Nos artigos anteriores, nos familiarizamos um pouco com a pilha elk e com a configuração do arquivo de configuração Logstash para o analisador de log. Neste artigo, passaremos para a coisa mais importante do ponto de vista analítico, o que você deseja ver no sistema e para que tudo foi criado - são gráficos e tabelas combinados em painéis. Hoje vamos dar uma olhada mais de perto no sistema de visualização Kibana, veremos como criar gráficos e tabelas e, como resultado, construiremos um painel simples baseado em logs do firewall Check Point.
O primeiro passo para trabalhar com o kibana é criar padrão de índice, logicamente, esta é uma base de índices unidos segundo um determinado princípio. Claro, isso é apenas uma configuração para fazer com que o Kibana pesquise informações de maneira mais conveniente em todos os índices ao mesmo tempo. É definido combinando uma string, digamos “checkpoint-*” e o nome do índice. Por exemplo, “checkpoint-2019.12.05” se encaixaria no padrão, mas simplesmente “checkpoint” não existe mais. Vale ressaltar separadamente que na busca é impossível buscar informações sobre diferentes padrões de índice ao mesmo tempo; um pouco mais adiante em artigos subsequentes veremos que as solicitações da API são feitas pelo nome do índice, ou apenas por um linha do padrão, a imagem é clicável:
Depois disso, verificamos no menu Discover se todos os logs estão indexados e o analisador correto está configurado. Se alguma inconsistência for encontrada, por exemplo, alterando o tipo de dados de uma string para um número inteiro, você precisará editar o arquivo de configuração do Logstash, como resultado, novos logs serão gravados corretamente. Para que os logs antigos assumam a forma desejada antes da alteração, apenas o processo de reindexação ajuda, nos artigos subsequentes esta operação será discutida com mais detalhes. Vamos nos certificar de que tudo está em ordem, a imagem é clicável:
Os logs estão prontos, o que significa que podemos começar a construir painéis. Com base na análise de painéis de produtos de segurança, você pode compreender o estado da segurança da informação em uma organização, ver claramente as vulnerabilidades na política atual e, posteriormente, desenvolver maneiras de eliminá-las. Vamos construir um pequeno dashboard usando diversas ferramentas de visualização. O painel consistirá em 5 componentes:
- tabela para cálculo do número total de toras por lâminas
- tabela sobre assinaturas IPS críticas
- gráfico de pizza para eventos de prevenção contra ameaças
- gráfico dos sites visitados mais populares
- gráfico sobre o uso dos aplicativos mais perigosos
Para criar figuras de visualização, você precisa ir ao menu Visualizare selecione a figura desejada que queremos construir! Vamos em ordem.
Tabela para cálculo do número total de toras por lâmina
Para fazer isso, selecione uma figura Tabela de dados, entramos no equipamento para criação de gráficos, à esquerda estão as configurações da figura, à direita está como ficará nas configurações atuais. Primeiro vou demonstrar como ficará a mesa finalizada, depois passaremos pelas configurações, a imagem é clicável:
Configurações mais detalhadas da figura, a imagem é clicável:
Vejamos as configurações.
Configurado inicialmente Métricas, este é o valor pelo qual todos os campos serão agregados. As métricas são calculadas com base em valores extraídos de uma forma ou de outra dos documentos. Os valores geralmente são extraídos de campos documento, mas também pode ser gerado usando scripts. Neste caso colocamos Agregação: Contagem (número total de registros).
Depois disso, dividimos a tabela em segmentos (campos) pelos quais a métrica será calculada. Esta função é realizada pela configuração Buckets, que por sua vez consiste em 2 opções de configurações:
- dividir linhas - adicionar colunas e posteriormente dividir a tabela em linhas
- tabela dividida - divisão em várias tabelas com base nos valores de um campo específico.
В baldes você pode adicionar várias divisões para criar várias colunas ou tabelas; as restrições aqui são bastante lógicas. Na agregação, você pode escolher qual método será usado para dividir em segmentos: intervalo ipv4, intervalo de datas, Termos, etc. A escolha mais interessante é justamente Condições и Termos Significativos, a divisão em segmentos é feita de acordo com os valores de um determinado campo de índice, a diferença entre eles está na quantidade de valores retornados e na sua exibição. Como queremos dividir a tabela pelo nome das lâminas, selecionamos o campo - Palavra-chave do produto e defina o tamanho para 25 valores retornados.
Em vez de strings, o elasticsearch usa 2 tipos de dados - texto и palavra chave. Se você deseja realizar uma pesquisa de texto completo, deve utilizar o tipo de texto, algo muito conveniente ao escrever seu serviço de pesquisa, por exemplo, procurando a menção de uma palavra em um valor específico de campo (texto). Se você deseja apenas uma correspondência exata, deve usar o tipo de palavra-chave. Além disso, o tipo de dados palavra-chave deve ser usado para campos que requerem classificação ou agregação, ou seja, no nosso caso.
Como resultado, o Elasticsearch conta o número de logs de um determinado tempo, agregado pelo valor no campo do produto. No Custom Label, definimos o nome da coluna que será exibida na tabela, definimos o tempo de coleta dos logs, iniciamos a renderização - o Kibana envia uma solicitação ao elasticsearch, aguarda uma resposta e depois visualiza os dados recebidos. A mesa está pronta!
Gráfico de pizza para eventos de Prevenção contra ameaças
De particular interesse é a informação sobre quantas reações existem em percentagem descobrir и evitar sobre incidentes de segurança da informação na política de segurança atual. Um gráfico de pizza funciona bem para esta situação. Selecione em Visualizar - Quadro de torta. Também na métrica definimos agregação pelo número de logs. Nos baldes colocamos Termos => ação.
Tudo parece estar correto, mas o resultado mostra valores para todos os blades, você precisa filtrar apenas pelos blades que funcionam no âmbito da Prevenção de Ameaças. Portanto, nós definitivamente configuramos filtrar com o objetivo de buscar informações apenas sobre blades responsáveis por incidentes de segurança da informação - produto: (“Anti-Bot” OU “Novo Antivírus” OU “Protetor DDoS” OU “SmartDefense” OU “Emulação de Ameaças”). A imagem é clicável:
E configurações mais detalhadas, a imagem é clicável:
Tabela de eventos IPS
Em seguida, muito importante do ponto de vista da segurança da informação é visualizar e verificar eventos no blade. IPS и Emulação de ameaçaQue não estão bloqueados política atual, para posteriormente alterar a assinatura para evitar ou, se o tráfego for válido, não verifique a assinatura. Criamos a tabela da mesma forma que no primeiro exemplo, com a única diferença de que criamos várias colunas: proteções.keyword, gravidade.keyword, produto.keyword, originsicname.keyword. Não deixe de configurar um filtro para buscar informações apenas sobre blades responsáveis por incidentes de segurança da informação – produto: (“SmartDefense” OU “Threat Emulation”). A imagem é clicável:
Configurações mais detalhadas, a imagem é clicável:
Gráficos dos sites visitados mais populares
Para fazer isso, crie uma figura - Barra vertical. Também usamos a contagem (eixo Y) como métrica, e no eixo X usaremos como valores o nome dos sites visitados – “appi_name”. Há um pequeno truque aqui: se você executar as configurações na versão atual, todos os sites serão marcados no gráfico com a mesma cor, para torná-los multicoloridos usamos uma configuração adicional - “split series”, que permite dividir uma coluna pronta em vários outros valores, dependendo do campo selecionado, é claro! Esta mesma divisão pode ser usada como uma coluna multicolorida de acordo com os valores no modo empilhado, ou no modo normal para criar várias colunas de acordo com um determinado valor no eixo X. Neste caso, usamos aqui o mesmo valor do eixo X, isto permite tornar todas as colunas multicoloridas; elas serão indicadas por cores no canto superior direito. No filtro que definimos - produto: “Filtragem de URL” para ver informações apenas dos sites visitados, a imagem é clicável:
Configurações:
Diagrama sobre o uso dos aplicativos mais perigosos
Para fazer isso, crie uma figura - Barra Vertical. Também utilizamos a contagem (eixo Y) como métrica, e no eixo X usaremos o nome dos aplicativos utilizados - “appi_name” como valores. O mais importante é a configuração do filtro - produto: “Controle de aplicativos” AND app_risk: (4 OU 5 OU 3) E ação: “aceitar”. Filtramos os logs pela folha de controle do Aplicativo, considerando apenas os sites categorizados como sites de risco Crítico, Alto e Médio e somente se o acesso a esses sites for permitido. A imagem é clicável:
Configurações, clicáveis:
Painel
A visualização e a criação de painéis estão em um item de menu separado - Painel. Tudo é simples aqui, um novo dashboard é criado, uma visualização é adicionada a ele, colocada em seu lugar e pronto!
Estamos criando um dashboard pelo qual você pode entender a situação básica do estado da segurança da informação em uma organização, claro, apenas no nível do Check Point, a imagem é clicável:
Com base nesses gráficos, podemos entender quais assinaturas críticas não estão bloqueadas no firewall, para onde os usuários vão e quais aplicativos mais perigosos eles utilizam.
Conclusão
Analisamos os recursos de visualização básica no Kibana e construímos um painel, mas isso é apenas uma pequena parte. Mais adiante no curso, veremos separadamente como configurar mapas, trabalhar com o sistema elasticsearch, familiarizar-se com solicitações de API, automação e muito mais!
Então fique ligado (, , , ), .
Fonte: habr.com