Өмнөх нийтлэлүүд дээр бид хандгай стек болон лог задлагчийн хувьд Logstash тохиргооны файлыг тохируулах талаар бага зэрэг мэддэг байсан. Энэ нийтлэлд бид аналитик талаас хамгийн чухал зүйл болох аналитик талаас нь харахыг хүсч буй зүйл рүү шилжих болно. систем ба бүх зүйл юуны тулд бүтээгдсэн бэ - эдгээр нь график, хүснэгтүүдийг нэгтгэсэн хяналтын самбарууд. Өнөөдөр бид дүрслэх системийг илүү нарийвчлан авч үзэх болно Кибана, бид график, хүснэгтийг хэрхэн үүсгэх талаар авч үзэх бөгөөд үүний үр дүнд бид Check Point галт хананы логууд дээр суурилсан энгийн хяналтын самбар бүтээх болно.
Кибанатай ажиллах эхний алхам бол бүтээх явдал юм индекс загвар, логикийн хувьд энэ нь тодорхой зарчмын дагуу нэгдсэн индексүүдийн суурь юм. Мэдээжийн хэрэг, энэ нь Кибана-г бүх индексийн мэдээллийг нэгэн зэрэг хайхад илүү хялбар болгох тохиргоо юм. Энэ нь "checkpoint-*" болон индексийн нэрийг тохируулах замаар тохируулагдана. Жишээлбэл, "шалгах цэг-2019.12.05" нь загварт тохирох боловч "хяналтын цэг" байхгүй болсон. Хайлтын явцад өөр өөр индексийн хэв маягийн мэдээллийг нэгэн зэрэг хайх боломжгүй гэдгийг тусад нь дурдах нь зүйтэй юм; Хэсэг хугацааны дараа дараагийн нийтлэлүүдэд API хүсэлтийг индексийн нэрээр эсвэл зөвхөн нэгээр нь хийх болно. хэв маягийн шугам, зураг дээр дарж болно:
Үүний дараа бид Discover цэснээс бүх бүртгэлийг индексжүүлж, зөв задлагчийг тохируулсан эсэхийг шалгана. Хэрэв ямар нэгэн зөрчил илэрвэл, жишээлбэл, өгөгдлийн төрлийг мөрөөс бүхэл тоо болгон өөрчлөх үед та Logstash тохиргооны файлыг засах хэрэгтэй бөгөөд үр дүнд нь шинэ бүртгэлүүд зөв бичигдэх болно. Өөрчлөлт хийхээс өмнө хуучин бүртгэлүүд хүссэн хэлбэрээ авахын тулд зөвхөн дахин индексжүүлэх үйл явц нь тусалдаг бөгөөд дараагийн нийтлэлүүдэд энэ үйлдлийг илүү нарийвчлан авч үзэх болно. Бүх зүйл эмх цэгцтэй байгаа эсэхийг шалгацгаая, зураг дээр дарж болно:
Бүртгэлүүд нь байрандаа байгаа бөгөөд энэ нь бид хяналтын самбар барьж эхлэх боломжтой гэсэн үг юм. Аюулгүй байдлын бүтээгдэхүүний хяналтын самбарын аналитик дээр үндэслэн та байгууллагын мэдээллийн аюулгүй байдлын байдлыг ойлгож, одоогийн бодлогод байгаа сул талыг тодорхой харж, улмаар тэдгээрийг арилгах арга замыг боловсруулж чадна. Хэд хэдэн дүрслэх хэрэгслийг ашиглан жижиг хяналтын самбар бүтээцгээе. Хяналтын самбар нь 5 бүрэлдэхүүн хэсгээс бүрдэнэ.
- логны нийт тоог ирээр тооцоолох хүснэгт
- чухал IPS гарын үсгийн хүснэгт
- Аюулаас урьдчилан сэргийлэх үйл явдлын дугуй диаграм
- хамгийн алдартай зочилсон сайтуудын график
- хамгийн аюултай програмуудын ашиглалтын график
Дүрслэх дүрс үүсгэхийн тулд та цэс рүү очих хэрэгтэй Дүрслэх, мөн бидний бүтээхийг хүсч буй хүссэн дүрсээ сонго! За тэгээд дарааллаар нь явцгаая.
Бүртгэлийн нийт тоог ирээр тооцоолох хүснэгт
Үүнийг хийхийн тулд дүрсийг сонгоно уу Мэдээллийн хүснэгт, бид график үүсгэх төхөөрөмжид ордог, зүүн талд зургийн тохиргоо, баруун талд одоогийн тохиргоонд хэрхэн харагдахыг харуулав. Эхлээд би бэлэн хүснэгт ямар харагдахыг харуулах болно, дараа нь бид тохиргоог хийж үзээд зураг дээр дарж болно.
Зургийн илүү нарийвчилсан тохиргоо, зургийг дарж болно:
Тохиргоог харцгаая.
Эхэндээ тохируулсан хэмжүүр, энэ нь бүх талбарыг нэгтгэх утга юм. Баримт бичгээс ямар нэг байдлаар гаргаж авсан утгууд дээр үндэслэн хэмжигдэхүүнүүдийг тооцдог. Утгыг ихэвчлэн эндээс гаргаж авдаг талбайнууд баримт бичиг боловч скрипт ашиглан үүсгэж болно. Энэ тохиолдолд бид оруулдаг Нэгтгэх: тоолох (логуудын нийт тоо).
Үүний дараа бид хүснэгтийг хэмжигдэхүүнийг тооцоолох сегментүүдэд (талбар) хуваана. Энэ функцийг Buckets тохиргоо гүйцэтгэдэг бөгөөд энэ нь эргээд 2 тохиргооны сонголтоос бүрдэнэ.
- мөр хуваах - багана нэмж, дараа нь хүснэгтийг мөр болгон хуваах
- хуваах хүснэгт - тодорхой талбарын утгууд дээр үндэслэн хэд хэдэн хүснэгтэд хуваах.
В хувин Та хэд хэдэн багана эсвэл хүснэгт үүсгэхийн тулд хэд хэдэн хэлтэс нэмж болно, энд хязгаарлалтууд нь логик юм. Нэгтгэхдээ та аль аргыг сегмент болгон хуваахыг сонгох боломжтой: ipv4 муж, огнооны хүрээ, нөхцөл гэх мэт. Хамгийн сонирхолтой сонголт бол яг нарийн юм Нэр томьёо и Чухал нөхцөлүүд, сегментүүдэд хуваах нь тодорхой индексийн талбарын утгуудын дагуу хийгддэг бөгөөд тэдгээрийн хоорондох ялгаа нь буцаж ирсэн утгуудын тоо, тэдгээрийн дэлгэцээс хамаарна. Бид хүснэгтийг ирний нэрээр хуваахыг хүсч байгаа тул бид талбарыг сонгоно - бүтээгдэхүүн.түлхүүр үг болон хэмжээг нь буцаасан 25 утга болгон тохируулна.
Мөрний оронд elasticsearch нь 2 төрлийн өгөгдлийн төрлийг ашигладаг - текст и Түлхүүр үг. Хэрэв та бүрэн текст хайлт хийхийг хүсч байвал хайлтын үйлчилгээгээ бичихдээ маш тохиромжтой зүйл болох текстийн төрлийг ашиглах хэрэгтэй, жишээлбэл, тодорхой талбарт (текст) үгийн дурдлагыг хайж олох хэрэгтэй. Хэрэв та зөвхөн яг тохирохыг хүсч байвал түлхүүр үгийн төрлийг ашиглах хэрэгтэй. Мөн өгөгдлийн төрөл гэсэн түлхүүр үгийг эрэмбэлэх, нэгтгэх шаардлагатай талбаруудад ашиглах ёстой, өөрөөр хэлбэл манай тохиолдолд.
Үүний үр дүнд Elasticsearch нь бүтээгдэхүүний талбар дахь утгаар нэгтгэн тодорхой хугацааны бүртгэлийн тоог тоолдог. Custom Label-д бид хүснэгтэд харагдах баганын нэрийг тохируулж, лог цуглуулах цагийг тохируулж, үзүүлж эхэлнэ - Кибана elasticsearch руу хүсэлт илгээж, хариу хүлээж, дараа нь хүлээн авсан өгөгдлийг дүрслэн харуулдаг. Ширээ бэлэн боллоо!
Аюулаас урьдчилан сэргийлэх арга хэмжээний дугуй диаграм
Хэдэн хувьтай хариу үйлдэл үзүүлэх тухай мэдээлэл онцгой анхаарал татаж байна илрүүлэх и урьдчилан сэргийлэх одоогийн аюулгүй байдлын бодлогод мэдээллийн аюулгүй байдлын зөрчлийн талаар. Энэ тохиолдолд дугуй диаграм сайн ажилладаг. Дүрслэх хэсэгт сонгох - Pie диаграм. Мөн хэмжигдэхүүнд бид бүртгэлийн тоогоор нэгтгэхийг тогтоодог. Бид хувин дотор Нөхцөл => үйлдэл тавьдаг.
Бүх зүйл зөв байгаа бололтой, гэхдээ үр дүн нь бүх ирний утгыг харуулж байна; Та зөвхөн аюулаас урьдчилан сэргийлэх хүрээнд ажилладаг ирээр шүүх хэрэгтэй. Тиймээс бид үүнийг заавал тохируулсан шүүлтүүр Мэдээллийн аюулгүй байдлын зөрчлийг хариуцах талбаруудын талаар мэдээлэл хайхын тулд - бүтээгдэхүүн: ("Anti-Bot" ЭСВЭЛ "Шинэ Вирусын эсрэг" ЭСВЭЛ "DDoS Хамгаалагч" ЭСВЭЛ "SmartDefense" ЭСВЭЛ "Аюул эмуляци"). Зургийг товших боломжтой:
Мөн илүү нарийвчилсан тохиргоог хийснээр зураг дээр дарж болно:
IPS үйл явдлын хүснэгт
Дараа нь мэдээллийн аюулгүй байдлын үүднээс маш чухал зүйл бол ир дээрх үйл явдлыг харж, шалгах явдал юм. IPS и Аюул заналхийллийн эмуляц, которые блоклогдоогүй байна Одоогийн бодлого, дараа нь урьдчилан сэргийлэхийн тулд гарын үсгийг өөрчлөх, эсвэл замын хөдөлгөөн хүчинтэй бол гарын үсгийг бүү шалга. Бид хүснэгтийг эхний жишээнийхтэй ижил аргаар үүсгэдэг бөгөөд цорын ганц ялгаа нь хамгаалалт.түлхүүр үг, хүндийн түвшин.түлхүүр үг, бүтээгдэхүүн.түлхүүр үг, эх нэр.түлхүүр үг гэсэн хэд хэдэн багана үүсгэдэг. Бүтээгдэхүүн: ("SmartDefense" ЭСВЭЛ "Аюул заналхийллийн эмуляци") зөвхөн мэдээллийн аюулгүй байдлын зөрчлийг хариуцах ирний талаар мэдээлэл хайхын тулд шүүлтүүр тохируулахаа мартуузай. Зургийг товших боломжтой:
Илүү нарийвчилсан тохиргоог хийснээр зураг дээр дарж болно:
Хамгийн алдартай зочилсон сайтуудын график
Үүнийг хийхийн тулд дүрс үүсгэнэ үү - Босоо баар. Бид мөн тоололыг (Y тэнхлэг) хэмжигдэхүүн болгон ашигладаг бөгөөд X тэнхлэг дээр зочилсон сайтуудын нэрийг "appi_name" болгон ашиглах болно. Энд жаахан заль мэх бий: хэрэв та тохиргоог одоогийн хувилбарт ажиллуулбал бүх сайтыг график дээр ижил өнгөөр тэмдэглэх болно, тэдгээрийг олон өнгийн болгохын тулд бид нэмэлт тохиргоог ашигладаг - "цуваа хуваах", Энэ нь мэдээж сонгосон талбараас хамааран бэлэн баганыг хэд хэдэн утга болгон хуваах боломжийг танд олгоно! Энэ хуваалтыг давхарласан горим дахь утгуудын дагуу нэг олон өнгийн багана болгон ашиглаж болно, эсвэл X тэнхлэг дээрх тодорхой утгын дагуу хэд хэдэн багана үүсгэхийн тулд ердийн горимд ашиглаж болно. Энэ тохиолдолд бид энд ашигладаг. X тэнхлэг дээрхтэй ижил утгатай бөгөөд энэ нь бүх баганыг олон өнгийн болгох боломжийг олгодог бөгөөд тэдгээрийг баруун дээд талд өнгөөр тэмдэглэнэ. Зөвхөн зочилсон сайтуудын мэдээллийг харахын тулд "URL шүүлтүүр" гэсэн бүтээгдэхүүнийг бид тохируулсан шүүлтүүрт зураг дээр дарж болно.
Тохиргоо:
Хамгийн аюултай програмуудыг ашиглах диаграмм
Үүнийг хийхийн тулд дүрсийг үүсгэнэ үү - Vertical Bar. Бид мөн тоолол (Y тэнхлэг)-ийг хэмжигдэхүүн болгон ашигладаг бөгөөд X тэнхлэг дээр ашигласан програмуудын нэр болох "appi_name"-г утга болгон ашиглах болно. Хамгийн чухал нь шүүлтүүрийн тохиргоо юм - бүтээгдэхүүн: "Програмын хяналт" БА програмын эрсдэл: (4 OR 5 OR 3 ) БА үйлдэл: "хүлээн зөвшөөрөх". Бид логуудыг Програмын хяналтын самбараар шүүж, зөвхөн Чухал, Өндөр, Дунд зэрэг эрсдэлтэй сайтуудыг авч, зөвхөн эдгээр сайт руу нэвтрэхийг зөвшөөрсөн тохиолдолд л авдаг. Зургийг товших боломжтой:
Тохиргоо, товших боломжтой:
Хяналтын самбар
Хяналтын самбарыг харах, үүсгэх нь тусдаа цэсийн зүйлд байдаг - Самбар. Энд бүх зүйл энгийн, шинэ хяналтын самбар бий болж, дүрслэл нэмж, байранд нь байрлуулсан, тэгээд л болоо!
Байгууллагын мэдээллийн аюулгүй байдлын байдлын үндсэн нөхцөл байдлыг ойлгох боломжтой хяналтын самбарыг бид бий болгож байна, мэдээжийн хэрэг зөвхөн Check Point түвшинд зураг дээр дарж болно.
Эдгээр графикууд дээр үндэслэн бид галт хананд ямар чухал гарын үсэг хаагдаагүй, хэрэглэгчид хаашаа явдаг, хамгийн аюултай програмууд юу ашигладаг болохыг ойлгох боломжтой.
дүгнэлт
Бид Кибана дахь үндсэн дүрслэлийн чадавхийг судалж, хяналтын самбар барьсан боловч энэ нь зөвхөн жижиг хэсэг юм. Цаашид бид газрын зураг тохируулах, elasticsearch системтэй ажиллах, API хүсэлтүүдтэй танилцах, автоматжуулалт болон бусад зүйлийг тусад нь авч үзэх болно!
Тиймээс бидэнтэй хамт байгаарай, , , ), .
Эх сурвалж: www.habr.com