ماسپښین ښه، په تیرو مقالو کې موږ د ELK سټیک کار سره آشنا شو. اوس راځئ د هغو امکاناتو په اړه بحث وکړو چې د دې سیسټمونو په کارولو کې د معلوماتو امنیت متخصص لخوا احساس کیدی شي. کوم لاګونه کولی شي او باید elasticsearch ته داخل شي. راځئ وګورو چې د ډشبورډونو په ترتیب کولو سره کومې احصایې ترلاسه کیدی شي او ایا پدې کې کومه ګټه شتون لري. تاسو څنګه کولی شئ د ELK سټیک په کارولو سره د معلوماتو امنیت پروسې اتومات پلي کړئ. راځئ چې د سیسټم جوړښت جوړ کړو. په مجموع کې، د ټولو فعالیت پلي کول خورا لوی او ستونزمن کار دی، نو حل ته یو جلا نوم ورکړل شوی - TS Total Sight.
اوس مهال، هغه حلونه چې په یو منطقي ځای کې د معلوماتو امنیتي پیښې پیاوړې او تحلیل کوي په چټکۍ سره شهرت ترلاسه کوي، په پایله کې، متخصص په سازمان کې د معلوماتو امنیت حالت ښه کولو لپاره احصایې او د عمل یو سرحد ترلاسه کوي. موږ دا دنده د ELK سټیک کارولو کې تنظیم کړه ، او په پایله کې موږ اصلي فعالیت په 4 برخو ویشلی:
- احصایې او لید؛
- د معلوماتو امنیتي پیښو کشف؛
- د پیښو لومړیتوب؛
- د معلوماتو د خوندیتوب پروسې اتومات کول.
بیا، موږ به په انفرادي توګه هر یو ته نږدې کتنه وکړو.
د معلوماتو امنیتي پیښو کشف
زموږ په قضیه کې د elasticsearch کارولو اصلي دنده یوازې د معلوماتو امنیتي پیښو راټولول دي. تاسو کولی شئ د معلوماتو امنیتي پیښې له هرې امنیتي وسیلې څخه راټول کړئ که چیرې دوی لږترلږه د لاګونو لیږلو ځینې طریقې ملاتړ وکړي ، معیاري یې فایل ته syslog یا scp خوندي کول دي.
تاسو کولی شئ د امنیتي وسیلو معیاري مثالونه او نور ډیر څه ورکړئ، له کوم ځای څخه چې تاسو باید د لاګونو لیږلو ترتیب کړئ:
- د NGFW هر ډول وسیلې (د چک نقطه، فورټینیټ)؛
- هر ډول زیان منونکي سکینرونه (PT سکینر، OpenVas)؛
- د ویب اپلیکیشن فایروال (PT AF)؛
- د نیټ فلو تحلیل کونکي (فلومون، سیسکو سټیل واچ)؛
- د AD سرور.
یوځل چې تاسو په Logstash کې د لاګونو لیږلو او ترتیب کولو فایلونو تنظیم کړئ، تاسو کولی شئ د مختلفو امنیتي وسیلو څخه د پیښو سره اړیکه ونیسئ او پرتله کړئ. د دې کولو لپاره، دا د شاخصونو کارول اسانه دي په کوم کې چې موږ به د یو ځانګړي وسیلې پورې اړوند ټولې پیښې ذخیره کړو. په بل عبارت، یو شاخص د یوې وسیلې ټولې پیښې دي. دا ویش په 2 طریقو کې پلي کیدی شي.
لومړی انتخاب دا د Logstash ترتیب تنظیم کول دي. د دې کولو لپاره، تاسو اړتیا لرئ چې د ځانګړو ساحو لپاره لاګ په جلا واحد کې د مختلف ډول سره نقل کړئ. او بیا په راتلونکي کې دا ډول وکاروئ. په مثال کې، لاګونه د چیک پوائنټ فائر وال د IPS بلیډ څخه کلون شوي دي.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
د دې لپاره چې دا ډول پیښې په جلا شاخص کې د لاګ ساحو پورې اړه ولري ، د مثال په توګه ، لکه د منزل IP برید لاسلیکونه. تاسو کولی شئ ورته جوړښت وکاروئ:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
او په دې توګه، تاسو کولی شئ ټولې پیښې په یوه شاخص کې وساتئ، د بیلګې په توګه، د IP پته، یا د ماشین ډومین نوم لخوا. په دې حالت کې، موږ دا په شاخص کې خوندي کوو "سمارټ دفاع-٪{dst}"، د لاسلیک ځای د IP پتې لخوا.
په هرصورت ، مختلف محصولات به مختلف لاګ ساحې ولري ، کوم چې به د ګډوډۍ او غیر ضروري حافظې مصرف لامل شي. او دلته به تاسو باید په احتیاط سره د Logstash config ترتیباتو کې ساحې د مخکې ډیزاین شوي سره ځای په ځای کړئ، کوم چې به د ټولو ډولونو پیښو لپاره یو شان وي، کوم چې یو ستونزمن کار دی.
د پلي کولو دوهم اختیار - دا یو سکریپټ یا پروسه لیکي چې په ریښتیني وخت کې لچک لرونکي ډیټابیس ته لاسرسی ومومي ، اړین پیښې راوباسي او په نوي شاخص کې یې خوندي کړي ، دا یو ستونزمن کار دی ، مګر دا تاسو ته اجازه درکوي د لاګ سره کار وکړئ لکه څنګه چې تاسو غواړئ ، او د نورو امنیتي تجهیزاتو پیښو سره مستقیم تړاو لري. دا اختیار تاسو ته اجازه درکوي د لاګونو سره کار تنظیم کړئ ترڅو ستاسو د قضیې لپاره د اعظمي انعطاف سره خورا ګټور وي ، مګر دلته ستونزه د یو متخصص په موندلو کې رامینځته کیږي چې کولی شي دا پلي کړي.
او البته، تر ټولو مهمه پوښتنه، او څه شی سره تړاو او کشف کیدی شي؟?
دلته ممکن ډیری اختیارونه وي، او دا پدې پورې اړه لري چې ستاسو په زیربنا کې کوم امنیتي وسیلې کارول کیږي، یو څو مثالونه:
- خورا څرګند او زما له نظره ، د هغو کسانو لپاره خورا په زړه پوری انتخاب چې د NGFW حل او د زیان مننې سکینر لري. دا د IPS لاګونو او د زیان مننې سکین پایلو پرتله کول دي. که چیرې برید د IPS سیسټم لخوا کشف شوی (بند شوی نه وي) ، او دا زیان د سکین کولو پایلو پراساس په پای ماشین کې نه دی تړل شوی ، نو اړینه ده چې ویسل ولګول شي ، ځکه چې ډیر احتمال شتون لري چې زیان منونکي ګټه پورته شوې وي. .
- د یو ماشین څخه مختلف ځایونو ته د ننوتلو ډیری هڅې ممکن د ناوړه فعالیت سمبول وي.
- کارونکي د احتمالي خطرناک سایټونو لوی شمیر لیدو له امله د ویروس فایلونو ډاونلوډ کوي.
احصایې او لید
ترټولو څرګند او د پوهیدو وړ شی د کوم لپاره چې د ELK سټیک ته اړتیا ده د لاګونو ذخیره کول او لید دی ، دا وښودل شوه چې تاسو څنګه کولی شئ د Logstash په کارولو سره د مختلفو وسیلو څخه لاګ جوړ کړئ. وروسته له دې چې لاګونه Elasticsearch ته لاړ شي، تاسو کولی شئ ډشبورډونه تنظیم کړئ، کوم چې هم یادونه شوې د هغه معلوماتو او احصایو سره چې تاسو د لید له لارې ورته اړتیا لرئ.
مثالونه:
- د خورا مهم پیښو سره د ګواښ مخنیوي پیښو لپاره ډشبورډ. دلته تاسو منعکس کولی شئ چې کوم IPS لاسلیکونه کشف شوي او له کوم ځای څخه په جغرافیه کې راځي.
- د خورا مهم غوښتنلیکونو کارولو په اړه ډشبورډ چې معلومات یې لیک کیدی شي.
- د هر امنیت سکینر څخه سکین پایلې.
- د کارونکي لخوا د فعال لارښود لاګ.
- د VPN پیوستون ډشبورډ.
پدې حالت کې ، که تاسو ډشبورډونه په هرو څو ثانیو کې تازه کولو لپاره تنظیم کړئ ، تاسو کولی شئ په ریښتیني وخت کې د پیښو نظارت لپاره کافي مناسب سیسټم ترلاسه کړئ ، کوم چې بیا د معلوماتو امنیت پیښو ته ژر تر ژره ځواب ویلو لپاره کارول کیدی شي که تاسو ډشبورډونه ځای په ځای کړئ. جلا پرده.
د پیښو لومړیتوب
د لویو زیربناوو په شرایطو کې، د پیښو شمیر ممکن د اندازې څخه تیر شي، او متخصصین به وخت ونه لري چې د ټولو پیښو سره په وخت سره معامله وکړي. په دې حالت کې، دا اړینه ده چې لومړی یوازې هغه پیښې په ګوته کړو چې لوی ګواښ رامنځته کوي. له همدې امله، سیسټم باید ستاسو د زیربنا پورې اړوند پیښو ته د دوی د شدت پراساس لومړیتوب ورکړي. دا مشوره ورکول کیږي چې د دې پیښو لپاره د بریښنالیک یا ټیلیګرام خبرتیا ترتیب کړئ. لومړیتوب ورکول د معیاري کیبانا وسیلو په کارولو سره د لید ترتیب کولو سره پلي کیدی شي. مګر د خبرتیاو سره دا خورا ستونزمن دی؛ په ډیفالټ سره ، دا فعالیت د Elasticsearch په لومړني نسخه کې شامل ندي ، یوازې په تادیه شوي نسخه کې. له همدې امله ، یا تادیه شوې نسخه واخلئ ، یا بیا پخپله پروسه ولیکئ چې متخصصینو ته به په ریښتیني وخت کې د بریښنالیک یا ټیلیګرام له لارې خبر کړي.
د معلوماتو د خوندیتوب پروسې اتومات کول
او یو له خورا زړه پورې برخو څخه د معلوماتو امنیت پیښو لپاره د عمل اتومات کول دي. مخکې، موږ دا فعالیت د Splunk لپاره پلي کړی، تاسو کولی شئ پدې کې یو څه نور ولولئ . اصلي نظر دا دی چې د IPS پالیسي هیڅکله نه ازمول کیږي یا نه اصلاح کیږي، که څه هم په ځینو مواردو کې دا د معلوماتو امنیت پروسو یوه مهمه برخه ده. د مثال په توګه، د NGFW پلي کولو یو کال وروسته او د IPS اصلاح کولو لپاره د عملونو نشتوالی، تاسو به د کشف عمل سره لوی شمیر لاسلیکونه راټول کړئ، کوم چې به بند نشي، کوم چې په سازمان کې د معلوماتو امنیت حالت خورا کموي. لاندې د هغه څه مثالونه دي چې اتومات کیدی شي:
- له کشف څخه مخنیوي ته د IPS لاسلیک لیږد. که مخنیوی د جدي لاسلیکونو لپاره کار نه کوي، نو دا د نظم څخه بهر او د محافظت سیسټم کې جدي تشه ده. موږ په پالیسي کې عمل په داسې لاسلیکونو بدلوو. دا فعالیت پلي کیدی شي که چیرې د NGFW وسیله د REST API فعالیت ولري. دا یوازې ممکنه ده که تاسو د برنامه کولو مهارتونه ولرئ؛ تاسو اړتیا لرئ د Elastcisearch څخه اړین معلومات راوباسئ او د NGFW مدیریت سرور ته د API غوښتنې وکړئ.
- که چیرې د یوې IP پتې څخه د شبکې ترافیک کې ډیری لاسلیکونه کشف یا بلاک شوي وي ، نو دا د فایر وال پالیسي کې د یو څه مودې لپاره د دې IP پتې بندول معنی لري. تطبیق هم د REST API کارولو څخه جوړ دی.
- د زیان مننې سکینر سره د کوربه سکین چل کړئ، که چیرې دا کوربه د IPS لاسلیک یا نور امنیتي وسیلې ولري؛ که دا OpenVas وي، نو تاسو کولی شئ یو سکریپټ ولیکئ چې د ssh له لارې به د امنیت سکینر سره وصل شي او سکین پرمخ بوځي.
TS ټول لید
په مجموع کې، د ټولو فعالیت پلي کول خورا لوی او ستونزمن کار دی. د برنامه کولو مهارتونو پرته ، تاسو کولی شئ لږترلږه فعالیت تنظیم کړئ ، کوم چې ممکن په تولید کې د کارولو لپاره کافي وي. مګر که تاسو د ټولو فعالیت سره علاقه لرئ، تاسو کولی شئ د TS ټول لید ته پاملرنه وکړئ. تاسو کولی شئ زموږ په اړه نور معلومات ومومئ . د پایلې په توګه، د عملیاتو ټول سکیم او جوړښت به داسې ښکاري:
پایلې
موږ وګورو چې د ELK سټیک په کارولو سره څه پلي کیدی شي. په راتلونکو مقالو کې، موږ به په جلا توګه د TS Total Sight فعالیت په تفصیل سره په پام کې ونیسو!
نو ولاړ شه, , , ), .
سرچینه: www.habr.com