پرو هوسٽر > بلاگ > انتظاميه > 3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

پوئين مضمونن ۾، اسان ايلڪ اسٽيڪ سان ٿورڙي واقف ٿي چڪا آهيون ۽ لاگ پارسر لاءِ Logstash configuration فائل کي ترتيب ڏيو. هن آرٽيڪل ۾، اسان تجزياتي نقطي نظر کان سڀ کان اهم شيء تي اڳتي وڌنداسين، جيڪو توهان چاهيو ٿا. سسٽم مان ڏسو ۽ سڀ ڪجهه ڇا لاءِ ٺاهيو ويو هو - اهي گرافس ۽ جدولن ۾ گڏيل آهن ڊيش بورڊ. اڄ اسان ويجهڙائي واري نظام تي هڪ نظر وجهنداسين ڪبيانا، اسان ڏسنداسين ته گراف ۽ ٽيبل ڪيئن ٺاهيا وڃن، ۽ نتيجي طور اسان چيڪ پوائنٽ فائر وال جي لاگن جي بنياد تي هڪ سادي ڊيش بورڊ ٺاهينداسين.

ڪبن سان ڪم ڪرڻ ۾ پهريون قدم ٺاهڻ آهي انڊيڪس نمونيمنطقي طور تي، هي هڪ خاص اصول جي مطابق گڏيل انڊيڪس جو بنياد آهي. يقينن، هي خالص طور تي هڪ سيٽنگ آهي Kibana کي وڌيڪ آساني سان معلومات جي ڳولا لاء سڀني انڊيڪس ۾ ساڳئي وقت. اهو هڪ اسٽرنگ جي ميلاپ سان مقرر ڪيو ويو آهي، چئو "چيڪ پوائنٽ-*" ۽ انڊيڪس جو نالو. مثال طور، ”چيڪ پوائنٽ-2019.12.05“ ان نموني سان ٺهندو، پر بس ”چڪ پوائنٽ“ هاڻي موجود ناهي. اهو الڳ طور تي ذڪر ڪرڻ جي قابل آهي ته ڳولا ۾ اهو ناممڪن آهي ته مختلف انڊيڪس جي نمونن تي معلومات ڳولڻ لاء هڪ ئي وقت؛ ٿوري دير کان پوء ايندڙ مضمونن ۾ اسان ڏسنداسين ته API درخواستون يا ته انڊيڪس جي نالي سان، يا صرف هڪ طرفان ڪيون ويون آهن. نموني جي لائن، تصوير ڪلڪ ڪري سگهجي ٿي:

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

ان کان پوء، اسان دريافت مينيو ۾ چيڪ ڪيو ته سڀئي لاگ انڊيڪس ٿيل آهن ۽ صحيح پارسر ترتيب ڏنل آهي. جيڪڏهن ڪا به تضاد ملي ٿي، مثال طور، ڊيٽا جي قسم کي اسٽرنگ کان انٽيجر ۾ تبديل ڪرڻ لاءِ، توهان کي Logstash configuration فائل کي ايڊٽ ڪرڻ جي ضرورت آهي، نتيجي طور، نوان لاگ صحيح لکندا. پراڻن لاگن کي تبديل ڪرڻ کان اڳ گھربل فارم وٺڻ لاءِ، صرف وري ترتيب ڏيڻ وارو عمل مدد ڪري ٿو؛ ايندڙ مضمونن ۾ ھن آپريشن تي وڌيڪ تفصيل سان بحث ڪيو ويندو. اچو ته پڪ ڪريو ته هر شي ترتيب ۾ آهي، تصوير ڪلڪ ڪرڻ جي قابل آهي:

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

لاگ ان جڳهه تي آهن، جنهن جو مطلب آهي ته اسان ڊيش بورڊ ٺاهڻ شروع ڪري سگهون ٿا. سيڪيورٽي پراڊڪٽس مان ڊيش بورڊز جي تجزيي جي بنياد تي، توهان هڪ تنظيم ۾ معلومات جي حفاظت جي حالت کي سمجهي سگهو ٿا، واضح طور تي موجوده پاليسي ۾ ڪمزورين کي ڏسي، ۽ بعد ۾ انهن کي ختم ڪرڻ جا طريقا ٺاهي سگهو ٿا. اچو ته هڪ ننڍڙو ڊيش بورڊ ٺاهيون ڪيترن ئي بصري اوزارن کي استعمال ڪندي. ڊيش بورڊ 5 حصن تي مشتمل هوندو:

  1. بليڊ ذريعي لاگن جي ڪل تعداد کي ڳڻڻ لاءِ ٽيبل
  2. نازڪ IPS دستخط تي ٽيبل
  3. خطري جي روڪٿام جي واقعن لاء پائي چارٽ
  4. سڀ کان وڌيڪ دورو ڪيل سائيٽن جو چارٽ
  5. سڀ کان وڌيڪ خطرناڪ ايپليڪيشنن جي استعمال تي چارٽ

بصري انگ اکر ٺاهڻ لاء، توهان کي مينيو ڏانهن وڃڻ جي ضرورت آهي ڏي وٺ، ۽ مطلوب شڪل چونڊيو جيڪو اسان ٺاهڻ چاهيون ٿا! اچو ته ترتيب سان هلون.

بليڊ ذريعي لاگن جي ڪل تعداد کي ڳڻڻ لاء ٽيبل

هن کي ڪرڻ لاء، هڪ شڪل چونڊيو ڊيٽا ٽيبل، اسان گرافس ٺاهڻ جي سامان ۾ داخل ٿي ويا آهيون، کاٻي پاسي شڪل جي سيٽنگ آهي، ساڄي پاسي آهي اهو موجوده سيٽنگن ۾ ڪيئن نظر ايندو. پهرين، مان ڏيکاريندس ته تيار ڪيل ٽيبل ڪيئن نظر ايندي، ان کان پوء اسان سيٽنگون ذريعي وڃون ٿا، تصوير ڪلڪ ڪرڻ جي قابل آهي:

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

شڪل جي وڌيڪ تفصيلي سيٽنگون، تصوير ڪلڪ ڪري سگهجي ٿي:

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

اچو ته سيٽنگون ڏسو.

شروعاتي طور تي ترتيب ڏنل ميٽرڪ, هي اهو قدر آهي جنهن جي ذريعي سڀني شعبن کي گڏ ڪيو ويندو. ميٽرڪ حساب ڪيو ويو آهي قدرن جي بنياد تي هڪ طريقي سان ڪڍيا ويا يا ٻئي دستاويزن مان. قدر عام طور تي ڪڍيا ويا آهن شعبا دستاويز، پر پڻ اسڪرپٽ استعمال ڪندي ٺاهي سگھجن ٿيون. انهي حالت ۾ اسان داخل ڪيو مجموعو: شمار (ڪُل لاگن جو تعداد).

ان کان پوء، اسان جدول کي حصن ۾ ورهايو (فيلڊز) جن جي ذريعي ميٽرڪ حساب ڪيو ويندو. هي فنڪشن بالٽ سيٽنگ ذريعي ڪيو ويندو آهي، جنهن جي نتيجي ۾ 2 سيٽنگون اختيارن تي مشتمل آهن:

  1. ورهائڻ واريون قطارون - ڪالمن کي شامل ڪرڻ ۽ بعد ۾ ٽيبل کي قطارن ۾ ورهائڻ
  2. ورهايل ٽيبل - ڪيترن ئي جدولن ۾ ورهايل هڪ مخصوص فيلڊ جي قدرن جي بنياد تي.

В بيڪري توهان ڪيترن ئي شاخن کي شامل ڪري سگهو ٿا ڪيترن ئي ڪالمن يا ٽيبل ٺاهڻ لاء، هتي پابنديون بلڪل منطقي آهن. مجموعي ۾، توھان چونڊي سگھوٿا ڪھڙو طريقو استعمال ڪيو ويندو حصن ۾ ورهائڻ لاءِ: ipv4 رينج، تاريخ جي حد، شرطون، وغيره. سڀ کان وڌيڪ دلچسپ اختيار بلڪل صحيح آهي شرطن и اهم شرطون، حصن ۾ ورهائڻ هڪ مخصوص انڊيڪس فيلڊ جي قدرن جي مطابق ڪيو ويندو آهي، انهن جي وچ ۾ فرق واپسي قدرن جي تعداد ۾ آهي، ۽ انهن جي ڊسپلي. جيئن ته اسان ٽيبل کي بليڊ جي نالي سان ورهائڻ چاهيون ٿا، اسان فيلڊ کي چونڊيو ٿا - product.keyword ۽ سائيز کي 25 واپسي ويلن تي سيٽ ڪريو.

تارن جي بدران، elasticsearch استعمال ڪري ٿو 2 ڊيٽا جا قسم - متن и KEYWORD. جيڪڏهن توهان مڪمل متن جي ڳولا ڪرڻ چاهيو ٿا، توهان کي ٽيڪسٽ جو قسم استعمال ڪرڻ گهرجي، هڪ تمام آسان شيءِ آهي جڏهن توهان جي ڳولا سروس لکندي، مثال طور، ڪنهن مخصوص فيلڊ جي قيمت (ٽيڪسٽ) ۾ لفظ جو ذڪر ڳولڻ لاءِ. جيڪڏهن توهان صرف هڪ درست ميچ چاهيو ٿا، توهان کي استعمال ڪرڻ گهرجي لفظ جو قسم. انهي سان گڏ، لفظي ڊيٽا جو قسم انهن شعبن لاء استعمال ڪيو وڃي جنهن کي ترتيب ڏيڻ يا گڏ ڪرڻ جي ضرورت آهي، اهو آهي، اسان جي صورت ۾.

نتيجي طور، Elasticsearch ھڪڙي خاص وقت لاء لاگز جو تعداد شمار ڪري ٿو، مجموعي طور تي پراڊڪٽ فيلڊ ۾ قيمت سان گڏ. ڪسٽم ليبل ۾، اسان ڪالمن جو نالو سيٽ ڪيو جيڪو ٽيبل ۾ ڏيکاريو ويندو، اهو وقت مقرر ڪيو جنهن لاء اسان لاگ گڏ ڪندا آهيون، رينجرنگ شروع ڪندا آهيون - Kibana هڪ درخواست موڪلي ٿو لچڪدار ڳولها، هڪ جواب جو انتظار ڪري ٿو ۽ پوء حاصل ڪيل ڊيٽا کي ڏسڻ لاء. ٽيبل تيار آهي!

خطري جي روڪٿام جي واقعن لاء پائي چارٽ

خاص دلچسپي جي ڄاڻ آهي ته ڪيترا ردعمل فيصد طور تي آهن سڃاڻڻ и روڪ موجوده سيڪيورٽي پاليسي ۾ معلومات سيڪيورٽي واقعن تي. هڪ پائي چارٽ هن صورتحال لاء سٺو ڪم ڪري ٿو. Visualize ۾ چونڊيو - پائي چارٽ. انهي سان گڏ ميٽرڪ ۾ اسان لاگن جي تعداد جي حساب سان گڏ ڪيو. بالٽ ۾ اسين شرطون => عمل رکون ٿا.

هر شي صحيح لڳي ٿي، پر نتيجو ڏيکاري ٿو سڀني بليڊن لاءِ قدر؛ توهان کي صرف انهن بليڊن کي فلٽر ڪرڻ جي ضرورت آهي جيڪي خطري جي روڪٿام جي فريم ورڪ ۾ ڪم ڪن ٿيون. تنهن ڪري، اسان ضرور ان کي ترتيب ڏيو ٺهيل صرف انفارميشن سيڪيورٽي واقعن لاءِ ذميوار بليڊن تي معلومات ڳولڻ لاءِ - پراڊڪٽ: (“اينٽي-بوٽ” يا “نيو اينٽي وائرس” يا “DDoS پروٽيڪٽر” يا “اسمارٽ ڊفينس” يا “ٿريٽ ايموليشن”). تصوير ڪلڪ ڪري سگهجي ٿي:

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

۽ وڌيڪ تفصيلي سيٽنگون، تصوير ڪلڪ ڪرڻ جي قابل آهي:

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

IPS ايونٽ ٽيبل

اڳيون، معلومات جي حفاظت جي نقطي نظر کان تمام ضروري آهي بليڊ تي واقعن کي ڏسڻ ۽ جانچڻ. IPS и ڌمڪيون ايموليشن، которые بلاڪ نه آهن موجوده پاليسي، بعد ۾ يا ته روڪڻ لاءِ دستخط کي تبديل ڪرڻ لاءِ، يا جيڪڏهن ٽريفڪ صحيح آهي، دستخط نه چيڪ ڪريو. اسان ٽيبل کي ساڳيءَ طرح ٺاھيون ٿا جيئن پھرين مثال لاءِ، رڳو فرق سان اسان ڪيترائي ڪالم ٺاھيون ٿا: protects.keyword، severity.keyword، product.keyword، originsicname.keyword. صرف انفارميشن سيڪيورٽي واقعن لاءِ ذميوار بليڊ تي معلومات ڳولڻ لاءِ هڪ فلٽر قائم ڪرڻ جي پڪ ڪريو - پراڊڪٽ: (“SmartDefense” يا “Threat Emulation”). تصوير ڪلڪ ڪري سگهجي ٿي:

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

وڌيڪ تفصيلي سيٽنگون، تصوير ڪلڪ ڪري سگهجي ٿي:

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

سڀ کان وڌيڪ مشهور دورو ڪيل سائيٽن لاء چارٽ

هن کي ڪرڻ لاء، هڪ شڪل ٺاهي - عمودي بار. اسان ڳڻپ (Y محور) کي ميٽرڪ جي طور تي پڻ استعمال ڪندا آهيون، ۽ X محور تي اسين دورو ڪيل سائيٽن جو نالو قدر جي طور تي استعمال ڪنداسين - "appi_name". هتي هڪ ننڍڙي چال آهي: جيڪڏهن توهان موجوده ورزن ۾ سيٽنگون هلائيندا آهيو، ته سڀني سائيٽن کي چارٽ تي هڪ ئي رنگ سان نشان لڳايو ويندو، انهن کي گهڻ رنگن ٺاهڻ لاء، اسان هڪ اضافي سيٽنگ استعمال ڪندا آهيون - "سپلٽ سيريز"، جيڪو توهان کي اجازت ڏئي ٿو هڪ تيار ڪيل ڪالمن کي ڪيترن ئي وڌيڪ قدرن ۾ ورهائي، چونڊيل فيلڊ جي لحاظ کان! ھي بلڪل ڊويزن يا ته ھڪڙي گھڻن رنگن واري ڪالمن جي طور تي استعمال ڪري سگھجي ٿو اسٽيڪ ٿيل موڊ ۾ قدرن جي مطابق، يا عام موڊ ۾ ايڪس محور تي ھڪڙي خاص قدر جي مطابق ڪيترائي ڪالمن ٺاھڻ لاء. ان صورت ۾، اسين ھتي استعمال ڪريون ٿا. ساڳئي قدر X محور تي، اهو ممڪن بڻائي ٿو ته سڀني ڪالمن کي گھڻن رنگن ۾؛ اهي مٿي ساڄي پاسي رنگن سان ظاهر ڪيا ويندا. فلٽر ۾ اسان سيٽ ڪريون ٿا - پراڊڪٽ: "URL فلٽرنگ" صرف دورو ڪيل سائيٽن تي معلومات ڏسڻ لاءِ، تصوير ڪلڪ ڪري سگهجي ٿي:

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

سيٽنگون:

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

سڀ کان وڌيڪ خطرناڪ ايپليڪيشنن جي استعمال تي ڊراگرام

هن کي ڪرڻ لاء، هڪ شڪل ٺاهيو - عمودي بار. اسان پڻ ڳڻپ (Y محور) کي ميٽرڪ طور استعمال ڪريون ٿا، ۽ X محور تي اسين استعمال ٿيل ايپليڪيشنن جو نالو استعمال ڪنداسين - "appi_name" قدر جي طور تي. سڀ کان اهم آهي فلٽر سيٽنگ - پراڊڪٽ: "ايپليڪيشن ڪنٽرول" ۽ ايپ_رسڪ: (4 يا 5 يا 3) ۽ عمل: "قبول ڪريو". اسان لاگز کي ايپليڪيشن ڪنٽرول بليڊ ذريعي فلٽر ڪندا آهيون، صرف انهن سائيٽن کي کڻندا آهيون جيڪي درجه بندي ڪيل آهن نازڪ، اعليٰ، وچولي خطري واري سائيٽن ۽ صرف ان صورت ۾ جڏهن انهن سائيٽن تائين رسائي جي اجازت هجي. تصوير ڪلڪ ڪري سگهجي ٿي:

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

سيٽنگون، ڪلڪ لائق:

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

ڊيش بورڊ

ڊيش بورڊ ڏسڻ ۽ ٺاهڻ هڪ الڳ مينيو آئٽم ۾ آهي - ڊيش بورڊ. هتي سڀ ڪجهه سادو آهي، هڪ نئون ڊيش بورڊ ٺاهيو ويو آهي، ان ۾ بصريت شامل ڪئي وئي آهي، ان جي جاء تي رکيل آهي ۽ بس!

اسان هڪ ڊيش بورڊ ٺاهي رهيا آهيون جنهن جي ذريعي توهان هڪ تنظيم ۾ معلومات جي سيڪيورٽي جي بنيادي صورتحال کي سمجهي سگهو ٿا، يقينا، صرف چيڪ پوائنٽ جي سطح تي، تصوير ڪلڪ ڪري سگهجي ٿي:

3. لچڪدار اسٽيڪ: سيڪيورٽي لاگز جو تجزيو. ڊيش بورڊ

انهن گرافن جي بنياد تي، اسان سمجهي سگهون ٿا ته ڪهڙا نازڪ دستخط فائر وال تي بند نه ڪيا ويا آهن، صارف ڪٿي ويندا آهن، ۽ اهي ڪهڙيون خطرناڪ ايپليڪيشنون استعمال ڪندا آهن.

ٿڪل

اسان ڪبانا ۾ بنيادي تصور جي صلاحيتن کي ڏٺو ۽ هڪ ڊيش بورڊ ٺاهيو، پر اهو صرف هڪ ننڍڙو حصو آهي. وڌيڪ ڪورس ۾ اسان الڳ الڳ نقشا ترتيب ڏيڻ، لچڪدار ڳولها سسٽم سان ڪم ڪرڻ، API درخواستن کان واقف ٿيڻ، آٽوميشن ۽ گهڻو ڪجهه تي نظر وجهنداسين!

پوء ڏسندا رهو (تار, ڪريو, VK, TS حل بلاگ), Yandex Zen.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو