ProHoster > بلاګ > اداره > 3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

په تیرو مقالو کې، موږ د ایلک سټیک او د لوګ پارسر لپاره د Logstash ترتیب کولو فایل سره لږ څه اشنا شو. پدې مقاله کې به موږ د تحلیلي نظر څخه خورا مهم شی ته لاړ شو، هغه څه چې تاسو غواړئ د سیسټم څخه وګورئ او هرڅه د څه لپاره رامینځته شوي - دا ګرافونه او میزونه دي چې یوځای شوي ډشبورډونه. نن ورځ موږ به د لید سیسټم ته نږدې کتنه وکړو کببا، موږ به وګورو چې څنګه ګرافونه او میزونه رامینځته کړو ، او په پایله کې به موږ د چیک پوائنټ فایر وال څخه د لاګونو پراساس یو ساده ډشبورډ جوړ کړو.

د کبانا سره په کار کولو کې لومړی ګام رامینځته کول دي د شاخص نمونهپه منطقي توګه، دا د شاخصونو اساس دی چې د یو ځانګړي اصول سره سم متحد شوي. البته، دا په بشپړه توګه یو ترتیب دی چې کیبانا په ورته وخت کې د ټولو شاخصونو په اوږدو کې د معلوماتو لپاره په اسانۍ سره لټون وکړي. دا د تار سره په مطابقت سره تنظیم شوی ، ووایه "د چیک پوسټ-*" او د شاخص نوم. د مثال په توګه، "د چیک پوائنټ - 2019.12.05" به د نمونې سره سمون ولري، مګر په ساده ډول "د چک پوسته" نور شتون نلري. دا په جلا توګه د یادونې وړ ده چې په لټون کې په ورته وخت کې د مختلف شاخص نمونو په اړه د معلوماتو لټون کول ناممکن دي؛ یو څه وروسته په راتلونکو مقالو کې به موږ وګورو چې د API غوښتنې یا د شاخص په نوم یا یوازې د یوې لخوا ترسره کیږي. د نمونې کرښه، انځور د کلک کولو وړ دی:

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

له دې وروسته، موږ د کشف مینو کې ګورو چې ټول لاګونه ترتیب شوي او سم پارسر ترتیب شوی. که کوم تضادونه وموندل شي، د بیلګې په توګه، د ډیټا ډول د تار څخه یو بشپړ ته بدلول، تاسو اړتیا لرئ چې د Logstash ترتیب کولو فایل ترمیم کړئ، په پایله کې، نوي لاګونه به په سمه توګه لیکل شي. د دې لپاره چې زاړه لاګونه د بدلون څخه دمخه مطلوب ب formه واخلي ، یوازې د بیا تنظیم کولو پروسه مرسته کوي؛ په راتلونکو مقالو کې به دا عملیات په ډیر تفصیل سره بحث شي. راځئ چې ډاډ ترلاسه کړو چې هرڅه په ترتیب کې دي، انځور د کلک کولو وړ دی:

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

لاګونه په ځای کې دي، پدې معنی چې موږ کولی شو د ډشبورډونو جوړول پیل کړو. د امنیتي محصولاتو څخه د ډشبورډونو تحلیلونو پراساس ، تاسو کولی شئ په یوه اداره کې د معلوماتو امنیت حالت درک کړئ ، په اوسني پالیسي کې زیانونه په روښانه ډول وګورئ او وروسته یې د له مینځه وړو لپاره لارې رامینځته کړئ. راځئ چې د څو لید وسیلو په کارولو سره یو کوچنی ډشبورډ جوړ کړو. ډشبورډ به له 5 برخو څخه جوړه وي:

  1. د بلیډونو په واسطه د ټولو لوګو شمیر محاسبه کولو میز
  2. د مهم IPS لاسلیکونو میز
  3. د ګواښ مخنیوي پیښو لپاره پای چارټ
  4. د خورا مشهور لیدل شوي سایټونو چارټ
  5. د خورا خطرناک غوښتنلیکونو کارولو چارټ

د لید ارقامو رامینځته کولو لپاره ، تاسو اړتیا لرئ مینو ته لاړشئ لیدل، او هغه مطلوب شکل غوره کړئ چې موږ یې جوړول غواړو! راځئ چې په ترتیب سره لاړ شو.

د تیغ په واسطه د ټولو لوګو شمیر محاسبه کولو جدول

د دې کولو لپاره، یو انځور غوره کړئ د ډاټا میز، موږ د ګرافونو رامینځته کولو تجهیزاتو ته ننوځو ، په ښي خوا کې د ارقام تنظیمات دي ، په ښي خوا کې دا به په اوسني تنظیماتو کې څنګه ښکاري. لومړی ، زه به وښیم چې بشپړ شوی میز به څه ډول ښکاري ، له هغې وروسته به موږ تنظیماتو ته لاړ شو ، عکس د کلیک کولو وړ دی:

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

د انځور نور تفصيلي ترتیبات، انځور د کلک کولو وړ دی:

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

راځئ چې ترتیبات وګورو.

په پیل کې ترتیب شوی میټریک، دا هغه ارزښت دی چې له مخې به یې ټولې ساحې راټولې شي. میټریکونه د اسنادو څخه په یو ډول یا بل ډول استخراج شوي ارزښتونو پراساس محاسبه کیږي. ارزښتونه معمولا له دې څخه ایستل کیږي د کروندو سند، مګر د سکریپټونو په کارولو سره هم تولید کیدی شي. په دې حالت کې موږ داخل کړو راټولول: شمیرل (د لاګونو ټولټال شمیر).

له دې وروسته، موږ جدول په برخو (ساحو) ویشو چې له مخې به یې میټریک محاسبه شي. دا فعالیت د بالټ ترتیب لخوا ترسره کیږي، کوم چې په پایله کې د 2 ترتیباتو اختیارونو څخه جوړ دی:

  1. د قطارونو ویشل - د کالمونو اضافه کول او وروسته د میز په قطارونو ویشل
  2. د ویش میز - د یو ځانګړي ساحې د ارزښتونو پر بنسټ په څو جدولونو ویشل.

В بالټونه تاسو کولی شئ د څو کالمونو یا جدولونو جوړولو لپاره ډیری برخې اضافه کړئ، دلته محدودیتونه منطقي دي. په مجموعه کې، تاسو کولی شئ انتخاب کړئ چې کوم میتود به په برخو ویشلو لپاره وکارول شي: ipv4 حد، د نیټې حد، شرایط، او داسې نور. ترټولو زړه پورې انتخاب دقیقا دی اصطلاح ګاني и د پام وړ شرایط، په برخو ویشل د ځانګړي شاخص ساحې ارزښتونو سره سم ترسره کیږي ، د دوی ترمینځ توپیر د بیرته راستنیدونکو ارزښتونو شمیر او د دوی ښودلو کې دی. څرنګه چې موږ غواړو میز د بلیډونو په نوم وویشو، موږ ساحه غوره کوو - product.keyword и задаем размер в количестве 25 возвращаемых значений.

د تارونو پرځای ، elasticsearch د 2 ډیټا ډولونه کاروي - متن и د عمده کلماتو. که تاسو غواړئ د بشپړ متن لټون ترسره کړئ، تاسو باید د متن ډول وکاروئ، یو ډیر مناسب شی دی کله چې ستاسو د لټون خدمت لیکلو لپاره، د بیلګې په توګه، په ځانګړي ساحه ارزښت (متن) کې د یوې کلمې ذکر کول. که تاسو یوازې دقیق میچ غواړئ، تاسو باید د کلیمې ډول وکاروئ. همچنان ، د کلیدي کلمې ډیټا ډول باید د ساحو لپاره وکارول شي چې ترتیب یا راټولولو ته اړتیا لري ، دا زموږ په قضیه کې دی.

د پایلې په توګه، Elasticsearch د یو ټاکلي وخت لپاره د لاګونو شمیره شمیري، د محصول په ساحه کې د ارزښت له مخې راټول شوي. په ګمرک لیبل کې، موږ د کالم نوم ټاکلی چې په جدول کې به ښودل شي، هغه وخت وټاکو چې موږ یې لوګو راټولوو، رینډر کول پیل کوو - کیبانا د لچک لټون ته غوښتنه لیږي، د ځواب انتظار کوي او بیا ترلاسه شوي ډاټا لیدل کیږي. میز چمتو دی!

د ګواښ مخنیوي پیښو لپاره پای چارټ

د ځانګړې علاقې په اړه معلومات دي چې څومره عکس العملونه د فیصدي په توګه شتون لري کشف کول и مخنیوی وکړئ په اوسنۍ امنیتي پالیسۍ کې د معلوماتو امنیتي پیښو په اړه. یو پائی چارټ د دې وضعیت لپاره ښه کار کوي. په لید کې غوره کړئ - پای چارټ. همدارنګه په میټریک کې موږ د لاګونو شمیر سره راټولیږو. په بالټونو کې موږ شرایط => عمل واچوو.

هرڅه سم ښکاري، مګر پایله د ټولو بلیډونو لپاره ارزښتونه ښیې؛ تاسو اړتیا لرئ یوازې د هغه بلیډونو لخوا فلټر کړئ چې د ګواښ مخنیوي چوکاټ کې کار کوي. له همدې امله، موږ حتما دا تنظیم کوو چا. د معلوماتو لټون کولو لپاره یوازې په بلیډونو کې چې د معلوماتو امنیت پیښو لپاره مسؤل دي - محصول: ("Anti-Bot" یا "نوی انټي ویروس" یا "DDoS محافظت" یا "SmartDefense" یا "Treat Emulation"). انځور د کلک کولو وړ دی:

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

او نور تفصيلي ترتیبات، انځور د کلک کولو وړ دی:

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

د IPS پیښو جدول

بل، د معلوماتو د امنیت له نظره خورا مهم په تیغ کې د پیښو لیدل او چک کول دي. د IPS и د ګواښ تقلید، کوټ نه بلاک شوي اوسنۍ پالیسي، د دې لپاره چې وروسته یا د مخنیوي لپاره لاسلیک بدل کړي، یا که ټرافیک د اعتبار وړ وي، لاسلیک مه ګورئ. موږ جدول د لومړي مثال په څیر په ورته ډول رامینځته کوو ، یوازې توپیر سره چې موږ ډیری کالمونه رامینځته کوو: protects.keyword, severity.keyword, product.keyword, originsicname.keyword. ډاډ ترلاسه کړئ چې د معلوماتو لټون کولو لپاره یو فلټر ترتیب کړئ یوازې د معلوماتو امنیتي پیښو لپاره مسؤل بلیډونه - محصول: ("سمارټ دفاع" یا "د ګواښ ایمولیشن"). انځور د کلک کولو وړ دی:

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

نور تفصيلي ترتیبات، انځور د کلک کولو وړ دی:

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

د خورا مشهور لیدل شوي سایټونو لپاره چارټونه

د دې کولو لپاره، یو انځور جوړ کړئ - عمودی بار. موږ شمېرنه (Y محور) د میټریک په توګه هم کاروو، او په X محور کې به موږ د لیدل شوي سایټونو نوم د ارزښتونو په توګه وکاروو - "appi_name". دلته یو کوچنی چال شتون لري: که تاسو په اوسني نسخه کې تنظیمات پرمخ وړئ، نو ټول سایټونه به په چارټ کې د ورته رنګ سره نښه شي، د څو رنګونو د جوړولو لپاره موږ یو اضافي ترتیب کاروو - "سپلایټ لړۍ"، کوم چې تاسو ته اجازه درکوي چمتو شوي کالم په څو نورو ارزښتونو وویشئ، د کورس د ټاکل شوي ساحې پورې اړه لري! دا خورا ویش یا په سټک شوي حالت کې د ارزښتونو له مخې د یو څو رنګه کالم په توګه کارول کیدی شي ، یا په نورمال حالت کې د X محور کې د یو ځانګړي ارزښت سره سم څو کالمونه رامینځته کولو لپاره کارول کیدی شي ، پدې حالت کې ، موږ دلته کاروو. د ایکس محور په څیر ورته ارزښت، دا دا امکان ورکوي چې ټول کالمونه څو رنګه کړي؛ دوی به د رنګونو لخوا په پورتنۍ ښي خوا کې ښودل شي. په هغه فلټر کې چې موږ یې تنظیم کوو - محصول: "URL فلټر کول" د دې لپاره چې یوازې لیدل شوي سایټونو کې معلومات وګورئ، انځور د کلک کولو وړ دی:

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

ترتیبات:

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

د خورا خطرناک غوښتنلیکونو کارولو په اړه ډیاګرام

د دې کولو لپاره، یو شکل جوړ کړئ - عمودی بار. موږ شمېرنه (Y محور) هم د میټریک په توګه کاروو، او په X محور کې به موږ د کارول شوي غوښتنلیکونو نوم وکاروو - "appi_name" د ارزښتونو په توګه. ترټولو مهم د فلټر ترتیب دی - محصول: "د غوښتنلیک کنټرول" او ایپ_رسک: (4 یا 5 یا 3) او عمل: "مننه". موږ لاګونه د غوښتنلیک کنټرول بلیډ لخوا فلټر کوو ، یوازې هغه سایټونه اخلو چې د جدي ، لوړ ، متوسط ​​​​خطر سایټونو په توګه طبقه بندي شوي او یوازې هغه وخت چې دې سایټونو ته د لاسرسي اجازه وي. انځور د کلک کولو وړ دی:

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

ترتیبات، د کلیک کولو وړ:

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

ډشبورډ

د ډشبورډونو لیدل او جوړول په جلا مینو توکي کې دي - ډشبورډ. دلته هرڅه ساده دي ، یو نوی ډشبورډ رامینځته شوی ، لید پکې اضافه شوی ، په خپل ځای کې ایښودل شوی او بس!

موږ یو ډشبورډ رامینځته کوو چې تاسو کولی شئ په یوه اداره کې د معلوماتو امنیت حالت لومړني حالت پوه شئ ، البته یوازې د چیک پوائنټ په کچه ، عکس د کلیک کولو وړ دی:

3. لچک لرونکي سټیک: د امنیتي لاګونو تحلیل. ډشبورډونه

د دې ګرافونو پراساس، موږ پوهیږو چې کوم مهم لاسلیکونه په فایر وال کې نه دي بند شوي، کاروونکي چیرته ځي، او کوم خورا خطرناک غوښتنلیکونه کاروي.

پایلې

موږ په کبانا کې د بنسټیز لید وړتیاوو ته کتنه وکړه او یو ډشبورډ مو جوړ کړ، مګر دا یوازې یوه کوچنۍ برخه ده. نور په کورس کې به موږ په جلا توګه د نقشو تنظیم کولو، د elasticsearch سیسټم سره کار کولو، د API غوښتنو سره آشنا کیدو، اتوماتیک او نور ډیر څه وګورو!

نو ولاړ شهTelegram, فیسبوک, VK, د TS حل بلاګ), Yandex.Zen.

سرچینه: www.habr.com

Add a comment