I tidligere artikler ble vi litt kjent med elgstakken og oppsett av Logstash-konfigurasjonsfilen for logg-parseren. I denne artikkelen går vi videre til det viktigste fra et analytisk synspunkt, hva du ønsker å se fra systemet og hva alt ble laget for - dette er grafer og tabeller kombinert til dashbord. I dag skal vi se nærmere på visualiseringssystemet Kibana, skal vi se på hvordan du lager grafer og tabeller, og som et resultat vil vi bygge et enkelt dashbord basert på logger fra Check Point-brannmuren.
Det første trinnet i arbeidet med kibana er å skape indeksmønster, logisk sett er dette en base av indekser samlet i henhold til et visst prinsipp. Selvfølgelig er dette bare en innstilling for å gjøre Kibana mer praktisk å søke etter informasjon på tvers av alle indekser samtidig. Det settes ved å matche en streng, si "sjekkpunkt-*" og navnet på indeksen. For eksempel vil "sjekkpunkt-2019.12.05" passe til mønsteret, men "sjekkpunkt" eksisterer ikke lenger. Det er verdt å nevne separat at i søk er det umulig å søke etter informasjon om forskjellige indeksmønstre samtidig; litt senere i påfølgende artikler vil vi se at API-forespørsler gjøres enten av navnet på indeksen, eller bare av en linje i mønsteret, bildet er klikkbart:
Etter dette sjekker vi i Discover-menyen at alle logger er indeksert og riktig parser er konfigurert. Hvis det blir funnet inkonsekvenser, for eksempel å endre datatypen fra en streng til et heltall, må du redigere Logstash-konfigurasjonsfilen, som et resultat vil nye logger bli skrevet riktig. For at de gamle loggene skal ha ønsket form før endringen, hjelper bare reindekseringsprosessen; i påfølgende artikler vil denne operasjonen bli diskutert mer detaljert. La oss sørge for at alt er i orden, bildet er klikkbart:
Loggene er på plass, noe som betyr at vi kan begynne å bygge dashbord. Basert på analyser av dashbord fra sikkerhetsprodukter, kan du forstå tilstanden til informasjonssikkerhet i en organisasjon, tydelig se sårbarheter i gjeldende policy, og deretter utvikle måter å eliminere dem. La oss bygge et lite dashbord ved hjelp av flere visualiseringsverktøy. Dashbordet vil bestå av 5 komponenter:
- tabell for beregning av totalt antall vedkubber etter blader
- tabell over kritiske IPS-signaturer
- sektordiagram for trusselforebyggende hendelser
- diagram over de mest populære besøkte nettstedene
- diagram over bruken av de farligste applikasjonene
For å lage visualiseringsfigurer må du gå til menyen Visualisere, og velg ønsket figur som vi ønsker å bygge! La oss gå i rekkefølge.
Tabell for beregning av totalt antall vedkubber etter blad
For å gjøre dette, velg en figur data~~POS=TRUNC, vi faller inn i utstyret for å lage grafer, til venstre er figurens innstillinger, til høyre er hvordan det vil se ut i gjeldende innstillinger. Først skal jeg demonstrere hvordan det ferdige bordet vil se ut, etter det går vi gjennom innstillingene, bildet er klikkbart:
Mer detaljerte innstillinger av figuren, bildet er klikkbart:
La oss se på innstillingene.
Opprinnelig konfigurert beregninger, dette er verdien som alle felt skal aggregeres med. Beregninger beregnes basert på verdier hentet på en eller annen måte fra dokumenter. Verdiene hentes vanligvis fra av felt dokument, men kan også genereres ved hjelp av skript. I dette tilfellet legger vi inn Aggregasjon: Telle (totalt antall logger).
Etter dette deler vi tabellen i segmenter (felt) som metrikken vil bli beregnet etter. Denne funksjonen utføres av Buckets-innstillingen, som igjen består av 2 innstillingsalternativer:
- dele rader - legge til kolonner og deretter dele tabellen i rader
- delt tabell - inndeling i flere tabeller basert på verdiene til et spesifikt felt.
В bøtter du kan legge til flere divisjoner for å lage flere kolonner eller tabeller, begrensningene her er ganske logiske. I aggregering kan du velge hvilken metode som skal brukes for å dele inn i segmenter: ipv4-område, datoperiode, vilkår osv. Det mest interessante valget er nettopp Betingelser и Viktige vilkår, inndeling i segmenter utføres i henhold til verdiene til et spesifikt indeksfelt, forskjellen mellom dem ligger i antall returnerte verdier og deres visning. Siden vi ønsker å dele tabellen med navnet på bladene, velger vi feltet - produkt.søkeord og sett størrelsen til 25 returnerte verdier.
I stedet for strenger bruker elasticsearch 2 datatyper - tekst и søkeord. Hvis du vil utføre et fulltekstsøk, bør du bruke teksttypen, en veldig praktisk ting når du skriver søketjenesten din, for eksempel når du leter etter en omtale av et ord i en bestemt feltverdi (tekst). Hvis du bare vil ha eksakt samsvar, bør du bruke søkeordtypen. Søkeorddatatypen bør også brukes for felt som krever sortering eller aggregering, det vil si i vårt tilfelle.
Som et resultat teller Elasticsearch antall logger for en viss tid, aggregert av verdien i produktfeltet. I Custom Label angir vi navnet på kolonnen som skal vises i tabellen, setter tiden vi samler logger for, begynner å gjengi - Kibana sender en forespørsel til elasticsearch, venter på svar og visualiserer deretter de mottatte dataene. Bordet er klart!
Sektordiagram for trusselforebyggende hendelser
Av spesiell interesse er informasjonen om hvor mange reaksjoner det er i prosent oppdage и forebygge om informasjonssikkerhetshendelser i gjeldende sikkerhetspolicy. Et kakediagram fungerer godt for denne situasjonen. Velg i Visualiser - Kake diagram. Også i beregningen setter vi aggregering etter antall logger. I bøtter legger vi Vilkår => handling.
Alt ser ut til å være riktig, men resultatet viser verdier for alle blader; du trenger kun å filtrere etter de bladene som fungerer innenfor rammen av trusselforebygging. Derfor har vi definitivt satt det opp filtrere for å søke etter informasjon kun på blader som er ansvarlige for informasjonssikkerhetshendelser - produkt: ("Anti-Bot" OR "New Anti-Virus" OR "DDoS Protector" OR "SmartDefense" OR "Threat Emulation"). Bildet er klikkbart:
Og mer detaljerte innstillinger, bildet er klikkbart:
IPS-hendelsestabell
Deretter er det svært viktig fra et informasjonssikkerhetssynspunkt å se og sjekke hendelser på bladet. IPS и TrusselemuleringAt er ikke blokkert gjeldende policy, for senere enten å endre signaturen for å forhindre, eller hvis trafikken er gyldig, ikke kontroller signaturen. Vi lager tabellen på samme måte som for det første eksemplet, med den eneste forskjellen at vi lager flere kolonner: beskyttelse.søkeord, alvorlighetsgrad.søkeord, produkt.søkeord, opprinnelsesnavn.søkeord. Sørg for å sette opp et filter for å søke etter informasjon kun på blader som er ansvarlige for informasjonssikkerhetshendelser - produkt: ("SmartDefense" ELLER "Threat Emulation"). Bildet er klikkbart:
Mer detaljerte innstillinger, bildet er klikkbart:
Diagrammer for de mest populære besøkte nettstedene
For å gjøre dette, lag en figur - Vertikal stang. Vi bruker også telling (Y-aksen) som en beregning, og på X-aksen vil vi bruke navnet på besøkte nettsteder som verdier – «appi_name». Det er et lite triks her: hvis du kjører innstillingene i gjeldende versjon, vil alle nettsteder bli merket på diagrammet med samme farge, for å gjøre dem flerfarget bruker vi en ekstra innstilling - "delt serie", som lar deg dele en ferdig kolonne i flere verdier, avhengig av det valgte feltet selvfølgelig! Denne inndelingen kan enten brukes som én flerfarget kolonne i henhold til verdier i stablet modus, eller i normal modus for å lage flere kolonner i henhold til en bestemt verdi på X-aksen. I dette tilfellet bruker vi her samme verdi som på X-aksen, dette gjør det mulig å gjøre alle kolonner flerfargede; de vil bli indikert med farger øverst til høyre. I filteret vi setter - produkt: "URL-filtrering" for å se informasjon kun på besøkte nettsteder, er bildet klikkbart:
Innstillinger:
Diagram over bruken av de farligste applikasjonene
For å gjøre dette, lag en figur - Vertical Bar. Vi bruker også count (Y-aksen) som en metrikk, og på X-aksen vil vi bruke navnet på applikasjonene som brukes - "appi_name" som verdier. Det viktigste er filterinnstillingen - produkt: "Application Control" OG app_risk: (4 OR 5 OR 3 ) OG handling: "accept". Vi filtrerer loggene etter applikasjonskontrollbladet, og tar bare de nettstedene som er kategorisert som Kritiske, Høy, Middels risiko nettsteder og bare hvis tilgang til disse nettstedene er tillatt. Bildet er klikkbart:
Innstillinger, klikkbare:
Dashbord
Å se og lage dashboards er i et eget menyelement - Dashbord. Alt er enkelt her, et nytt dashbord er opprettet, visualisering er lagt til det, plassert på plass og det er det!
Vi lager et dashbord der du kan forstå den grunnleggende situasjonen for informasjonssikkerhetstilstanden i en organisasjon, selvfølgelig, bare på Check Point-nivå er bildet klikkbart:
Basert på disse grafene kan vi forstå hvilke kritiske signaturer som ikke er blokkert på brannmuren, hvor brukerne går og hvilke de farligste applikasjonene de bruker.
Konklusjon
Vi så på mulighetene for grunnleggende visualisering i Kibana og bygde et dashbord, men dette er bare en liten del. Videre i kurset vil vi separat se på oppsett av kart, arbeid med elasticsearch-systemet, bli kjent med API-forespørsler, automatisering og mye mer!
Så følg med, , , ), .
Kilde: www.habr.com