V predchádzajúcich článkoch sme sa trochu oboznámili so zásobníkom elk a nastavením konfiguračného súboru Logstash pre analyzátor protokolov. V tomto článku prejdeme k tomu najdôležitejšiemu z analytického hľadiska, čo chcete vidieť zo systému a na čo všetko bolo vytvorené - to sú grafy a tabuľky spojené do prístrojové dosky. Dnes sa bližšie pozrieme na vizualizačný systém Kibana, pozrieme sa na to, ako vytvárať grafy a tabuľky, a ako výsledok vytvoríme jednoduchý dashboard založený na protokoloch z firewallu Check Point.
Prvým krokom pri práci s kibanou je tvorba indexový vzor, logicky ide o základ indexov zjednotených podľa určitého princípu. Samozrejme, toto je čisto nastavenie, aby Kibana pohodlnejšie hľadala informácie vo všetkých indexoch súčasne. Nastavuje sa zhodou s reťazcom, povedzte „kontrolný bod-*“ a názvom indexu. Napríklad „kontrolný bod-2019.12.05“ by vyhovoval vzoru, ale jednoducho „kontrolný bod“ už neexistuje. Samostatne stojí za zmienku, že pri vyhľadávaní nie je možné súčasne vyhľadávať informácie o rôznych vzorcoch indexov; o niečo neskôr v nasledujúcich článkoch uvidíme, že požiadavky API sa uskutočňujú buď podľa názvu indexu, alebo iba podľa jedného riadok vzoru, na obrázok sa dá kliknúť:
Potom v ponuke Discover skontrolujeme, či sú všetky protokoly indexované a či je nakonfigurovaný správny analyzátor. Ak sa zistia nejaké nezrovnalosti, napríklad zmena typu údajov z reťazca na celé číslo, musíte upraviť konfiguračný súbor Logstash, v dôsledku čoho sa nové protokoly zapíšu správne. Aby staré protokoly nadobudli požadovanú formu pred zmenou, pomáha iba proces reindexácie, v nasledujúcich článkoch sa tejto operácii budeme podrobnejšie venovať. Presvedčíme sa, že je všetko v poriadku, na obrázok sa dá kliknúť:
Záznamy sú na svojom mieste, čo znamená, že môžeme začať stavať prístrojové dosky. Na základe analýzy dashboardov z bezpečnostných produktov môžete pochopiť stav informačnej bezpečnosti v organizácii, jasne vidieť slabé miesta v súčasnej politike a následne vyvinúť spôsoby, ako ich odstrániť. Zostavme si malý dashboard pomocou niekoľkých vizualizačných nástrojov. Palubná doska bude pozostávať z 5 komponentov:
- tabuľka na výpočet celkového počtu kmeňov podľa čepelí
- tabuľku kritických IPS signatúr
- koláčový graf pre udalosti prevencie hrozieb
- rebríčku najnavštevovanejších stránok
- graf používania najnebezpečnejších aplikácií
Ak chcete vytvoriť vizualizačné obrázky, musíte prejsť do ponuky zviditeľniťa vyberte požadovanú figúrku, ktorú chceme postaviť! Poďme pekne po poriadku.
Tabuľka na výpočet celkového počtu kmeňov podľa čepele
Ak to chcete urobiť, vyberte obrázok Tabuľka dát, spadáme do vybavenia na vytváranie grafov, vľavo sú nastavenia obrázku, vpravo ako to bude vyzerať v aktuálnych nastaveniach. Najprv vám ukážem, ako bude hotová tabuľka vyzerať, potom si prejdeme nastavenia, na obrázok sa dá kliknúť:
Podrobnejšie nastavenie figúrky, obrázok je klikateľný:
Pozrime sa na nastavenia.
Pôvodne nakonfigurovaný metriky, toto je hodnota, podľa ktorej budú agregované všetky polia. Metriky sa počítajú na základe hodnôt extrahovaných tak či onak z dokumentov. Hodnoty sa zvyčajne získavajú z polí dokument, ale dá sa generovať aj pomocou skriptov. V tomto prípade vložíme Agregácia: Počet (celkový počet logov).
Potom tabuľku rozdelíme na segmenty (polia), podľa ktorých bude metrika vypočítaná. Túto funkciu vykonáva nastavenie Buckets, ktoré zase pozostáva z 2 možností nastavenia:
- rozdelenie riadkov - pridanie stĺpcov a následné rozdelenie tabuľky do riadkov
- rozdelená tabuľka - rozdelenie do niekoľkých tabuliek na základe hodnôt konkrétneho poľa.
В vedierka môžete pridať niekoľko delení a vytvoriť niekoľko stĺpcov alebo tabuliek, obmedzenia sú tu skôr logické. V agregácii si môžete vybrať, ktorá metóda sa použije na rozdelenie do segmentov: rozsah ipv4, rozsah dátumov, výrazy atď. Najzaujímavejšia voľba je presne Podmienky и Významné podmienky, rozdelenie na segmenty sa vykonáva podľa hodnôt konkrétneho indexového poľa, rozdiel medzi nimi spočíva v počte vrátených hodnôt a ich zobrazení. Keďže chceme tabuľku rozdeliť podľa názvu lopatiek, vyberieme pole - produkt.kľúčové slovo a nastavte veľkosť na 25 vrátených hodnôt.
Namiesto reťazcov elasticsearch používa 2 dátové typy - text и Kľúčové slovo. Ak chcete vykonať fulltextové vyhľadávanie, mali by ste použiť typ textu, čo je veľmi pohodlná vec pri písaní vyhľadávacej služby, napríklad pri hľadaní zmienky o slove v špecifickej hodnote poľa (text). Ak chcete iba presnú zhodu, mali by ste použiť typ kľúčového slova. Dátový typ kľúčového slova by sa mal použiť aj pre polia, ktoré vyžadujú triedenie alebo agregáciu, teda v našom prípade.
Výsledkom je, že Elasticsearch počíta počet protokolov za určitý čas agregovaný podľa hodnoty v poli produktu. V Custom Label nastavíme názov stĺpca, ktorý sa bude v tabuľke zobrazovať, nastavíme čas, za ktorý zbierame logy, spustíme rendering – Kibana odošle požiadavku do elasticsearch, čaká na odpoveď a následne vizualizuje prijaté dáta. Stôl je pripravený!
Koláčový graf pre udalosti prevencie hrozieb
Zaujímavá je najmä informácia o tom, koľko reakcií je v percentách odhaliť и predchádzať o incidentoch informačnej bezpečnosti v súčasnej bezpečnostnej politike. Pre túto situáciu je vhodný koláčový graf. Vyberte vo vizualizácii - Výsečový graf. Aj v metrike nastavujeme agregáciu podľa počtu logov. Do vedier vložíme Podmienky => akcia.
Všetko sa zdá byť v poriadku, ale výsledok ukazuje hodnoty pre všetky čepele, treba filtrovať len podľa čepelí, ktoré fungujú v rámci prevencie hrozieb. Preto sme to určite založili filtrovať za účelom vyhľadávania informácií iba o blade serveroch zodpovedných za incidenty informačnej bezpečnosti - produkt: („Anti-Bot“ ALEBO „Nový antivírus“ ALEBO „DDoS Protector“ ALEBO „SmartDefense“ ALEBO „Emulace hrozby“). Na obrázok sa dá kliknúť:
A podrobnejšie nastavenia, obrázok je klikateľný:
Tabuľka udalostí IPS
Ďalej je veľmi dôležité z hľadiska informačnej bezpečnosti prezeranie a kontrola udalostí na blade serveri. IPS и Emulácia hroziebŽe nie sú blokované aktuálnu politiku, aby ste následne buď zmenili podpis, aby sa zabránilo, alebo ak je prenos platný, podpis nekontrolujte. Tabuľku vytvoríme rovnakým spôsobom ako v prvom príklade, len s tým rozdielom, že vytvoríme niekoľko stĺpcov: ochrany.kľúčové slovo, závažnosť.kľúčové slovo, produkt.kľúčové slovo, pôvodné meno.kľúčové slovo. Uistite sa, že ste si nastavili filter, aby ste hľadali informácie iba o blade serveroch zodpovedných za incidenty informačnej bezpečnosti – produkt: („SmartDefense“ ALEBO „Emulace hrozieb“). Na obrázok sa dá kliknúť:
Podrobnejšie nastavenia, obrázok je klikateľný:
Tabuľky najpopulárnejších navštívených stránok
Ak to chcete urobiť, vytvorte postavu - Vertikálny pruh. Ako metriku používame aj počet (os Y) a na osi X použijeme ako hodnoty názov navštívených stránok – „appi_name“. Je tu malý trik: ak spustíte nastavenia v aktuálnej verzii, všetky stránky budú na grafe označené rovnakou farbou, aby boli viacfarebné, používame ďalšie nastavenie - „rozdelené série“, čo umožňuje rozdeliť pripravený stĺpec na niekoľko ďalších hodnôt, samozrejme v závislosti od zvoleného poľa! Práve toto rozdelenie je možné použiť buď ako jeden viacfarebný stĺpec podľa hodnôt v skladanom režime, alebo v normálnom režime na vytvorenie niekoľkých stĺpcov podľa určitej hodnoty na osi X. V tomto prípade tu použijeme rovnaká hodnota ako na osi X, to umožňuje, aby boli všetky stĺpce viacfarebné, budú označené farbami vpravo hore. Vo filtri, ktorý sme nastavili - produkt: “Filtrovanie URL”, aby sme videli informácie iba o navštívených stránkach, na obrázok sa dá kliknúť:
Nastavenie:
Diagram používania najnebezpečnejších aplikácií
Za týmto účelom vytvorte figúrku - Vertikálny pruh. Ako metriku používame aj počet (os Y) a na osi X použijeme ako hodnoty názov použitých aplikácií – „appi_name“. Najdôležitejšie je nastavenie filtra - produkt: “Application Control” AND app_risk: (4 OR 5 OR 3 ) AND action: “accept”. Protokoly filtrujeme podľa ovládacieho listu aplikácie, pričom berieme len tie stránky, ktoré sú kategorizované ako stránky s kritickým, vysokým a stredným rizikom, a to len vtedy, ak je prístup na tieto stránky povolený. Na obrázok sa dá kliknúť:
Nastavenia, na ktoré sa dá kliknúť:
Dashboard
Prezeranie a vytváranie informačných panelov je v samostatnej položke ponuky - Informačný panel. Všetko je tu jednoduché, vytvorí sa nový dashboard, pridá sa k nemu vizualizácia, umiestni sa na svoje miesto a je to!
Vytvárame dashboard, pomocou ktorého pochopíte základnú situáciu stavu informačnej bezpečnosti v organizácii, samozrejme len na úrovni Check Point, obrázok je klikateľný:
Na základe týchto grafov môžeme pochopiť, ktoré kritické podpisy nie sú blokované na firewalle, kam používatelia chodia a aké najnebezpečnejšie aplikácie používajú.
Záver
Pozreli sme sa na možnosti základnej vizualizácie v Kibane a postavili sme dashboard, no toto je len malá časť. Ďalej sa v kurze osobitne pozrieme na nastavovanie máp, prácu so systémom elasticsearch, zoznámenie sa s požiadavkami API, automatizáciu a mnoho ďalšieho!
Takže zostaňte naladení (, , , ), .
Zdroj: hab.com