ڪيئن ELK معلوماتي سيڪيورٽي انجنيئرن کي مدد ڪري ٿي ويب سائيٽن تي حملن سان وڙهڻ ۽ سٺي ننڊ ۾

اسان جو سائبر دفاعي مرڪز ڪلائنٽ جي ويب انفراسٽرڪچر جي حفاظت جو ذميوار آهي ۽ ڪلائنٽ سائيٽن تي حملن کي رد ڪري ٿو. حملن کان بچائڻ لاءِ، اسان استعمال ڪندا آهيون FortiWeb ويب ايپليڪيشن فائر والز (WAFs). پر اڃا به بهترين WAF هڪ علاج نه آهي ۽ ٽارگيٽ حملن کان "باڪس کان ٻاهر" جي حفاظت نٿو ڪري. 

تنهن ڪري، WAF کان علاوه، اسان استعمال ڪندا آهيون ايل. اهو سڀني واقعن کي هڪ جاءِ تي گڏ ڪرڻ ۾ مدد ڪري ٿو، انگ اکر گڏ ڪري ٿو، ان کي تصور ڪري ٿو ۽ اسان کي وقت ۾ ٽارگيٽيڊ حملو ڏسڻ جي اجازت ڏئي ٿو.

اڄ مان توهان کي وڌيڪ تفصيل سان ٻڌايان ٿو ته ڪيئن اسان WAF سان "ڪرسمس ٽري" کي پار ڪيو ۽ ان مان ڇا نڪتو.

ھڪڙي حملي جي ڪهاڻي: ELK کي تبديل ڪرڻ کان پھريان سڀ ڪجھ ڪيئن ڪم ڪيو

اسان جي بادل ۾، گراهڪ اسان جي WAF جي پويان ايپليڪيشن کي ترتيب ڏنو آهي. 10 کان 000 صارفين في ڏينهن سائيٽ سان ڳنڍيل آهن، ڪنيڪشن جو تعداد 100 ملين في ڏينهن تائين پهچي ويو. انهن مان، 000-20 استعمال ڪندڙ مداخلت ڪندڙ هئا ۽ سائيٽ کي هيڪ ڪرڻ جي ڪوشش ڪئي. 

هڪ IP پتي مان معمولي فارم برٽ فورس فورٽي ويب طرفان بلڪل آساني سان بلاڪ ڪيو ويو. في منٽ سائيٽ تي هٽين جو تعداد جائز استعمال ڪندڙن جي ڀيٽ ۾ وڌيڪ هو. اسان صرف هڪ ايڊريس کان سرگرمي جي حد مقرر ڪئي ۽ حملي کي رد ڪيو.

"سست حملن" سان معاملو ڪرڻ تمام گهڻو ڏکيو آهي، جڏهن حملو ڪندڙ سست ڪم ڪن ٿا ۽ پاڻ کي عام گراهڪن وانگر لڪايو. اهي ڪيترائي منفرد IP پتي استعمال ڪندا آهن. اهڙي سرگرمي WAF کي وڏي وحشي قوت وانگر نظر نه آئي، ان کي خودڪار طريقي سان ٽريڪ ڪرڻ وڌيڪ ڏکيو هو. ۽ عام استعمال ڪندڙن کي بلاڪ ڪرڻ جو خطرو پڻ هو. اسان هڪ حملي جي ٻين نشانين جي ڳولا ڪئي ۽ هن نشاني جي بنياد تي IP پتي کي خودڪار طريقي سان بلاڪ ڪرڻ لاءِ پاليسي قائم ڪئي. مثال طور، ڪيترن ئي ناجائز سيشنن ۾ عام فيلڊ هئا http درخواست جي هيڊرز ۾. توهان کي اڪثر دستي طور تي FortiWeb واقعن جي لاگن ۾ اهڙن شعبن کي ڳولڻو پوندو هو. 

اهو ڊگهو ۽ اڻ وڻندڙ ​​نڪتو. معياري FortiWeb ڪارڪردگي ۾، واقعا 3 مختلف لاگز ۾ ٽيڪسٽ ۾ رڪارڊ ڪيا ويا آهن: معلوم ٿيل حملا، معلومات جي درخواست، ۽ WAF آپريشن بابت سسٽم پيغام. درجن يا ان کان به سوين حملي جا واقعا هڪ منٽ ۾ پهچي سگهن ٿا.

ايترو گهڻو نه، پر توهان کي دستي طور تي ڪيترن ئي لاگن ذريعي چڙهڻو پوندو ۽ ڪيترن ئي لائينن تي ٻيهر ورجائڻو پوندو: 

حملي جي لاگ ۾، اسان ڏسون ٿا صارف پتي ۽ سرگرمي جي فطرت. 
 
اهو صرف لاگ ٽيبل کي اسڪين ڪرڻ ڪافي ناهي. حملي جي نوعيت جي باري ۾ سڀ کان وڌيڪ دلچسپ ۽ مفيد ڳولڻ لاء، توهان کي هڪ خاص واقعي جي اندر ڏسڻ جي ضرورت آهي:

نمايان ٿيل فيلڊ کي "سست حملي" کي ڳولڻ ۾ مدد ڪري ٿي. ذريعو: اسڪرين شاٽ مان Fortinet ويب سائيٽ. 

خير، بنيادي مسئلو اهو آهي ته صرف هڪ FortiWeb ماهر ان کي سمجهي سگهي ٿو. جيڪڏهن ڪاروباري ڪلاڪن دوران اسان اڃا تائين حقيقي وقت ۾ مشڪوڪ سرگرمي کي ٽريڪ ڪري سگهون ٿا، پوء رات جي واقعن جي تحقيقات دير ٿي سگهي ٿي. جڏهن FortiWeb پاليسين ڪجهه سببن جي ڪري ڪم نه ڪيو، ڊيوٽي تي رات جي شفٽ انجنيئر WAF تائين رسائي کان سواء صورتحال جو جائزو نه وٺي سگهيا ۽ FortiWeb ماهر کي جاڳايو. اسان ڪيترن ئي ڪلاڪن تائين لاگن ذريعي ڏٺو ۽ حملي جو لمحو مليو. 

معلومات جي اهڙي مقدار سان، وڏي تصوير کي هڪ نظر ۾ سمجهڻ ۽ عمل سان عمل ڪرڻ ڏکيو آهي. ان کان پوء اسان هڪ جاء تي ڊيٽا گڏ ڪرڻ جو فيصلو ڪيو ته هر شيء کي بصري شڪل ۾ تجزيو ڪرڻ لاء، حملي جي شروعات کي ڳولڻ، ان جي هدايت ۽ بلاڪ جي طريقي جي سڃاڻپ ڪرڻ لاء. 

ڇا چونڊيو ويو

سڀ کان پهريان، اسان اڳ ۾ ئي استعمال ٿيل حلن تي غور ڪيو، جيئن ته ادارن کي غير ضروري طور تي ضرب نه ڪيو وڃي.

پهرين اختيارن مان هڪ هو Nagiosجنهن کي اسين مانيٽر ڪرڻ لاءِ استعمال ڪندا آهيون انجنيئرنگ انفراسٽرڪچر, نيٽورڪ انفراسٽرڪچر، ايمرجنسي حالتن بابت خبرداري. سڪيورٽي گارڊز به ان کي استعمال ڪن ٿا ته ڊيوٽي آفيسرن کي مشڪوڪ ٽريفڪ جي صورت ۾ اطلاع ڏيڻ لاءِ، پر ان کي خبر ناهي ته ٽڙيل پکڙيل لاگز کي ڪيئن گڏ ڪجي ۽ ان ڪري ان جي ضرورت نه رهي آهي. 

هر شي کي گڏ ڪرڻ لاء هڪ اختيار هو MySQL ۽ PostgreSQL يا ٻيو تعلقي ڊيٽابيس. پر ڊيٽا کي ڪڍڻ لاء، اهو ضروري هو ته توهان جي ايپليڪيشن کي مجسمو ڪرڻ گهرجي. 

اسان جي ڪمپني ۾ لاگ ڪليڪٽر جي طور تي اهي پڻ استعمال ڪندا آهن فورٽي اينالائزر Fortinet کان. پر اهو به هن معاملي ۾ مناسب نه هو. پهرين، اهو فائر وال سان ڪم ڪرڻ لاءِ وڌيڪ موزون آهي فورٽي گيٽ. ٻيو، ڪيتريون ئي سيٽنگون غائب هيون، ۽ ان سان رابطي جي ضرورت آهي SQL سوالن جي بهترين ڄاڻ. ۽ ٽيون، ان جو استعمال صارف لاءِ خدمت جي قيمت وڌائيندو.   

اهو ڪيئن اسان کي منهن ۾ کليل ذريعو آيو ايل. 

ڇو چونڊيو ELK 

ELK اوپن سورس پروگرامن جو هڪ سيٽ آهي:

• ElasticsSearch - ٽائيم سيريز جو هڪ ڊيٽابيس، جيڪو صرف متن جي وڏي مقدار سان ڪم ڪرڻ لاء ٺهيل هو؛
• Logstash - ڊيٽا گڏ ڪرڻ جو هڪ ميڪانيزم جيڪو لاگن کي گهربل شڪل ۾ تبديل ڪري سگهي ٿو؛ 
• ڪبيانا - هڪ سٺو visualizer، گڏو گڏ Elasticsearch کي منظم ڪرڻ لاء ڪافي دوستانه انٽرفيس. توھان ان کي استعمال ڪري سگھوٿا شيڊول ٺاھڻ لاءِ جيڪي رات جي وقت ڊيوٽي انجنيئرن جي نگراني ڪري سگھن ٿا. 

ELK لاء داخلا جي حد گهٽ آهي. سڀ بنيادي خاصيتون مفت آهن. خوشيءَ لاءِ ٻيو ڇا کپي.

توهان اهو سڀ ڪجهه هڪ سسٽم ۾ ڪيئن گڏ ڪيو؟

انڊيڪس ٺاهيو ۽ صرف ضروري معلومات ڇڏي. اسان سڀني ٽن FortiWEB لاگز کي ELK ۾ لوڊ ڪيو - آئوٽ انڊيڪس هو. اهي فائلون آهن سڀني گڏ ڪيل لاگن سان گڏ هڪ عرصي لاءِ، مثال طور، هڪ ڏينهن. جيڪڏهن اسان انهن کي فوري طور تي تصور ڪيو، اسان کي صرف حملن جي متحرڪ ڏسڻ ۾ ايندي. تفصيل لاءِ، توهان کي هر حملي ۾ ”گرڻ“ جي ضرورت آهي ۽ مخصوص شعبن کي ڏسڻ جي ضرورت آهي.

اسان محسوس ڪيو ته پهرين اسان کي غير منظم معلومات جي پارسنگ کي ترتيب ڏيڻ جي ضرورت آهي. اسان ڊگھي فيلڊس کي اسٽرنگ طور ورتو، جهڙوڪ "پيغام" ۽ "URL"، ۽ فيصلو ڪرڻ لاء وڌيڪ معلومات حاصل ڪرڻ لاء انهن کي پارس ڪيو. 

مثال طور، parsing استعمال ڪندي، اسان صارف جي جڳھ کي الڳ الڳ ڪڍي ڇڏيو. ھن مدد ڪئي فوري طور تي روسي استعمال ڪندڙن جي سائيٽن تي ٻاهرين ملڪن کان حملن کي اجاگر ڪيو. ٻين ملڪن کان سڀني رابطن کي بلاڪ ڪرڻ سان، اسان حملن جو تعداد 2 ڀيرا گھٽائي ڇڏيو ۽ آساني سان روس جي اندر حملن کي منهن ڏئي سگھون ٿا. 

تجزيو ڪرڻ کان پوء، اهي ڳولڻ شروع ڪيو ته ڪهڙي معلومات کي ذخيرو ڪرڻ ۽ ڏسڻ لاء. لاگ ۾ سڀڪنھن شيء کي ڇڏي نامناسب هئي: هڪ انڊيڪس جي سائيز وڏي هئي - 7 GB. ELK فائل کي پروسيس ڪرڻ لاء هڪ ڊگهو وقت ورتو. بهرحال، سڀ معلومات مفيد نه هئي. ڪجھ نقل ڪيو ويو ۽ اضافي جاء ورتي - ان کي بهتر ڪرڻ ضروري هو. 

پهرين ۾، اسان صرف انڊيڪس ذريعي ڏٺو ۽ غير ضروري واقعن کي هٽايو. اهو ثابت ٿيو ته فورٽي ويب تي لاگ ان سان ڪم ڪرڻ کان به وڌيڪ تڪليف ڏيندڙ ۽ ڊگهو آهي. هن اسٽيج تي "ڪرسمس وڻ" جو واحد پلس اهو آهي ته اسان هڪ اسڪرين تي وقت جي وڏي عرصي کي ڏسڻ جي قابل هئاسين. 

اسان نااميد نه ٿياسون، اسان ڪيڪٽس کائڻ جاري رکيو ۽ ELK جو مطالعو ڪيو ۽ يقين ڪيو ته اسان ضروري معلومات ڪڍي سگهنداسين. انڊيڪس کي صاف ڪرڻ کان پوء، اسان اهو ڏسڻ شروع ڪيو ته ڇا آهي. تنهنڪري اسان وڏي ڊيش بورڊ تي آياسين. اسان ويجٽ کي پڪڙيو - بصري ۽ خوبصورت طور تي، هڪ حقيقي ЁLKa! 

حملي جي لمحي تي قبضو ڪيو. هاڻي اهو سمجهڻ ضروري هو ته حملي جي شروعات چارٽ تي ڪيئن نظر اچي ٿي. ان کي ڳولڻ لاءِ، اسان ڏٺو ته سرور جي جوابن کي صارف (واپسي ڪوڊس). اسان کي دلچسپي هئي سرور جي جوابن ۾ اهڙن ڪوڊس (rc): 

ڪوڊ (آر سي)

ٽائيٽل

بيان

0

ڇڪڻ

سرور جي درخواست کي بلاڪ ڪيو ويو آهي

200

Ok

درخواست ڪاميابي سان پروسيس ڪئي وئي

400

خراب ڳولا

خراب درخواست

403

منع ٿيل آهي

اجازت ڏيڻ کان انڪار ڪيو ويو

500

اندروني سرور جي غلطي

خدمت دستياب ناهي

جيڪڏهن ڪو ماڻهو سائيٽ تي حملو ڪرڻ شروع ڪيو، ڪوڊ جو تناسب تبديل ٿي ويو: 

• جيڪڏهن ڪوڊ 400 سان وڌيڪ غلط درخواستون هيون، ۽ ڪوڊ 200 سان عام درخواستن جو ساڳيو تعداد، پوءِ ڪو ماڻهو سائيٽ کي هيڪ ڪرڻ جي ڪوشش ڪري رهيو هو. 
• جيڪڏهن، ساڳئي وقت، ڪوڊ 0 سان درخواستون پڻ وڌيون، پوء فورٽي ويب سياستدان پڻ "ڏٺو" حملو ڪيو ۽ ان تي بلاڪ لاڳو ڪيو. 
• جيڪڏهن ڪوڊ 500 سان پيغامن جو تعداد وڌي ويو، ته پوءِ سائيٽ انهن IP پتي لاءِ دستياب ناهي - هڪ قسم جو بلاڪ پڻ. 

ٽئين مهيني تائين، اسان هن سرگرمي کي ٽريڪ ڪرڻ لاء هڪ ڊيش بورڊ قائم ڪيو هو.

هر شي کي دستي طور تي مانيٽر نه ڪرڻ لاء، اسان ناگيوس سان گڏ انضمام قائم ڪيو، جيڪو ڪجهه وقفن تي ELK ڪيو. جيڪڏهن مون معلوم ڪيو ته حد جي قدرن تائين پهچي ويا ڪوڊ، مون ڊيوٽي آفيسرن کي مشڪوڪ سرگرمي بابت نوٽيفڪيشن موڪليو. 

گڏيل 4 چارٽ مانيٽرنگ سسٽم ۾. هاڻي اهو ضروري هو ته گراف تي اهو لمحو ڏسڻ ۾ اچي جڏهن حملي کي روڪيو نه ويو آهي ۽ انجنيئر جي مداخلت جي ضرورت آهي. 4 مختلف گرافس تي، اسان جي اکين کي ڦوڪيو ويو. تنهن ڪري، اسان چارٽ کي گڏ ڪيو ۽ هڪ اسڪرين تي هر شيء کي ڏسڻ شروع ڪيو.

مانيٽرنگ تي، اسان ڏٺو ته مختلف رنگن جا گراف ڪيئن بدلجن ٿا. ڳاڙهي جو هڪ ڦاٽ اشارو ڪيو ته حملو شروع ٿي چڪو هو، جڏهن ته نارنجي ۽ نيري گراف ڏيکاريا FortiWeb جي رد عمل:

هتي سڀ ڪجهه ٺيڪ آهي: اتي "لال" سرگرمي جو هڪ اضافو هو، پر FortiWeb مقابلو ڪيو ۽ حملي جو شيڊول بيڪار آيو.

اسان پڻ پاڻ لاء گراف جو هڪ مثال ٺاهيو جيڪو مداخلت جي ضرورت آهي:

هتي اسان ڏسون ٿا ته FortiWeb سرگرمي وڌي آهي، پر ڳاڙهي حملي جو گراف گهٽ نه ٿيو آهي. توھان کي پنھنجي WAF سيٽنگون تبديل ڪرڻ جي ضرورت آھي.

رات جي واقعن جي جاچ ڪرڻ به آسان ٿي ويو آهي. گراف فوري طور تي اهو لمحو ڏيکاري ٿو جڏهن اهو وقت آهي سائيٽ جي دفاع لاءِ. 

ائين ڪڏهن ڪڏهن رات جو به ٿيندو آهي. ڳاڙهو گراف - حملو شروع ٿي چڪو آهي. بليو - FortiWeb سرگرمي. حملي کي مڪمل طور تي بلاڪ نه ڪيو ويو، اسان کي مداخلت ڪرڻو پيو.

اسان ڪاڏي پيا وڃون

ھاڻي اسان ڊيوٽي منتظمين کي ٽريننگ ڪري رھيا آھيون ELK سان ڪم ڪرڻ لاءِ. حاضرين ڊيش بورڊ تي صورتحال جو جائزو وٺڻ ۽ فيصلو ڪرڻ سکندا آهن: اهو وقت آهي FortiWeb ماهر ڏانهن وڌڻ جو، يا WAF تي پاليسيون خود بخود حملي کي رد ڪرڻ لاءِ ڪافي هونديون. تنهن ڪري اسان رات جو معلومات سيڪيورٽي انجنيئرن تي لوڊ کي گھٽايو ۽ سسٽم جي سطح تي سپورٽ ۾ ڪردار کي ورهايو. FortiWeb تائين رسائي صرف سائبر دفاعي مرڪز سان رهي ٿي، ۽ صرف اهي تبديليون آڻيندا آهن WAF سيٽنگون جڏهن فوري طور تي گهربل هجي.

اسان پڻ گراهڪن لاء رپورٽنگ تي ڪم ڪري رهيا آهيون. اسان منصوبو ڪريون ٿا ته WAF ڪم جي متحرڪات تي ڊيٽا ڪلائنٽ جي ذاتي اڪائونٽ ۾ موجود هوندي. ELK صورتحال کي واضح ڪندو بغير WAF ڏانهن رجوع ڪرڻ جي ضرورت کان سواء.

جيڪڏهن گراهڪ حقيقي وقت ۾ پنهنجي حفاظت جي نگراني ڪرڻ چاهي ٿو، ELK به هٿ ۾ اچي ويندو. اسان WAF تائين رسائي نٿا ڏئي سگهون، ڇاڪاڻ ته ڪم ۾ ڪسٽمر جي مداخلت باقي متاثر ٿي سگهي ٿي. پر توهان هڪ الڳ ELK وٺي سگهو ٿا ۽ ان کي ڏيو "جي چوڌاري راند ڪريو". 

اهي آهن منظرنامو استعمال ڪرڻ لاءِ ڪرسمس جو وڻ جيڪو اسان تازو جمع ڪيو آهي. هن تي پنهنجا خيال حصيداري ڪريو ۽ نه وساريو هر شي کي صحيح طور تي ترتيب ڏيوڊيٽابيس ليڪ کان بچڻ لاء. 

جو ذريعو: www.habr.com