэх мэт. Хамгийн сонирхолтой сонголт бол яг нарийн сонголт юм. Нэр томьёо и Чухал нөхцөлүүд, сегментүүдэд хуваах нь тодорхой индексийн талбарын утгууд дээр үндэслэн хийгддэг. Тэдний хоорондох ялгаа нь буцаасан утгуудын тоо болон тэдгээрийн дэлгэцэнд оршдог. Бид хүснэгтийг ирний нэрээр хуваахыг хүсч байгаа тул бид талбарыг сонгоно— бүтээгдэхүүн.түлхүүр үг болон хэмжээг 25 буцаах утга болгон тохируулна.
Мөрний оронд elasticsearch нь 2 төрлийн өгөгдлийн төрлийг ашигладаг - текст и Түлхүүр үгХэрэв та бүрэн текст хайлт хийхийг хүсвэл текстийн төрлийг ашиглах хэрэгтэй. Энэ нь өөрийн хайлтын үйлчилгээг бичихэд, жишээлбэл, тодорхой талбарт (текст) үг хайхад маш тохиромжтой. Хэрэв та зөвхөн яг тохирохыг хүсч байвал түлхүүр үгийн төрлийг ашиглах хэрэгтэй. Түлхүүр үгийн өгөгдлийн төрлийг манай тохиолдол шиг эрэмбэлэх, нэгтгэх шаардлагатай талбаруудад ашиглах ёстой.
Үүний үр дүнд Elasticsearch нь тодорхой хугацааны бүртгэлийн тоог тоолж, бүтээгдэхүүний талбар дахь утгаараа нэгтгэдэг. Custom Label-д бид хүснэгтэд харагдах баганын нэрийг зааж, лог цуглуулах хугацааг тогтоож, дүрслэлийг ажиллуулна. Кибана Elasticsearch руу хүсэлт илгээж, хариу хүлээж, дараа нь хүлээн авсан өгөгдлийг дүрслэн харуулдаг. Ширээ бэлэн боллоо!
Аюулаас урьдчилан сэргийлэх үйл явдлын дугуй диаграм
Хувь хүний хувьд хэдэн урвал байгаа тухай мэдээлэл онцгой анхаарал татаж байна илрүүлэх и урьдчилан сэргийлэх одоогийн аюулгүй байдлын бодлогод мэдээллийн аюулгүй байдлын ослын хувьд. Энэ тохиолдолд дугуй диаграм нь сайн сонголт юм. Visualize-д сонгох — Pie диаграмБид мөн хэмжигдэхүүн дэх бүртгэлийн тоогоор нэгтгэхийг тохируулдаг. Бид Нөхцөл => үйлдлийг хувингаар тохируулна.
Бүх зүйл зөв мэт боловч үр дүн нь бүх ирний утгыг харуулж байна. Та зөвхөн аюулаас урьдчилан сэргийлэх хүрээнд ажиллаж байгаа ирүүдийг шүүх хэрэгтэй. Тиймээс тохиргоогоо хийхээ мартуузай шүүлтүүр Мэдээллийн аюулгүй байдлын зөрчлийг хариуцдаг иртэй холбоотой мэдээллийг хайхын тулд дараах бүтээгдэхүүнийг ашиглана уу: ("Anti-Bot" ЭСВЭЛ "Шинэ Антивирус" ЭСВЭЛ "DDoS Хамгаалагч" ЭСВЭЛ "SmartDefense" ЭСВЭЛ "Аюул эмуляц"). Дарж болох зураг:
Илүү нарийвчилсан тохиргоог хийснээр зураг дээр дарж болно:
IPS үйл явдлын хүснэгт
Цаашилбал, мэдээллийн аюулгүй байдлын үүднээс үйл явдлыг ирээр нь харж, шалгах нь маш чухал юм IPS и Аюул заналхийллийн эмуляц, которые блоклогдоогүй байна Дараа нь одоогийн бодлого нь гарын үсгийг урьдчилан сэргийлэхийн тулд хөрвүүлэх эсвэл хэрэв хөдөлгөөн хүчинтэй бол гарын үсгийг шалгахгүй. Protects.keyword, severity.keyword, product.keyword, and originsicname.keyword гэсэн хэд хэдэн багана үүсгэхээс бусад тохиолдолд бид хүснэгтийг эхний жишээтэй ижил аргаар үүсгэх болно. Бүтээгдэхүүн: ("SmartDefense" эсвэл "Аюул эмуляци") зөвхөн мэдээллийн аюулгүй байдлын зөрчлийг хариуцдаг ирийг хайх шүүлтүүрийг тохируулахаа мартуузай. Зургийг товших боломжтой:
Илүү нарийвчилсан тохиргоо, товших боломжтой зураг:
Хамгийн алдартай зочилсон сайтуудын график
Үүнийг хийхийн тулд бид дүрсийг бүтээдэг - Босоо баарБид мөн тоолох хэмжигдэхүүнийг (Y тэнхлэг) ашиглах бөгөөд X тэнхлэг дээр зочилсон вэбсайтуудын нэрсийг "appi_name"-г утга болгон ашиглах болно. Энд бяцхан заль мэх бий: хэрэв та одоогийн тохиргоог ажиллуулбал бүх вэбсайтыг график дээр нэг өнгөөр тэмдэглэх болно. Тэдгээрийг олон өнгийн болгохын тулд бид "цуваа хуваах" гэсэн нэмэлт тохиргоог ашигладаг бөгөөд энэ нь сонгосон талбараас хамааран одоо байгаа баганыг хэд хэдэн өөр утга болгон хуваах боломжийг олгодог. Энэ хуваалтыг давхарласан горимд утгуудын нэг өнгөт багана болгон ашиглаж болно, эсвэл ердийн горимд X тэнхлэг дээр тодорхой утгаараа олон багана үүсгэх боломжтой. Энэ тохиолдолд бид X тэнхлэгтэй ижил утгыг ашиглах бөгөөд энэ нь бүх баганыг олон өнгийн болгох боломжийг олгодог бөгөөд тэдгээрийг баруун дээд буланд өнгөөр ялгах болно. Шүүлтүүр дээр бид зөвхөн зочилсон вэбсайтуудын мэдээллийг харуулахын тулд "URL шүүлтүүр" гэсэн бүтээгдэхүүнийг тохируулсан. Зургийг товших боломжтой:
Тохиргоо:
Ашигласан хамгийн аюултай програмуудын график
Үүнийг хийхийн тулд бид Vertical Bar хэлбэрийг бий болгоно. Бид мөн тоололыг хэмжигдэхүүн болгон (Y тэнхлэг) ашиглах ба X тэнхлэг дээр ашигласан програмын нэрийг (appi_name) утга болгон ашиглах болно. Хамгийн чухал шүүлтүүрийн тохиргоо нь бүтээгдэхүүн: "Програмын хяналт" БА app_risk: (4 OR 5 OR 3) БА үйлдэл: "хүлээн зөвшөөрөх." Бид логуудыг Програмын хяналтын самбараар шүүж, зөвхөн Чухал, Өндөр эсвэл Дунд зэрэг эрсдэлтэй гэж ангилсан сайтуудыг сонгох ба эдгээр сайтад хандахыг зөвшөөрсөн тохиолдолд л сонгоно. Зургийг товших боломжтой:
Тохиргоо, товших боломжтой:
Хяналтын самбар
Хяналтын самбарыг үзэх, үүсгэх нь тусдаа цэсийн зүйлд байрладаг - СамбарЭнэ нь энгийн: шинэ хяналтын самбар үүсгэж, дүрслэл нэмж, тэдгээрийг цэгцлээрэй, тэгээд л болоо!
Бид Шалгах цэгийн түвшинд байгууллагын мэдээллийн аюулгүй байдлын талаарх үндсэн ойлголтыг өгөх хяналтын самбарыг үүсгэж байгаа бөгөөд зураг дээр дарж болно.
Эдгээр графикууд дээр үндэслэн бид ямар чухал гарын үсгийг галт ханаар хаадаггүй, хэрэглэгчид хаашаа явдаг, хамгийн аюултай програмуудыг ашигладаг болохыг ойлгох боломжтой.
дүгнэлт
Бид Кибанагийн үндсэн дүрслэлийн боломжуудыг судалж, хяналтын самбар хийсэн боловч энэ нь зөвхөн эхлэл юм. Хичээлийн дараа бид газрын зургийн тохиргоо, ElasticSearch системтэй ажиллах, API хүсэлт, автоматжуулалт болон бусад олон зүйлийг авч үзэх болно!
Тиймээс бидэнтэй хамт байгаарай, , , ), .
Эх сурвалж: www.habr.com
