Dalam artikel sebelum ini, kami telah membiasakan diri dengan timbunan rusa dan menyediakan fail konfigurasi Logstash untuk penghurai log. Dalam artikel ini, kami akan beralih kepada perkara yang paling penting dari sudut pandangan analisis, perkara yang anda mahu lihat daripada sistem dan untuk apa segala-galanya dicipta - ini adalah graf dan jadual digabungkan papan pemuka. Hari ini kita akan melihat dengan lebih dekat sistem visualisasi Kibana, kami akan melihat cara membuat graf dan jadual, dan sebagai hasilnya kami akan membina papan pemuka mudah berdasarkan log daripada tembok api Check Point.
Langkah pertama dalam bekerja dengan kibana ialah mencipta corak indeks, secara logiknya, ini adalah asas indeks yang disatukan mengikut prinsip tertentu. Sudah tentu, ini hanyalah tetapan untuk menjadikan Kibana lebih mudah mencari maklumat merentas semua indeks pada masa yang sama. Ia ditetapkan dengan memadankan rentetan, sebut “checkpoint-*” dan nama indeks. Sebagai contoh, "titik semakan-2019.12.05" akan sesuai dengan corak, tetapi hanya "titik semakan" tidak lagi wujud. Perlu dinyatakan secara berasingan bahawa dalam carian adalah mustahil untuk mencari maklumat mengenai corak indeks yang berbeza pada masa yang sama; sedikit kemudian dalam artikel berikutnya kita akan melihat bahawa permintaan API dibuat sama ada dengan nama indeks, atau hanya dengan satu. garis corak, gambar boleh diklik:
Selepas ini, kami menyemak dalam menu Discover bahawa semua log diindeks dan penghurai yang betul dikonfigurasikan. Jika sebarang ketidakkonsistenan ditemui, contohnya, menukar jenis data daripada rentetan kepada integer, anda perlu mengedit fail konfigurasi Logstash, akibatnya, log baharu akan ditulis dengan betul. Agar log lama mengambil bentuk yang dikehendaki sebelum perubahan, hanya proses pengindeksan semula membantu; dalam artikel berikutnya operasi ini akan dibincangkan dengan lebih terperinci. Mari pastikan semuanya teratur, gambar boleh diklik:
Log sudah tersedia, yang bermaksud kita boleh mula membina papan pemuka. Berdasarkan analisis papan pemuka daripada produk keselamatan, anda boleh memahami keadaan keselamatan maklumat dalam organisasi, melihat dengan jelas kelemahan dalam dasar semasa dan seterusnya membangunkan cara untuk menghapuskannya. Mari bina papan pemuka kecil menggunakan beberapa alat visualisasi. Papan pemuka akan terdiri daripada 5 komponen:
- jadual untuk mengira jumlah bilangan log mengikut bilah
- jadual pada tandatangan IPS kritikal
- carta pai untuk acara Pencegahan Ancaman
- carta tapak yang paling popular dilawati
- carta mengenai penggunaan aplikasi yang paling berbahaya
Untuk membuat angka visualisasi, anda perlu pergi ke menu Gambarkan, dan pilih angka yang dikehendaki yang ingin kita bina! Jom ikut tertib.
Jadual untuk mengira jumlah bilangan log mengikut bilah
Untuk melakukan ini, pilih angka Jadual Data, kita jatuh ke dalam peralatan untuk membuat graf, di sebelah kiri adalah tetapan angka, di sebelah kanan adalah bagaimana ia akan kelihatan dalam tetapan semasa. Mula-mula, saya akan menunjukkan rupa jadual yang telah siap, selepas itu kita akan melalui tetapan, gambar itu boleh diklik:
Tetapan rajah yang lebih terperinci, gambar boleh diklik:
Mari lihat tetapan.
Pada mulanya dikonfigurasikan metrik, ini ialah nilai yang mana semua medan akan diagregatkan. Metrik dikira berdasarkan nilai yang diekstrak dalam satu cara atau yang lain daripada dokumen. Nilai biasanya diekstrak daripada bidang dokumen, tetapi juga boleh dijana menggunakan skrip. Dalam kes ini kami masukkan Pengagregatan: Kira (jumlah bilangan log).
Selepas ini, kami membahagikan jadual kepada segmen (medan) yang mana metrik akan dikira. Fungsi ini dilakukan oleh tetapan Baldi, yang seterusnya terdiri daripada 2 pilihan tetapan:
- memisahkan baris - menambah lajur dan seterusnya membahagikan jadual kepada baris
- jadual split - pembahagian kepada beberapa jadual berdasarkan nilai medan tertentu.
В Baldi anda boleh menambah beberapa bahagian untuk membuat beberapa lajur atau jadual, sekatan di sini agak logik. Dalam pengagregatan, anda boleh memilih kaedah yang akan digunakan untuk membahagikan kepada segmen: julat ipv4, julat tarikh, Syarat, dsb. Pilihan yang paling menarik adalah tepat Syarat-syarat и Syarat Penting, pembahagian kepada segmen dijalankan mengikut nilai medan indeks tertentu, perbezaan antara mereka terletak pada bilangan nilai yang dikembalikan, dan paparannya. Oleh kerana kami ingin membahagikan jadual dengan nama bilah, kami memilih medan - produk.kata kunci dan tetapkan saiz kepada 25 nilai yang dikembalikan.
Daripada rentetan, elasticsearch menggunakan 2 jenis data - teks и kata kunci. Jika anda ingin melakukan carian teks penuh, anda harus menggunakan jenis teks, perkara yang sangat mudah semasa menulis perkhidmatan carian anda, contohnya, mencari sebutan perkataan dalam nilai medan tertentu (teks). Jika anda hanya mahukan padanan tepat, anda harus menggunakan jenis kata kunci. Selain itu, jenis data kata kunci harus digunakan untuk medan yang memerlukan pengisihan atau pengagregatan, iaitu, dalam kes kami.
Akibatnya, Elasticsearch mengira bilangan log untuk masa tertentu, diagregatkan mengikut nilai dalam medan produk. Dalam Label Tersuai, kami menetapkan nama lajur yang akan dipaparkan dalam jadual, menetapkan masa kami mengumpulkan log, mula membuat persembahan - Kibana menghantar permintaan kepada elasticsearch, menunggu respons dan kemudian menggambarkan data yang diterima. Meja sudah siap!
Carta pai untuk acara Pencegahan Ancaman
Kepentingan khusus ialah maklumat tentang berapa banyak tindak balas yang terdapat sebagai peratusan mengesan и mencegah mengenai insiden keselamatan maklumat dalam dasar keselamatan semasa. Carta pai berfungsi dengan baik untuk situasi ini. Pilih dalam Visualize - Carta pai. Juga dalam metrik kami menetapkan pengagregatan mengikut bilangan log. Dalam baldi kami meletakkan Syarat => tindakan.
Semuanya nampaknya betul, tetapi hasilnya menunjukkan nilai untuk semua bilah; anda perlu menapis hanya dengan bilah yang berfungsi dalam rangka Pencegahan Ancaman. Oleh itu, kami pasti menetapkannya menapis untuk mencari maklumat hanya pada bilah yang bertanggungjawab untuk insiden keselamatan maklumat - produk: (“Anti-Bot” ATAU “Anti-Virus Baharu” ATAU “Pelindung DDoS” ATAU “SmartDefense” ATAU “Emulasi Ancaman”). Gambar boleh diklik:
Dan tetapan yang lebih terperinci, gambar boleh diklik:
Jadual Acara IPS
Seterusnya, sangat penting dari sudut pandangan keselamatan maklumat ialah melihat dan menyemak peristiwa pada bilah. IPS и Emulasi Ancamanyang mana tidak disekat dasar semasa, untuk kemudian sama ada menukar tandatangan untuk menghalang, atau jika trafik itu sah, jangan semak tandatangan. Kami mencipta jadual dengan cara yang sama seperti contoh pertama, dengan satu-satunya perbezaan yang kami buat beberapa lajur: protections.keyword, severity.keyword, product.keyword, originsicname.keyword. Pastikan anda menyediakan penapis untuk mencari maklumat hanya pada bilah yang bertanggungjawab untuk insiden keselamatan maklumat - produk: (“SmartDefense” ATAU “Threat Emulation”). Gambar boleh diklik:
Tetapan yang lebih terperinci, gambar boleh diklik:
Carta untuk tapak yang paling popular dilawati
Untuk melakukan ini, buat angka - Bar Menegak. Kami juga menggunakan kiraan (paksi Y) sebagai metrik, dan pada paksi X kami akan menggunakan nama tapak yang dilawati sebagai nilai – “appi_name”. Terdapat sedikit helah di sini: jika anda menjalankan tetapan dalam versi semasa, maka semua tapak akan ditandakan pada carta dengan warna yang sama, untuk menjadikannya berbilang warna kami menggunakan tetapan tambahan - "siri berpecah", yang membolehkan anda membahagikan lajur siap kepada beberapa nilai lagi, bergantung pada medan yang dipilih sudah tentu! Pembahagian ini sama ada boleh digunakan sebagai satu lajur berbilang warna mengikut nilai dalam mod bertindan, atau dalam mod biasa untuk mencipta beberapa lajur mengikut nilai tertentu pada paksi X. Dalam kes ini, di sini kita menggunakan nilai yang sama seperti pada paksi X, ini memungkinkan untuk menjadikan semua lajur berbilang warna; ia akan ditunjukkan dengan warna di bahagian atas sebelah kanan. Dalam penapis yang kami tetapkan - produk: "Penapisan URL" untuk melihat maklumat hanya pada tapak yang dilawati, gambar boleh diklik:
Tetapan:
Gambar rajah tentang penggunaan aplikasi yang paling berbahaya
Untuk melakukan ini, buat angka - Bar Menegak. Kami juga menggunakan kiraan (paksi Y) sebagai metrik, dan pada paksi X kami akan menggunakan nama aplikasi yang digunakan - “appi_name” sebagai nilai. Yang paling penting ialah tetapan penapis - produk: “Kawalan Aplikasi” DAN risiko_aplikasi: (4 ATAU 5 ATAU 3 ) DAN tindakan: “terima”. Kami menapis log mengikut bilah kawalan Aplikasi, mengambil hanya tapak yang dikategorikan sebagai tapak berisiko Kritikal, Tinggi, Sederhana dan hanya jika akses kepada tapak ini dibenarkan. Gambar boleh diklik:
Tetapan, boleh diklik:
Papan pemuka
Melihat dan mencipta papan pemuka adalah dalam item menu yang berasingan - Papan Pemuka. Segala-galanya mudah di sini, papan pemuka baharu dicipta, visualisasi ditambah padanya, diletakkan di tempatnya dan itu sahaja!
Kami sedang mencipta papan pemuka yang membolehkan anda memahami situasi asas keadaan keselamatan maklumat dalam organisasi, sudah tentu, hanya pada peringkat Check Point, gambar boleh diklik:
Berdasarkan graf ini, kita boleh memahami tandatangan kritikal yang tidak disekat pada tembok api, tempat pengguna pergi, dan aplikasi paling berbahaya yang mereka gunakan.
Kesimpulan
Kami melihat keupayaan visualisasi asas di Kibana dan membina papan pemuka, tetapi ini hanya sebahagian kecil. Selanjutnya dalam kursus ini, kita akan melihat secara berasingan pada penyediaan peta, bekerja dengan sistem elasticsearch, membiasakan diri dengan permintaan API, automasi dan banyak lagi!
Jadi nantikan (, , , ), .
Sumber: www.habr.com