زموږ د سایبر دفاع مرکز د پیرودونکي ویب زیربنا امنیت مسؤلیت لري او د پیرودونکي سایټونو بریدونه له مینځه وړي. د بریدونو په وړاندې د ساتنې لپاره، موږ د FortiWeb ویب اپلیکیشن فایر وال (WAFs) کاروو. مګر حتی تر ټولو ښه WAF درملنه نه ده او د هدفي بریدونو څخه "د بکس څخه بهر" نه ساتي.
له همدې امله، د WAF سربیره، موږ کاروو . دا په یو ځای کې د ټولو پیښو راټولولو کې مرسته کوي، احصایې راټولوي، لیدل یې کوي او موږ ته اجازه راکوي چې په وخت کې هدفي برید وګورو.
نن زه به تاسو ته په تفصیل سره ووایم چې څنګه موږ د WAF سره د کرسمس ونې څخه تیر شو او څه یې ترلاسه کړل.
د یو برید کیسه: څنګه هر څه ELK ته د بدلولو دمخه کار کاوه
زموږ په بادل کې، پیرودونکي زموږ د WAF شاته غوښتنلیک ځای په ځای کړی دی. هره ورځ له 10 څخه تر 000 کاروونکو پورې سایټ سره وصل شوي، د اړیکو شمیر هره ورځ 100 ملیون ته رسیدلی. له دې څخه، 000-20 کاروونکي مداخله کونکي وو او هڅه یې کوله چې سایټ هیک کړي.
د یو IP پتې څخه معمول شکل وحشي ځواک د FortiWeb لخوا په اسانۍ سره بند شوی و. په یوه دقیقه کې سایټ ته د مارانو شمیر د مشروع کاروونکو په پرتله لوړ و. موږ په ساده ډول د یو ادرس څخه د فعالیت حدونه تنظیم کړل او برید مو په شا کړ.
د "ورو بریدونو" سره معامله کول خورا ستونزمن کار دی، کله چې برید کونکي ورو عمل کوي او ځان د عادي پیرودونکو په څیر بدلوي. دوی ډیری ځانګړي IP پتې کاروي. دا ډول فعالیت WAF ته د لوی وحشي ځواک په څیر نه ښکاري، دا په اتوماتيک ډول تعقیب کول خورا ستونزمن وو. او د عادي کاروونکو د بندولو خطر هم شتون درلود. موږ د برید نورو نښو په لټه کې یو او د دې نښې پراساس د IP پتې په اتوماتيک ډول بندولو لپاره پالیسي جوړه کړه. د مثال په توګه، ډیری غیرقانوني ناستې د http غوښتنې سرلیکونو کې عام ساحې درلودې. تاسو ډیری وختونه باید د FortiWeb پیښې لاګونو کې په لاسي ډول دا ډول ساحې وپلټئ.
دا اوږده او نا آرامه شوه. د FortiWeb معیاري فعالیت کې، پیښې په متن کې په 3 مختلف لاګونو کې ثبت شوي: کشف شوي بریدونه، د غوښتنو په اړه معلومات، او د WAF عملیاتو په اړه د سیسټم پیغامونه. په لسګونو یا حتی په سلګونو برید پیښې په یوه دقیقه کې راځي.
دومره نه، مګر تاسو باید په لاسي ډول د څو لاګونو له لارې پورته شئ او په ډیری لینونو کې تکرار کړئ:
د برید په لاګ کې، موږ د کارونکي پتې او د فعالیت طبیعت ګورو.
دا کافي ندي چې په ساده ډول د لاګ میز سکین کړئ. د برید د نوعیت په اړه خورا په زړه پوري او ګټور موندلو لپاره ، تاسو اړتیا لرئ د یوې ځانګړې پیښې دننه وګورئ:
روښانه شوي ساحې د "ورو برید" په موندلو کې مرسته کوي. سرچینه: د سکرین شاټ څخه .
ښه، اصلي ستونزه دا ده چې یوازې د FortiWeb متخصص کولی شي دا معلومه کړي. که چیرې د سوداګرۍ ساعتونو په جریان کې موږ لاهم په ریښتیني وخت کې شکمن فعالیت تعقیب کړو ، نو د شپې د پیښو تفتیش ځنډول کیدی شي. کله چې د FortiWeb تګلارې د کوم دلیل لپاره کار نه کاوه، د شپې شفټ انجنیرانو په دنده کې WAF ته د لاسرسي پرته وضعیت ارزولی نه شو او د FortiWeb متخصص یې راویښ کړ. موږ د څو ساعتونو لپاره د لوګو له لارې وکتل او د برید دقیقه مو وموندله.
د دې ډول معلوماتو سره، دا ستونزمنه ده چې لوی انځور په یو نظر پوه شي او په فعاله توګه عمل وکړي. بیا موږ پریکړه وکړه چې په یو ځای کې معلومات راټول کړو ترڅو هر څه په بصری بڼه تحلیل کړو، د برید پیل ومومئ، د هغې سمت او د بندولو طریقه وپیژنو.
تاسو له کوم څخه غوره کړی
له هرڅه دمخه ، موږ دمخه کارول شوي حلونو ته ګورو ، ترڅو په غیر ضروري ډول ادارې ضرب نه کړو.
یو له لومړیو انتخابونو څخه و نګیاسکوم چې موږ د څارنې لپاره کاروو , ، بیړني خبرتیاوې. امنیتي ساتونکي هم دا کاروي ترڅو د مشکوک ترافیک په صورت کې حاضرینو ته خبر ورکړي، مګر دا نه پوهیږي چې څنګه ویشل شوي لاګونه راټول کړي او له همدې امله ورک کیږي.
د هر څه سره د راټولولو لپاره یو اختیار شتون درلود MySQL او PostgreSQL یا بل اړوند ډیټابیس. مګر د معلوماتو د ایستلو لپاره، دا اړینه وه چې ستاسو غوښتنلیک مجسم کړئ.
زموږ په شرکت کې د لاګ راټولونکي په توګه دوی هم کاروي FortiAnalyzer د Fortinet څخه. مګر په دې حالت کې، هغه هم مناسب نه و. لومړی، دا د اور وژونکي سره کار کولو لپاره خورا ګړندی دی فورټ گیټ. دوهم، ډیری ترتیبات ورک شوي، او د دې سره تعامل د SQL پوښتنو غوره پوهه ته اړتیا لري. او دریم، د دې کارول به د پیرودونکي لپاره د خدماتو لګښت زیات کړي.
دا څنګه موږ په مخ کې خلاصې سرچینې ته راغلو ELK.
ولې ELK غوره کړئ
ELK د خلاصې سرچینې برنامو سیټ دی:
- الیسټسیکټ - د وخت لړۍ ډیټابیس چې یوازې د لوی متنونو سره کار کولو لپاره رامینځته شوی؛
- لوټسټش - د معلوماتو راټولولو میکانیزم چې کولی شي لاګونه مطلوب شکل ته واړوي؛
- کببا - یو ښه لیدونکی ، په بیله بیا د Elasticsearch اداره کولو لپاره کافي دوستانه انٹرفیس. تاسو کولی شئ دا د مهال ویش جوړولو لپاره وکاروئ چې د شپې د دندې انجینرانو لخوا نظارت کیدی شي.
د ELK لپاره د ننوتلو حد ټیټ دی. ټول اساسي ځانګړتیاوې وړیا دي. د خوښۍ لپاره نور څه ته اړتیا ده.
تاسو دا ټول په یو سیسټم کې څنګه یوځای کړل؟
شاخصونه جوړ کړل او یوازې اړین معلومات یې پریښودل. موږ ټول درې FortiWEB لاګونه په ELK کې بار کړل - محصول شاخصونه و. دا د یوې مودې لپاره د ټولو راټول شویو لاګونو سره فایلونه دي، د بیلګې په توګه، یوه ورځ. که موږ دوی سمدلاسه لیدو نو موږ به یوازې د بریدونو متحرکات وګورو. د جزیاتو لپاره، تاسو اړتیا لرئ چې په هر برید کې "وروسته" او ځانګړي ساحې وګورئ.
موږ پوه شو چې لومړی موږ اړتیا لرو چې د غیر منظم معلوماتو تحلیل تنظیم کړو. موږ اوږدې ساحې د تارونو په توګه واخیستې، لکه "پیغام" او "URL"، او د پریکړې کولو لپاره د نورو معلوماتو ترلاسه کولو لپاره یې تحلیل کړل.
د مثال په توګه، د پارس کولو په کارولو سره، موږ د کارونکي موقعیت په جلا توګه واخیست. دا د روسیې کاروونکو لپاره په سایټونو کې د بهر څخه د بریدونو په چټکتیا کې مرسته وکړه. د نورو هیوادونو سره د ټولو اړیکو په بندولو سره، موږ د بریدونو شمیر 2 ځله کم کړی او کولی شو په اسانۍ سره په روسیه کې دننه بریدونو سره معامله وکړو.
د تجزیه کولو وروسته، دوی د دې په لټه کې دي چې کوم معلومات ذخیره او لیدل کیږي. په لاګ کې د هرڅه پریښودل نامناسب و: د یو شاخص اندازه لویه وه - 7 GB. ELK د فایل پروسس کولو لپاره ډیر وخت واخیست. په هرصورت، ټول معلومات ګټور نه وو. یو څه نقل شوی و او اضافي ځای یې نیولی و - د اصلاح کولو لپاره اړین و.
په لومړي سر کې، موږ په ساده ډول د شاخص له لارې ولیدل او غیر ضروري پیښې یې لیرې کړې. دا پخپله په FortiWeb کې د لاګونو سره کار کولو څخه حتی ډیر ناامنه او اوږد و. پدې مرحله کې د "کرسمس ونې" څخه یوازینۍ پلس دا دی چې موږ وکولی شو په یوه سکرین کې د لوی وخت لید لیدو.
موږ نا امید نه شو، موږ د کیکټس خوړلو او د ELK مطالعې ته دوام ورکړ او باور یې درلود چې موږ به وکولی شو اړین معلومات راوباسي. د شاخصونو پاکولو وروسته، موږ لیدل پیل کړل چې څه دي. نو موږ لوی ډشبورډونو ته راغلو. موږ ویجټونه پوک کړل - په لید او ښکلي ډول ، یو ریښتینی ЁLKa!
د برید دقیقه وخت ونیول شو. اوس دا اړینه وه چې پوه شو چې د برید پیل په چارټ کې څنګه ښکاري. د دې د موندلو لپاره، موږ کارونکي ته د سرور ځوابونه (د بیرته راستنیدو کوډونه) ته وکتل. موږ د ورته کوډونو (rc) سره د سرور ځوابونو سره علاقه درلوده:
کوډ (rc)
سرلیک
شرح
0
ډراپ
سرور ته غوښتنه بنده شوې ده
200
Ok
غوښتنه په بریالیتوب سره پروسس شوه
400
ناسمه غوښتنه
ناوړه غوښتنه
403
منع شوی
جواز رد شو
500
داخلي سرور تېروتنه
خدمت شتون نلري
که څوک په سایټ برید پیل کړي، د کوډونو تناسب بدل شوی:
- که چیرې د کوډ 400 سره ډیرې غلطې غوښتنې وې ، او د کوډ 200 سره ورته نورمال غوښتنې هم وې ، نو یو څوک هڅه کوي سایټ هیک کړي.
- که، په ورته وخت کې، د کوډ 0 سره غوښتنې هم وده ومومي، بیا د FortiWeb سیاستوالو هم دا برید "ولید" او بلاکونه یې پلي کړل.
- که چیرې د کوډ 500 سره د پیغامونو شمیر ډیر شي ، نو بیا سایټ د دې IP پتې لپاره شتون نلري - یو ډول بلاک کول هم.
په دریمه میاشت کې، موږ د دې فعالیت د تعقیب لپاره یو ډشبورډ جوړ کړی و.
د دې لپاره چې هرڅه په لاسي ډول وڅیړئ، موږ د ناګیوس سره ادغام تنظیم کړ، کوم چې په ځینو وقفو کې ELK رایه ورکړه. که چیرې دا د کوډونو په واسطه د حد ارزښتونو لاسته راوړنې ثبت کړي، نو دا د شکمن فعالیت په اړه د دندې افسرانو ته خبرتیا لیږلې.
د څارنې په سیسټم کې د 4 چارټونو ګډ. اوس دا مهمه وه چې په ګرافونو کې هغه شیبه وګورو کله چې برید بند شوی نه وي او د انجینر مداخلې ته اړتیا وي. په 4 مختلف ګرافونو کې، زموږ سترګې تیاره شوې. له همدې امله، موږ چارټونه یوځای کړل او په یوه سکرین کې هر څه لیدل پیل کړل.
په نظارت کې، موږ ولیدل چې څنګه د مختلف رنګونو ګرافونه بدلیږي. د سور رنګ څرګندول چې برید پیل شوی و، پداسې حال کې چې نارنجي او نیلي ګرافونو د FortiWeb غبرګون ښودلی:
دلته هرڅه سم دي: د "سرخ" فعالیت ډیروالی شتون درلود ، مګر فورټی ویب کاپي کړه او د برید مهالویش بې ګټې شو.
موږ د ځان لپاره د ګراف یوه بیلګه هم جوړه کړه چې مداخلې ته اړتیا لري:
دلته موږ لیدلی شو چې FortiWeb فعالیت ډیر کړی، مګر د سور برید ګراف کم شوی نه دی. تاسو اړتیا لرئ د WAF تنظیمات بدل کړئ.
د شپې د پېښو څېړنه هم اسانه شوې ده. ګراف سمدلاسه هغه شیبه ښیې کله چې د سایټ دفاع ته د رسیدو وخت وي.
دا هغه څه دي چې کله ناکله په شپه کې پیښیږي. سور ګراف - برید پیل شوی. نیلي - د FortiWeb فعالیت. برید په بشپړه توګه نه و بند شوی، موږ باید مداخله وکړو.
موږ چیرته ځو
اوس موږ د وظیفې مدیرانو ته روزنه ورکوو چې د ELK سره کار وکړي. حاضرین په ډشبورډ کې د وضعیت ارزونه زده کوي او پریکړه کوي: دا وخت دی چې د FortiWeb متخصص ته ورشئ، یا د WAF پالیسۍ به په اتوماتيک ډول د برید مخنیوی لپاره کافي وي. نو موږ د شپې د معلوماتو امنیت انجینرانو بار کم کوو او د سیسټم په کچه د ملاتړ رولونه ویشو. FortiWeb ته لاسرسی یوازې د سایبر دفاع مرکز سره پاتې دی، او یوازې دوی د WAF ترتیباتو کې بدلون راولي کله چې بیړنۍ اړتیا وي.
موږ د پیرودونکو لپاره راپور ورکولو باندې هم کار کوو. موږ پلان لرو چې د WAF د کار متحرکاتو په اړه معلومات به د پیرودونکي شخصي حساب کې شتون ولري. ELK به وضعیت روښانه کړي پرته لدې چې پخپله WAF ته راجع شي.
که پیرودونکی غواړي په ریښتیني وخت کې د دوی خپل محافظت وڅاري ، ELK به هم په کار وي. موږ نشو کولی WAF ته لاسرسۍ ورکړو، ځکه چې په کار کې د پیرودونکي مداخله ممکن په پاتې برخه اغیزه وکړي. مګر تاسو کولی شئ یو جلا ELK واخلئ او "شاوخوا لوبې" ته یې ورکړئ.
دا د کرسمس ونې کارولو لپاره سناریوګانې دي چې موږ پدې وروستیو کې راټول کړي دي. په دې اړه خپل نظرونه شریک کړئ او مه هېروئ د ډیټابیس لیک څخه مخنیوي لپاره.
سرچینه: www.habr.com