Elastic Stack သည် SIEM စနစ်များ စျေးကွက်တွင် လူသိများသော ကိရိယာတစ်ခု (တကယ်တော့ ၎င်းတို့သာမက)။ ထိလွယ်ရှလွယ်နှင့် အလွန်အထိခိုက်မခံသော ဒေတာများစွာကို စုဆောင်းနိုင်သည်။ Elastic Stack ဒြပ်စင်များကို ၎င်းတို့ကိုယ်တိုင် အကာအကွယ်မပေးပါက လုံးလုံးလျားလျား မမှန်ပါ။ မူရင်းအားဖြင့်၊ Elastic out-of-the-box ဒြပ်စင်များ (Elasticsearch၊ Logstash၊ Kibana နှင့် Beats စုဆောင်းသူများ) သည် အဖွင့်ပရိုတိုကောများပေါ်တွင် အလုပ်လုပ်ပါသည်။ Kibana ကိုယ်တိုင်တွင် အထောက်အထားစိစစ်ခြင်းကို ပိတ်ထားသည်။ ဤအပြန်အလှန်ဆက်သွယ်မှုများအားလုံးကို လုံခြုံစေနိုင်ပြီး ဤဆောင်းပါးတွင် ၎င်းကို မည်သို့လုပ်ဆောင်ရမည်ကို ကျွန်ုပ်တို့ပြောပြပါမည်။ အဆင်ပြေစေရန်အတွက်၊ ကျွန်ုပ်တို့သည် ဇာတ်ကြောင်းကို အခေါ်အဝေါ်တုံး ၃ ခုအဖြစ် ပိုင်းခြားထားပါသည်။

• အခန်းကဏ္ဍအခြေပြု ဒေတာဝင်ရောက်ခွင့် မော်ဒယ်
• Elasticsearch အစုအဝေးအတွင်း ဒေတာလုံခြုံရေး
• Elasticsearch အစုအဝေးမှ ဒေတာကို လုံခြုံစေခြင်း။

အသေးစိတ်အချက်အလတ်များကို အောက်တွင်ဖော်ပြထားပါသည်။

အခန်းကဏ္ဍအခြေပြု ဒေတာဝင်ရောက်ခွင့် မော်ဒယ်

အကယ်၍ သင်သည် Elasticsearch ကို ထည့်သွင်းပြီး မည်သည့်နည်းဖြင့်မျှ မညှိပါက၊ အညွှန်းများအားလုံးသို့ ဝင်ရောက်ခွင့်ကို လူတိုင်းအား ဖွင့်ပေးပါမည်။ ကောင်းပြီ, ဒါမှမဟုတ် curl ကိုသုံးနိုင်တဲ့သူတွေ။ ၎င်းကိုရှောင်ရှားရန် Elasticsearch တွင် အခြေခံစာရင်းသွင်းမှု (အခမဲ့) ဖြင့် စတင်ရရှိနိုင်သည့် စံနမူနာတစ်ခုရှိသည်။ ကိန်းဂဏန်းအရ၊

ပုံမှာ ဘာပါလဲ။

• အသုံးပြုသူများသည် ၎င်းတို့၏အထောက်အထားများကို အသုံးပြု၍ ဝင်ရောက်နိုင်သူတိုင်းဖြစ်သည်။
• အခန်းကဏ္ဍတစ်ခုသည် အခွင့်အရေးတစ်ခုဖြစ်သည်။
• အခွင့်အရေးဆိုတာ အခွင့်ထူးတွေ အစုံပါပဲ။
• ခံစားခွင့်များသည် စာရေးခြင်း၊ ဖတ်ခြင်း၊ ဖျက်ခြင်း စသည်ဖြင့် ခွင့်ပြုချက်များဖြစ်သည်။ (အခွင့်အရေးများစာရင်းအပြည့်အစုံ)
• အရင်းအမြစ်များသည် အညွှန်းများ၊ စာရွက်စာတမ်းများ၊ အကွက်များ၊ အသုံးပြုသူများနှင့် အခြားသော သိုလှောင်မှုဆိုင်ရာ အရာများဖြစ်သည် (အချို့သောအရင်းအမြစ်များအတွက် စံပြပုံစံကို အခပေးစာရင်းသွင်းမှုများဖြင့်သာ ရနိုင်သည်)။

ပုံသေအားဖြင့် Elasticsearch တွင်ရှိသည်။ box အသုံးပြုသူများတွယ်တာ ၊ box အခန်းကဏ္ဍ. လုံခြုံရေးဆက်တင်များကို သင်ဖွင့်ပြီးသည်နှင့် ၎င်းတို့ကို သင်ချက်ချင်း စတင်အသုံးပြုနိုင်ပါသည်။

Elasticsearch ဆက်တင်များတွင် လုံခြုံရေးကို ဖွင့်ရန်၊ ၎င်းကို configuration ဖိုင်တွင် ထည့်သွင်းရန် လိုအပ်သည် (ပုံမှန်အားဖြင့် ၎င်းသည် elasticsearch/config/elasticsearch.yml) လိုင်းအသစ်

xpack.security.enabled: true

ဖွဲ့စည်းမှုဖိုင်ကို ပြောင်းလဲပြီးနောက် အပြောင်းအလဲများ အကျိုးသက်ရောက်စေရန်အတွက် Elasticsearch ကို စတင်ပါ သို့မဟုတ် ပြန်လည်စတင်ပါ။ နောက်တစ်ဆင့်မှာ ဘောက်စ်အသုံးပြုသူများအတွက် စကားဝှက်များ သတ်မှတ်ပေးခြင်း။ အောက်ဖော်ပြပါ command ကို အသုံးပြု၍ အပြန်အလှန်အကျိုးသက်ရောက်စွာ လုပ်ဆောင်ကြပါစို့။

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y


Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]

ငါတို့စစ်ဆေးသည်

[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1

နောက်ကျောကို သင်ကိုယ်တိုင် ပွတ်သပ်နိုင်သည် - Elasticsearch ဘက်ခြမ်းရှိ ဆက်တင်များ ပြီးပါပြီ။ ယခု Kibana ကို configure လုပ်ရန် အချိန်ရောက်ပါပြီ။ ၎င်းကို ယခု run ပါက errors များပေါ်လာမည်ဖြစ်သောကြောင့် key store တစ်ခုဖန်တီးရန် အရေးကြီးပါသည်။ ၎င်းကို command နှစ်ခုဖြင့်လုပ်ဆောင်သည် (အသုံးပြုသူ kibana Elasticsearch တွင် စကားဝှက်ဖန်တီးမှု အဆင့်တွင် ထည့်သွင်းထားသော စကားဝှက်သည်)

[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.username
[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.password

အားလုံးမှန်ကန်ပါက Kibana သည် login နှင့် password ကိုစတင်တောင်းဆိုလိမ့်မည်။ အခြေခံစာရင်းသွင်းမှုတွင် အတွင်းပိုင်းအသုံးပြုသူများအပေါ် အခြေခံသည့် စံနမူနာတစ်ခု ပါဝင်သည်။ Gold ဖြင့်စတင်၍ သင်သည် ပြင်ပစစ်မှန်ကြောင်းအထောက်အထားပြစနစ်များ - LDAP၊ PKI၊ Active Directory နှင့် Single sign-on စနစ်များကို ချိတ်ဆက်နိုင်သည်။

Elasticsearch အတွင်းရှိ အရာဝတ္ထုများသို့ ဝင်ရောက်ခွင့်ကိုလည်း ကန့်သတ်နိုင်သည်။ သို့သော်၊ စာရွက်စာတမ်းများ သို့မဟုတ် နယ်ပယ်များအတွက် အလားတူလုပ်ဆောင်ရန် သင်သည် အခပေးစာရင်းသွင်းမှုတစ်ခု လိုအပ်ပါမည် (ဤဇိမ်ခံပစ္စည်းသည် ပလက်တီနမ်အဆင့်မှ စတင်သည်)။ ဤဆက်တင်များကို Kibana interface တွင် သို့မဟုတ် မှတဆင့် ရရှိနိုင်ပါသည်။ လုံခြုံရေး API. အကျွမ်းတဝင်ရှိပြီးသား Dev Tools မီနူးတွင် သင်စစ်ဆေးနိုင်သည်-

အခန်းကဏ္ဍဖန်တီးခြင်း။

PUT /_security/role/ruslan_i_ludmila_role
{
  "cluster": [],
  "indices": [
    {
      "names": [ "ruslan_i_ludmila" ],
      "privileges": ["read", "view_index_metadata"]
    }
  ]
}

အသုံးပြုသူဖန်တီးခြင်း။

POST /_security/user/pushkin
{
  "password" : "nataliaonelove",
  "roles" : [ "ruslan_i_ludmila_role", "kibana_user" ],
  "full_name" : "Alexander Pushkin",
  "email" : "[email protected]",
  "metadata" : {
    "hometown" : "Saint-Petersburg"
  }
}

Elasticsearch အစုအဝေးအတွင်း ဒေတာလုံခြုံရေး

Elasticsearch သည် အစုအဝေးတစ်ခုတွင် အလုပ်လုပ်သောအခါ (ပုံမှန်ဖြစ်သည်)၊ အစုအဝေးအတွင်းရှိ လုံခြုံရေးဆက်တင်များသည် အရေးကြီးလာသည်။ node များကြား လုံခြုံသော ဆက်သွယ်ရေးအတွက် Elasticsearch သည် TLS ပရိုတိုကောကို အသုံးပြုသည်။ ၎င်းတို့ကြားတွင် လုံခြုံသော အပြန်အလှန်ဆက်သွယ်မှုကို သတ်မှတ်ရန်၊ သင်သည် လက်မှတ်တစ်ခု လိုအပ်သည်။ ကျွန်ုပ်တို့သည် PEM ဖော်မတ်ဖြင့် လက်မှတ်နှင့် သီးသန့်သော့ကို ထုတ်ပေးသည်-

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pem

အထက်ဖော်ပြပါ command ကိုလုပ်ဆောင်ပြီးနောက် directory တွင် /../elasticsearch archive ပေါ်လာပါမည်။ elastic-stack-ca.zip. ၎င်းအတွင်းတွင် လက်မှတ်တစ်ခုနှင့် extension များပါရှိသော သီးသန့်သော့တစ်ခုကို သင်တွေ့လိမ့်မည်။ CRT и သော့ အသီးသီး။ ၎င်းတို့ကို အစုအဝေးရှိ node များအားလုံးမှ ဝင်ရောက်နိုင်စေမည့် မျှဝေအရင်းအမြစ်တစ်ခုပေါ်တွင် ထားရှိရန် အကြံပြုလိုပါသည်။

ယခု node တစ်ခုစီသည် မျှဝေထားသော လမ်းညွှန်များပေါ်အခြေခံ၍ ၎င်း၏ကိုယ်ပိုင်လက်မှတ်များနှင့် သီးသန့်သော့များ လိုအပ်ပါသည်။ အမိန့်ကိုလုပ်ဆောင်သောအခါ၊ စကားဝှက်တစ်ခုသတ်မှတ်ရန်တောင်းဆိုလိမ့်မည်။ အပြန်အလှန်ဆက်သွယ်နေသော node များကို အပြီးသတ်အတည်ပြုရန်အတွက် နောက်ထပ်ရွေးချယ်စရာများ -ip နှင့် -dns ကို ထည့်သွင်းနိုင်သည်။

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key

ညွှန်ကြားချက်ကို လုပ်ဆောင်ခြင်း၏ရလဒ်အနေဖြင့်၊ စကားဝှက်ဖြင့်ကာကွယ်ထားသော PKCS#12 ဖော်မတ်တွင် လက်မှတ်နှင့် သီးသန့်သော့တစ်ခုကို ကျွန်ုပ်တို့ရရှိပါမည်။ ကျန်တာအားလုံးက ထုတ်လုပ်လိုက်တဲ့ ဖိုင်ကို ရွှေ့ဖို့ပါပဲ။ p12 configuration directory သို့

[elastic@node1 ~]$ mv elasticsearch/elastic-certificates.p12 elasticsearch/config

ဖော်မတ်တွင် လက်မှတ်သို့ စကားဝှက်တစ်ခု ထည့်ပါ။ p12 node တစ်ခုစီရှိ keystore နှင့် truststore တွင်-

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

သိပြီးသားပါ။ elasticsearch.yml ကျန်သည်မှာ လက်မှတ်ဒေတာဖြင့် လိုင်းများထည့်ရန်ဖြစ်သည်-

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

ကျွန်ုပ်တို့သည် Elasticsearch node အားလုံးကိုဖွင့်ပြီး execute လုပ်ပါသည်။ ဆံပင်ကောက်ကောက်. အရာအားလုံး မှန်ကန်စွာ ပြီးပါက၊ node အများအပြားပါသော တုံ့ပြန်မှုကို ပြန်ပေးလိမ့်မည်-

[elastic@node1 ~]$ curl node1:9200/_cat/nodes -u elastic:password                                                                                    
172.18.0.3 43 75 4 0.00 0.05 0.05 dim * node2                                                                                                                     
172.18.0.4 21 75 3 0.00 0.05 0.05 dim - node3                                                                                                                     
172.18.0.2 39 75 4 0.00 0.05 0.05 dim - node1

နောက်ထပ်လုံခြုံရေးရွေးချယ်စရာတစ်ခုရှိပါသည် - IP လိပ်စာစစ်ထုတ်ခြင်း (ရွှေအဆင့်မှစာရင်းသွင်းမှုများတွင်ရနိုင်သည်)။ သင့်အား node များသို့ဝင်ရောက်ခွင့်ပြုသည့် IP လိပ်စာများ၏ အဖြူရောင်စာရင်းများကို ဖန်တီးနိုင်စေပါသည်။

Elasticsearch အစုအဝေးမှ ဒေတာကို လုံခြုံစေခြင်း။

အစုအဝေးပြင်ပတွင် ပြင်ပကိရိယာများ- Kibana၊ Logstash၊ Beats သို့မဟုတ် အခြားပြင်ပကလိုင်းယင့်များကို ချိတ်ဆက်ခြင်းကို ဆိုလိုသည်။

https (http အစား) ပံ့ပိုးမှုအား စီစဉ်သတ်မှတ်ရန် elasticsearch.yml တွင် လိုင်းအသစ်များထည့်ပါ။

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12
xpack.security.http.ssl.truststore.path: elastic-certificates.p12

ဘာဖြစ်လို့လဲဆိုတော့ လက်မှတ်ကို စကားဝှက်ဖြင့် ကာကွယ်ထားပြီး node တစ်ခုစီရှိ keystore နှင့် truststore တွင် ထည့်ပါ-

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password

သော့များကိုထည့်ပြီးနောက်၊ Elasticsearch node များသည် https မှတဆင့်ချိတ်ဆက်ရန်အဆင်သင့်ဖြစ်နေပါပြီ။ ယခု ၎င်းတို့ကို စတင်အသုံးပြုနိုင်ပြီဖြစ်သည်။

နောက်တစ်ဆင့်မှာ Kibana ကို ချိတ်ဆက်ရန် သော့တစ်ခုကို ဖန်တီးပြီး ၎င်းကို ဖွဲ့စည်းမှုတွင် ထည့်သွင်းရန် ဖြစ်သည်။ မျှဝေထားသောလမ်းညွှန်တွင်ရှိသော လက်မှတ်ကိုအခြေခံ၍ ကျွန်ုပ်တို့သည် PEM ဖော်မတ် (PKCS#12 Kibana၊ Logstash နှင့် Beats တို့ကို မပံ့ပိုးရသေးပါ) အသိအမှတ်ပြုလက်မှတ်ကို ထုတ်ပေးပါမည်။

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key --pem

ကျန်ရှိနေသေးသည်မှာ Kibana configuration ဖြင့် ဖန်တီးထားသောသော့များကို ဖိုဒါထဲသို့ ထုပ်ပိုးရန်ဖြစ်သည်။

[elastic@node1 ~]$ unzip elasticsearch/certificate-bundle.zip -d kibana/config

သော့တွေရှိနေတယ်၊ ​​ဒါကြောင့် ကျန်တာအကုန်လုံးက Kibana configuration ကိုပြောင်းဖို့ပဲ ဖြစ်တယ်။ kibana.yml ဖွဲ့စည်းမှုဖိုင်တွင်၊ http ကို https သို့ပြောင်းပြီး SSL ချိတ်ဆက်မှုဆက်တင်များဖြင့် လိုင်းများထည့်ပါ။ နောက်ဆုံးသုံးလိုင်းသည် အသုံးပြုသူ၏ဘရောက်ဆာနှင့် Kibana အကြား လုံခြုံသောဆက်သွယ်မှုကို စီစဉ်ပေးသည်။

elasticsearch.hosts: ["https://${HOSTNAME}:9200"]
elasticsearch.ssl.certificateAuthorities: /shared_folder/ca/ca.crt
elasticsearch.ssl.verificationMode: certificate
server.ssl.enabled: true
server.ssl.key: /../kibana/config/instance/instance.key
server.ssl.certificate: /../kibana/config/instance/instance.crt

ထို့ကြောင့်၊ ဆက်တင်များ ပြီးမြောက်ပြီး Elasticsearch အစုအဝေးရှိ ဒေတာများသို့ ဝင်ရောက်ခွင့်ကို ကုဒ်ဝှက်ထားသည်။

အခမဲ့ သို့မဟုတ် အခပေးစာရင်းသွင်းမှုများတွင် Elastic Stack ၏စွမ်းရည်များ၊ လုပ်ဆောင်ချက်များကို စောင့်ကြည့်ခြင်း သို့မဟုတ် SIEM စနစ်ဖန်တီးခြင်းဆိုင်ရာ မေးခွန်းများရှိပါက၊ တောင်းဆိုချက်ထားခဲ့ပါ။ တုံ့ပြန်ချက်ပုံစံ ကျွန်တော်တို့ရဲ့ဝက်ဘ်ဆိုက်ပေါ်မှာ။

Habré ရှိ Elastic Stack အကြောင်း နောက်ထပ်ဆောင်းပါးများ

Elastic Stack တွင် Machine Learning ကိုနားလည်ခြင်း (aka Elasticsearch, aka ELK)

Elasticsearch အရွယ်အစား

source: www.habr.com