ProHoster > බ්ලොග් > පරිපාලනය > TS සම්පූර්ණ පෙනීම. සිදුවීම් එකතුව, සිදුවීම් විශ්ලේෂණය සහ තර්ජන ප්‍රතිචාර ස්වයංක්‍රීයකරණ මෙවලම

TS සම්පූර්ණ පෙනීම. සිදුවීම් එකතුව, සිදුවීම් විශ්ලේෂණය සහ තර්ජන ප්‍රතිචාර ස්වයංක්‍රීයකරණ මෙවලම

TS සම්පූර්ණ පෙනීම. සිදුවීම් එකතුව, සිදුවීම් විශ්ලේෂණය සහ තර්ජන ප්‍රතිචාර ස්වයංක්‍රීයකරණ මෙවලම

සුබ සන්ධ්‍යාවක්, පෙර ලිපිවලදී අපි ELK Stack හි වැඩ ගැන දැන හඳුනා ගත්තෙමු. දැන් අපි මෙම පද්ධති භාවිතා කිරීමේදී තොරතුරු ආරක්ෂණ විශේෂඥයෙකුට සාක්ෂාත් කරගත හැකි හැකියාවන් සාකච්ඡා කරමු. ඉලාස්ටික් සෙවුමට ඇතුළත් කළ හැකි සහ කළ යුතු ලොග මොනවාද. ඩෑෂ්බෝඩ් සකස් කිරීමෙන් ලබාගත හැකි සංඛ්‍යාලේඛන මොනවාද සහ මෙයින් ලාභයක් තිබේද යන්න සලකා බලමු. ELK තොගය භාවිතයෙන් ඔබට තොරතුරු ආරක්ෂණ ක්‍රියාවලි ස්වයංක්‍රීයකරණය ක්‍රියාත්මක කරන්නේ කෙසේද? අපි පද්ධතියේ ගෘහ නිර්මාණ ශිල්පය සකස් කරමු. සමස්තයක් වශයෙන්, සියලුම ක්‍රියාකාරීත්වය ක්‍රියාත්මක කිරීම ඉතා විශාල හා දුෂ්කර කාර්යයකි, එබැවින් විසඳුමට වෙනම නමක් ලබා දී ඇත - TS Total Sight.

වර්තමානයේ, එක් තාර්කික ස්ථානයක තොරතුරු ආරක්ෂණ සිදුවීම් ඒකාබද්ධ කිරීම සහ විශ්ලේෂණය කරන විසඳුම් වේගයෙන් ජනප්‍රිය වෙමින් පවතී, එහි ප්‍රති result ලයක් වශයෙන්, විශේෂඥයාට සංඛ්‍යාලේඛන සහ සංවිධානයේ තොරතුරු ආරක්ෂණ තත්ත්වය වැඩි දියුණු කිරීම සඳහා ක්‍රියාකාරී සීමාවක් ලැබේ. ELK තොගය භාවිතා කිරීමේදී අපි මෙම කාර්යය අප විසින්ම සකසා ගත් අතර එහි ප්‍රතිඵලයක් ලෙස අපි ප්‍රධාන ක්‍රියාකාරිත්වය කොටස් 4 කට බෙදා ඇත:

  1. සංඛ්යාලේඛන සහ දෘශ්යකරණය;
  2. තොරතුරු ආරක්ෂණ සිදුවීම් හඳුනා ගැනීම;
  3. සිදුවීම් ප්රමුඛත්වය;
  4. තොරතුරු ආරක්ෂණ ක්රියාවලීන් ස්වයංක්රීයකරණය.

ඊළඟට, අපි එක් එක් පුද්ගලයා දෙස සමීපව බලමු.

තොරතුරු ආරක්ෂණ සිදුවීම් හඳුනා ගැනීම

අපගේ නඩුවේ elasticsearch භාවිතා කිරීමේ ප්රධාන කාර්යය වන්නේ තොරතුරු ආරක්ෂණ සිදුවීම් පමණක් එකතු කිරීමයි. අවම වශයෙන් ලඝු-සටහන් යැවීමේ ක්‍රම කිහිපයක් සඳහා සහය දක්වන්නේ නම්, ඔබට ඕනෑම ආරක්‍ෂක මාධ්‍යයකින් තොරතුරු ආරක්ෂණ සිදුවීම් එකතු කළ හැක, සම්මතය වන්නේ syslog හෝ scp ගොනුවකට සුරැකීමයි.

ඔබට ආරක්ෂිත මෙවලම් සහ තවත් බොහෝ දේ සඳහා සම්මත උදාහරණ ලබා දිය හැකිය, ඔබ ලඝු-සටහන් ඉදිරියට යැවීම වින්‍යාසගත කළ යුතු ස්ථානයෙන්:

  1. ඕනෑම NGFW මෙවලම් (Check Point, Fortinet);
  2. ඕනෑම අවදානම් ස්කෑනර් (PT ස්කෑනර්, OpenVas);
  3. වෙබ් යෙදුම් ෆයර්වෝල් (PT AF);
  4. netflow විශ්ලේෂක (Flowmon, Cisco StealthWatch);
  5. AD සේවාදායකය.

ඔබ Logstash හි ලොග් සහ වින්‍යාස ගොනු යැවීම වින්‍යාස කළ පසු, ඔබට විවිධ ආරක්ෂක මෙවලම් වලින් එන සිදුවීම් සමඟ සහසම්බන්ධ කර සංසන්දනය කළ හැකිය. මෙය සිදු කිරීම සඳහා, නිශ්චිත උපාංගයකට අදාළ සියලුම සිදුවීම් ගබඩා කරන දර්ශක භාවිතා කිරීම පහසුය. වෙනත් වචන වලින් කිවහොත්, එක් දර්ශකයක් යනු එක් උපාංගයකට සිදු වන සියලුම සිදුවීම් වේ. මෙම බෙදාහැරීම ක්රම 2 කින් ක්රියාත්මක කළ හැකිය.

පළමු විකල්පය මෙය Logstash වින්‍යාසය වින්‍යාස කිරීමයි. මෙය සිදු කිරීම සඳහා, ඔබ යම් ක්ෂේත්‍ර සඳහා ලොගය වෙනත් වර්ගයක් සහිත වෙනම ඒකකයකට අනුපිටපත් කළ යුතුය. ඉන්පසු අනාගතයේදී මෙම වර්ගය භාවිතා කරන්න. උදාහරණයේදී, චෙක් පොයින්ට් ෆයර්වෝලයේ IPS තලයෙන් ලොග් ක්ලෝන කර ඇත.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

එවැනි සිදුවීම් ලොග් ක්ෂේත්‍ර මත පදනම්ව වෙනම දර්ශකයකට සුරැකීම සඳහා, උදාහරණයක් ලෙස, ගමනාන්ත IP ප්‍රහාර අත්සන් වැනි. ඔබට සමාන ඉදිකිරීමක් භාවිතා කළ හැකිය:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

තවද මේ ආකාරයෙන්, ඔබට සියලු සිද්ධීන් දර්ශකයකට සුරැකිය හැක, උදාහරණයක් ලෙස, IP ලිපිනය මගින් හෝ යන්ත්රයේ වසම් නාමයෙන්. මෙම අවස්ථාවේදී, අපි එය දර්ශකය වෙත සුරකිමු "smartdefense-%{dst}", අත්සන ගමනාන්තයේ IP ලිපිනය මගින්.

කෙසේ වෙතත්, විවිධ නිෂ්පාදනවල විවිධ ලොග් ක්ෂේත්‍ර ඇති අතර, එය අවුල් සහ අනවශ්‍ය මතක පරිභෝජනයට තුඩු දෙනු ඇත. තවද මෙහිදී ඔබට Logstash වින්‍යාස සැකසුම් තුළ ඇති ක්ෂේත්‍ර කලින් සැලසුම් කළ ඒවා සමඟ ප්‍රවේශමෙන් ප්‍රතිස්ථාපනය කිරීමට සිදුවනු ඇත, එය සියලු ආකාරයේ සිදුවීම් සඳහා සමාන වනු ඇත, එය ද දුෂ්කර කාර්යයකි.

දෙවන ක්රියාත්මක කිරීමේ විකල්පය - මෙය තත්‍ය කාලීනව ප්‍රත්‍යාස්ථ දත්ත සමුදායට ප්‍රවේශ වන, අවශ්‍ය සිදුවීම් ඉවත් කර, ඒවා නව දර්ශකයකට සුරකින ස්ක්‍රිප්ට් එකක් හෝ ක්‍රියාවලියක් ලිවීමකි, මෙය දුෂ්කර කාර්යයකි, නමුත් එය ඔබට කැමති පරිදි ලඝු-සටහන් සමඟ වැඩ කිරීමට ඉඩ සලසයි, සහ අනෙකුත් ආරක්ෂක උපකරණ වලින් සිදුවන සිදුවීම් සමඟ සෘජුව සම්බන්ධ වන්න. මෙම විකල්පය ඔබට උපරිම නම්‍යශීලීභාවයකින් ඔබේ නඩුව සඳහා වඩාත් ප්‍රයෝජනවත් වන පරිදි ලඝු-සටහන් සමඟ වැඩ වින්‍යාස කිරීමට ඉඩ සලසයි, නමුත් මෙහිදී මෙය ක්‍රියාත්මක කළ හැකි විශේෂ ist යෙකු සොයා ගැනීමේ ගැටළුව පැන නගී.

ඇත්ත වශයෙන්ම, වඩාත්ම වැදගත් ප්රශ්නය, සහ සහසම්බන්ධ කර හඳුනාගත හැක්කේ කුමක් ද??

මෙහි විකල්ප කිහිපයක් තිබිය හැකි අතර, එය ඔබගේ යටිතල ව්‍යුහයේ භාවිතා කරන ආරක්ෂක මෙවලම් මත රඳා පවතී, උදාහරණ කිහිපයක්:

  1. වඩාත්ම පැහැදිලි සහ, මගේ දෘෂ්ටි කෝණයෙන්, NGFW විසඳුමක් සහ අවදානම් ස්කෑනරයක් ඇති අය සඳහා වඩාත්ම සිත්ගන්නා විකල්පය. මෙය IPS ලොග් සහ අවදානම් ස්කෑන් ප්‍රතිඵල වල සංසන්දනයකි. IPS පද්ධතිය මඟින් ප්‍රහාරයක් අනාවරණය වී ඇත්නම් (අවහිර කර නැත), සහ ස්කෑනිං ප්‍රතිඵල මත පදනම්ව මෙම අවදානම අවසන් යන්ත්‍රයේ වසා නොමැති නම්, අවදානම සූරාකෑමට ඉහළ සම්භාවිතාවක් ඇති බැවින්, විසිල් පිඹීම අවශ්‍ය වේ. .
  2. එක් යන්ත්‍රයකින් විවිධ ස්ථානවලට ඇතුළු වීමේ බොහෝ උත්සාහයන් අනිෂ්ට ක්‍රියාකාරකම් සංකේතවත් කළ හැක.
  3. භයානක විය හැකි අඩවි විශාල සංඛ්‍යාවක් නැරඹීම හේතුවෙන් පරිශීලකයා වෛරස් ගොනු බාගත කරයි.

සංඛ්යාලේඛන සහ දෘශ්යකරණය

Самое очевидное и понятное, для чего нужен ELK Stack — это хранение и визуализация логов, පෙර ලිපි වල Logstash භාවිතයෙන් ඔබට විවිධ උපාංග වලින් ලඝු-සටහන් සෑදිය හැකි ආකාරය පෙන්වා ඇත. ලොගයන් Elasticsearch වෙත ගිය පසු, ඔබට උපකරණ පුවරු සැකසිය හැක, ඒවා ද සඳහන් කර ඇත පෙර ලිපි වල, දෘශ්‍යකරණය හරහා ඔබට අවශ්‍ය තොරතුරු සහ සංඛ්‍යාලේඛන සමඟ.

උදාහරණ:

  1. වඩාත්ම තීරණාත්මක සිදුවීම් සහිත තර්ජන වැළැක්වීමේ සිදුවීම් සඳහා උපකරණ පුවරුව. මෙහිදී ඔබට කුමන IPS අත්සන් අනාවරණය කර ඇත්ද සහ ඒවා භූගෝලීය වශයෙන් පැමිණෙන්නේ කොතැනින්ද යන්න පිළිබිඹු කළ හැක.

    TS සම්පූර්ණ පෙනීම. සිදුවීම් එකතුව, සිදුවීම් විශ්ලේෂණය සහ තර්ජන ප්‍රතිචාර ස්වයංක්‍රීයකරණ මෙවලම

  2. තොරතුරු කාන්දු විය හැකි වඩාත්ම තීරණාත්මක යෙදුම් භාවිතය පිළිබඳ උපකරණ පුවරුව.

    TS සම්පූර්ණ පෙනීම. සිදුවීම් එකතුව, සිදුවීම් විශ්ලේෂණය සහ තර්ජන ප්‍රතිචාර ස්වයංක්‍රීයකරණ මෙවලම

  3. ඕනෑම ආරක්ෂක ස්කෑනරයකින් ප්‍රතිඵල පරිලෝකනය කරන්න.

    TS සම්පූර්ණ පෙනීම. සිදුවීම් එකතුව, සිදුවීම් විශ්ලේෂණය සහ තර්ජන ප්‍රතිචාර ස්වයංක්‍රීයකරණ මෙවලම

  4. පරිශීලකයා විසින් ක්රියාකාරී නාමාවලි ලොග.

    TS සම්පූර්ණ පෙනීම. සිදුවීම් එකතුව, සිදුවීම් විශ්ලේෂණය සහ තර්ජන ප්‍රතිචාර ස්වයංක්‍රීයකරණ මෙවලම

  5. VPN සම්බන්ධතා උපකරණ පුවරුව.

මෙම අවස්ථාවේදී, ඔබ සෑම තත්පර කිහිපයකට වරක් යාවත්කාලීන කිරීමට උපකරණ පුවරු වින්‍යාස කරන්නේ නම්, ඔබට තත්‍ය කාලීන සිදුවීම් නිරීක්ෂණය කිරීම සඳහා තරමක් පහසු පද්ධතියක් ලබා ගත හැකිය, ඔබ උපකරණ පුවරු වෙනම තැබුවහොත් තොරතුරු ආරක්ෂණ සිදුවීම් සඳහා වේගවත්ම ප්‍රතිචාරය සඳහා එය භාවිතා කළ හැකිය. තිරය.

සිදුවීම් ප්රමුඛත්වය

විශාල යටිතල පහසුකම්වල තත්වයන් තුළ, සිදුවීම් ගණන පරිමාණයෙන් බැහැර විය හැකි අතර, විශේෂඥයින්ට නියමිත වේලාවට සියලු සිදුවීම් සමඟ කටයුතු කිරීමට කාලය නොමැති වනු ඇත. මෙම අවස්ථාවේ දී, පළමුවෙන්ම, විශාල තර්ජනයක් ඇති කරන සිදුවීම් පමණක් ඉස්මතු කිරීම අවශ්ය වේ. එමනිසා, පද්ධතිය ඔබගේ යටිතල පහසුකම් සම්බන්ධයෙන් සිදුවීම්වල බරපතලකම මත පදනම්ව ප්‍රමුඛත්වය දිය යුතුය. මෙම සිදුවීම් සඳහා විද්‍යුත් තැපෑලක් හෝ විදුලි පණිවුඩ ඇඟවීමක් සැකසීම සුදුසුය. දෘශ්‍යකරණය සැකසීමෙන් සම්මත කිබානා මෙවලම් භාවිතයෙන් ප්‍රමුඛතාවය ක්‍රියාත්මක කළ හැක. නමුත් දැනුම්දීම් සමඟ එය වඩාත් අපහසු වේ; පෙරනිමියෙන්, මෙම ක්‍රියාකාරීත්වය Elasticsearch හි මූලික අනුවාදයට ඇතුළත් නොවේ, ගෙවුම් අනුවාදයේ පමණි. එමනිසා, එක්කෝ ගෙවන ලද අනුවාදයක් මිලදී ගන්න, නැතහොත්, නැවතත්, විද්‍යුත් තැපෑලෙන් හෝ විදුලි පණිවුඩ මගින් විශේෂඥයින්ට තත්‍ය කාලීනව දැනුම් දෙන ක්‍රියාවලියක් ඔබම ලියන්න.

තොරතුරු ආරක්ෂණ ක්රියාවලීන් ස්වයංක්රීයකරණය

තවද වඩාත් සිත්ගන්නා සුළු කොටස් වලින් එකක් වන්නේ තොරතුරු ආරක්ෂණ සිදුවීම් සඳහා ක්රියාවන් ස්වයංක්රීය කිරීමයි. මීට පෙර, අපි මෙම ක්‍රියාකාරිත්වය Splunk සඳහා ක්‍රියාත්මක කළෙමු, ඔබට මෙයින් තව ටිකක් කියවිය හැකිය ලිපියයි. ප්‍රධාන අදහස නම්, IPS ප්‍රතිපත්තිය කිසි විටෙක පරීක්‍ෂා කර හෝ ප්‍රශස්තකරණය නොකිරීමයි, නමුත් සමහර අවස්ථාවල එය තොරතුරු ආරක්ෂණ ක්‍රියාවලීන්හි තීරණාත්මක කොටසකි. උදාහරණයක් ලෙස, NGFW ක්‍රියාත්මක කිරීමෙන් වසරකට පසුව සහ IPS ප්‍රශස්ත කිරීම සඳහා ක්‍රියාමාර්ග නොමැති වීමෙන්, ඔබ හඳුනාගැනීමේ ක්‍රියාව සමඟ අත්සන් විශාල ප්‍රමාණයක් රැස්කරනු ඇත, එය අවහිර නොකරනු ඇත, එමඟින් සංවිධානයේ තොරතුරු ආරක්ෂණ තත්ත්වය බෙහෙවින් අඩු වේ. ස්වයංක්‍රීය කළ හැකි දේ පිළිබඳ උදාහරණ කිහිපයක් පහත දැක්වේ:

  1. හඳුනාගැනීමේ සිට වැළැක්වීම සඳහා IPS අත්සන මාරු කිරීම. විවේචනාත්මක අත්සන් සඳහා වැළැක්වීම ක්‍රියා නොකරන්නේ නම්, මෙය ක්‍රියා විරහිත වන අතර ආරක්ෂණ පද්ධතියේ බරපතල පරතරයකි. අපි ප්‍රතිපත්තියේ ක්‍රියාව එවැනි අත්සන් වලට වෙනස් කරමු. NGFW උපාංගයට REST API ක්‍රියාකාරීත්වයක් තිබේ නම් මෙම ක්‍රියාකාරීත්වය ක්‍රියාත්මක කළ හැක. මෙය කළ හැක්කේ ඔබට ක්‍රමලේඛන කුසලතා තිබේ නම් පමණි; ඔබට අවශ්‍ය තොරතුරු Elastcisearch වෙතින් ලබාගෙන NGFW කළමනාකරණ සේවාදායකයට API ඉල්ලීම් කළ යුතුය.
  2. එක් IP ලිපිනයකින් ජාල ගමනාගමනය තුළ බහු අත්සන් අනාවරණය වී ඇත්නම් හෝ අවහිර කර ඇත්නම්, ෆයර්වෝල් ප්‍රතිපත්තිය තුළ මෙම IP ලිපිනය ටික වේලාවක් අවහිර කිරීම අර්ථවත් කරයි. ක්‍රියාත්මක කිරීම REST API භාවිතයෙන් ද සමන්විත වේ.
  3. මෙම ධාරකයට IPS අත්සන් හෝ වෙනත් ආරක්ෂක මෙවලම් විශාල ප්‍රමාණයක් තිබේ නම්, අවදානම් ස්කෑනරයක් සමඟ ධාරක ස්කෑන් එකක් ධාවනය කරන්න; එය OpenVas නම්, ඔබට ssh හරහා ආරක්ෂක ස්කෑනරය වෙත සම්බන්ධ වන ස්ක්‍රිප්ට් එකක් ලිවිය හැකි අතර ස්කෑන් කිරීම ආරම්භ කළ හැක.

TS සම්පූර්ණ පෙනීම. සිදුවීම් එකතුව, සිදුවීම් විශ්ලේෂණය සහ තර්ජන ප්‍රතිචාර ස්වයංක්‍රීයකරණ මෙවලම

TS සම්පූර්ණ පෙනීම

සමස්තයක් වශයෙන්, සියලු ක්රියාකාරිත්වය ක්රියාත්මක කිරීම ඉතා විශාල හා දුෂ්කර කාර්යයකි. ක්‍රමලේඛන කුසලතා නොමැතිව, ඔබට නිෂ්පාදනයේ භාවිතය සඳහා ප්‍රමාණවත් විය හැකි අවම ක්‍රියාකාරීත්වය වින්‍යාසගත කළ හැකිය. නමුත් ඔබ සියලු ක්රියාකාරිත්වය ගැන උනන්දුවක් දක්වන්නේ නම්, ඔබට TS Total Sight වෙත අවධානය යොමු කළ හැකිය. ඔබට අපගේ වැඩි විස්තර සොයා ගත හැක වෙබ් අඩවිය. ප්රතිඵලයක් වශයෙන්, සමස්ත මෙහෙයුම් යෝජනා ක්රමය සහ ගෘහ නිර්මාණ ශිල්පය මේ ආකාරයෙන් පෙනෙනු ඇත:

TS සම්පූර්ණ පෙනීම. සිදුවීම් එකතුව, සිදුවීම් විශ්ලේෂණය සහ තර්ජන ප්‍රතිචාර ස්වයංක්‍රීයකරණ මෙවලම

නිගමනය

ELK Stack භාවිතයෙන් ක්‍රියාත්මක කළ හැකි දේ අපි සොයා බැලුවා. ඊළඟ ලිපිවලදී, අපි TS Total Sight හි ක්‍රියාකාරිත්වය වඩාත් විස්තරාත්මකව වෙන වෙනම සලකා බලමු!

එබැවින් රැඳී සිටින්නවිදුලි පණිවුඩ, ෆේස්බුක්, VK, TS විසඳුම් බ්ලොගය), Yandex Zen.

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න