W poprzednich artykułach zapoznaliśmy się trochę ze stosem łosia i konfiguracją pliku konfiguracyjnego Logstash dla parsera logów.W tym artykule przejdziemy do najważniejszej z analitycznego punktu widzenia rzeczy, czyli tego, co chcesz zobaczyć z systemu i do czego to wszystko zostało stworzone - są to wykresy i tabele połączone w całość pulpity nawigacyjne. Dziś przyjrzymy się bliżej systemowi wizualizacji Kibana, przyjrzymy się jak tworzyć wykresy i tabele, w efekcie zbudujemy prosty dashboard w oparciu o logi z firewalla Check Point.
Pierwszym krokiem w pracy z kibaną jest tworzenie wzór indeksulogicznie rzecz biorąc, jest to baza indeksów zjednoczonych według pewnej zasady. Oczywiście jest to wyłącznie ustawienie, które ma sprawić, że Kibana będzie wygodniej wyszukiwać informacje we wszystkich indeksach jednocześnie. Jest ustawiany poprzez dopasowanie ciągu znaków, powiedzmy „checkpoint-*” i nazwy indeksu. Na przykład „punkt kontrolny-2019.12.05” pasowałby do wzorca, ale po prostu „punkt kontrolny” już nie istnieje. Warto osobno wspomnieć, że w wyszukiwaniu nie ma możliwości jednoczesnego wyszukiwania informacji o różnych wzorach indeksów; nieco później w kolejnych artykułach przekonamy się, że żądania API są realizowane albo po nazwie indeksu, albo po prostu przez jeden linia wzoru, obrazek można kliknąć:
Następnie sprawdzamy w menu Discover, czy wszystkie logi są zaindeksowane i czy skonfigurowano prawidłowy analizator składni. Jeżeli zostaną znalezione jakieś niespójności, np. przy zmianie typu danych z string na liczbę całkowitą, należy dokonać edycji pliku konfiguracyjnego Logstash, w efekcie nowe logi będą zapisywane poprawnie. Aby stare logi przed zmianą przybrały pożądaną formę pomaga jedynie proces reindeksowania, w kolejnych artykułach operacja ta zostanie omówiona bardziej szczegółowo. Upewnijmy się, że wszystko jest w porządku, obrazek można kliknąć:
Logi są już na swoim miejscu, co oznacza, że możemy przystąpić do tworzenia dashboardów. Na podstawie analityki dashboardów z produktów bezpieczeństwa można zrozumieć stan bezpieczeństwa informacji w organizacji, wyraźnie dostrzec luki w aktualnej polityce, a następnie opracować sposoby ich eliminacji. Zbudujmy mały dashboard, korzystając z kilku narzędzi do wizualizacji. Deska rozdzielcza będzie składać się z 5 elementów:
- tabela do obliczania całkowitej liczby kłód według ostrzy
- tabela zawierająca krytyczne podpisy IPS
- wykres kołowy zdarzeń modułu Zapobieganie zagrożeniom
- wykres najpopularniejszych odwiedzanych witryn
- tabelę wykorzystania najniebezpieczniejszych aplikacji
Aby utworzyć figury wizualizacyjne należy przejść do menu Wyobrażać sobiei wybierz żądaną figurę, którą chcemy zbudować! Chodźmy po kolei.
Tabela do obliczania całkowitej liczby kłód według ostrza
Aby to zrobić, wybierz figurę Tabela danych, wchodzimy w sprzęt do tworzenia wykresów, po lewej stronie ustawienia figury, po prawej jak będzie ona wyglądać w bieżących ustawieniach. Najpierw pokażę, jak będzie wyglądał gotowy stół, potem przejdziemy do ustawień, obraz jest klikalny:
Bardziej szczegółowe ustawienia figury, zdjęcie można kliknąć:
Spójrzmy na ustawienia.
Wstępnie skonfigurowany metryka, jest to wartość, według której wszystkie pola zostaną zagregowane. Metryki są obliczane na podstawie wartości wyodrębnionych w taki czy inny sposób z dokumentów. Wartości są zwykle wyodrębniane z pola dokumentu, ale można je również wygenerować za pomocą skryptów. W tym przypadku wstawiamy Agregacja: Liczba (całkowita liczba logów).
Następnie dzielimy tabelę na segmenty (pola), według których będzie obliczana metryka. Funkcję tę realizuje ustawienie Wiadra, które z kolei składa się z 2 opcji ustawień:
- podziel wiersze - dodanie kolumn, a następnie podzielenie tabeli na wiersze
- podziel tabelę - podział na kilka tabel na podstawie wartości konkretnego pola.
В Wiadra możesz dodać kilka podziałów, aby utworzyć kilka kolumn lub tabel, ograniczenia tutaj są raczej logiczne. W agregacji możesz wybrać, która metoda będzie stosowana do podziału na segmenty: zakres IPv4, zakres dat, Warunki itp. Najciekawszym wyborem jest właśnie Regulamin и Istotne warunki, podział na segmenty odbywa się według wartości konkretnego pola indeksowego, różnica między nimi polega na liczbie zwracanych wartości i ich wyświetlaniu. Ponieważ chcemy podzielić tabelę według nazw ostrzy, wybieramy pole - Słowo kluczowe produktu i ustaw rozmiar na 25 zwróconych wartości.
Zamiast ciągów Elasticsearch używa 2 typów danych - XNUMX и keyword. Jeśli chcesz przeprowadzić wyszukiwanie pełnotekstowe, powinieneś użyć typu tekstowego, co jest bardzo wygodną rzeczą podczas pisania swojej wyszukiwarki, np. szukając wzmianki o słowie w określonej wartości pola (tekstu). Jeśli chcesz tylko dokładnego dopasowania, powinieneś użyć typu słowa kluczowego. Typ danych słowa kluczowego należy także stosować w przypadku pól wymagających sortowania lub agregacji, czyli w naszym przypadku.
W rezultacie Elasticsearch zlicza liczbę logów z określonego czasu, agregowaną według wartości w polu produktu. W Custom Label ustawiamy nazwę kolumny, która będzie wyświetlana w tabeli, ustalamy czas przez jaki będziemy zbierać logi, rozpoczynamy renderowanie - Kibana wysyła żądanie do Elasticsearch, czeka na odpowiedź i następnie wizualizuje otrzymane dane. Stół jest gotowy!
Wykres kołowy zdarzeń modułu Zapobieganie zagrożeniom
Szczególnie interesująca jest informacja o procentowej liczbie reakcji wykryć и zapobiec o incydentach związanych z bezpieczeństwem informacji w obowiązującej polityce bezpieczeństwa. Wykres kołowy sprawdza się dobrze w tej sytuacji. Wybierz w wizualizacji - Wykres kołowy. Również w metryce ustawiamy agregację według liczby logów. W segmentach umieszczamy Warunki => akcja.
Wszystko wydaje się być prawidłowe, ale wynik pokazuje wartości dla wszystkich ostrzy; należy filtrować tylko po tych ostrzach, które działają w ramach zapobiegania zagrożeniom. Dlatego zdecydowanie to ustaliliśmy filtrować w celu wyszukiwania informacji wyłącznie na temat serwerów blade odpowiedzialnych za incydenty związane z bezpieczeństwem informacji - produkt: („Anti-Bot” LUB „Nowy antywirus” LUB „DDoS Protector” LUB „SmartDefense” LUB „Emulacja zagrożeń”). Zdjęcie można kliknąć:
I bardziej szczegółowe ustawienia, obraz można kliknąć:
Tabela zdarzeń IPS
Następnie bardzo ważne z punktu widzenia bezpieczeństwa informacji jest przeglądanie i sprawdzanie zdarzeń na serwerze blade. IPS и Emulacja zagrożeńŻe nie są zablokowane aktualne zasady, aby później zmienić podpis, aby zapobiec lub jeśli ruch jest prawidłowy, nie sprawdzaj podpisu. Tablicę tworzymy analogicznie jak w pierwszym przykładzie, z tą tylko różnicą, że tworzymy kilka kolumn: zabezpieczenia.słowo kluczowe, dotkliwość.słowo kluczowe, produkt.słowo kluczowe, nazwa pochodzenia.słowo kluczowe. Pamiętaj, aby ustawić filtr, aby wyszukiwać informacje wyłącznie na temat serwerów typu blade odpowiedzialnych za incydenty związane z bezpieczeństwem informacji – produkt: („SmartDefense” LUB „Emulacja zagrożeń”). Zdjęcie można kliknąć:
Bardziej szczegółowe ustawienia, obraz można kliknąć:
Wykresy najpopularniejszych odwiedzanych witryn
Aby to zrobić, utwórz figurę - Pionowy pasek. Jako metrykę wykorzystujemy również liczbę (oś Y), a na osi X jako wartości będziemy używać nazw odwiedzanych stron – „nazwa_aplikacji”. Jest tu mały trik: jeśli uruchomimy ustawienia w aktualnej wersji, to wszystkie witryny zostaną zaznaczone na wykresie tym samym kolorem, aby były wielokolorowe używamy dodatkowego ustawienia - „podziel serię”, co pozwala na podzielenie gotowej kolumny na kilka kolejnych wartości, oczywiście w zależności od wybranego pola! Ten właśnie podział można zastosować albo jako jedną wielokolorową kolumnę według wartości w trybie skumulowanym, albo w trybie normalnym w celu utworzenia kilku kolumn według określonej wartości na osi X. W tym przypadku używamy tutaj taką samą wartość jak na osi X, dzięki temu wszystkie kolumny będą wielokolorowe, będą one oznaczone kolorami w prawym górnym rogu. W filtrze ustawiamy - produkt: „Filtrowanie adresów URL”, aby zobaczyć informacje tylko o odwiedzanych witrynach, obraz jest klikalny:
Ustawienia:
Schemat wykorzystania najniebezpieczniejszych aplikacji
Aby to zrobić, utwórz figurę - pionowy pasek. Jako metryki używamy również liczby (oś Y), a na osi X jako wartości użyjemy nazwy używanych aplikacji - „nazwa_aplikacji”. Najważniejsze jest ustawienie filtra - produkt: „Kontrola aplikacji” ORAZ app_risk: (4 OR 5 OR 3 ) ORAZ akcja: „accept”. Filtrujemy dzienniki według bloku Kontrola aplikacji, biorąc pod uwagę tylko te witryny, które są sklasyfikowane jako witryny krytyczne, witryny wysokiego i średniego ryzyka i tylko wtedy, gdy dostęp do tych witryn jest dozwolony. Zdjęcie można kliknąć:
Ustawienia, które można kliknąć:
Panel
Przeglądanie i tworzenie dashboardów znajduje się w osobnej pozycji menu - Panel Użytkownika. Tutaj wszystko jest proste, tworzony jest nowy dashboard, dodawana jest do niego wizualizacja, umieszczana na swoim miejscu i gotowe!
Tworzymy dashboard, dzięki któremu można zrozumieć podstawową sytuację stanu bezpieczeństwa informacji w organizacji, oczywiście tylko na poziomie Check Point, obrazek jest klikalny:
Na podstawie tych wykresów możemy zrozumieć, które sygnatury krytyczne nie są blokowane na zaporze sieciowej, dokąd udają się użytkownicy i jakich najniebezpieczniejszych aplikacji używają.
wniosek
Przyjrzeliśmy się możliwościom podstawowej wizualizacji w Kibanie i zbudowaliśmy dashboard, ale to tylko niewielka część. W dalszej części kursu osobno zajmiemy się konfiguracją map, pracą z systemem Elasticsearch, zapoznaniem się z żądaniami API, automatyzacją i wieloma innymi!
Bądźcie na bieżąco (, , , ), .
Źródło: www.habr.com