V prejšnjih člankih smo se nekoliko seznanili s skladom elk in nastavitvijo konfiguracijske datoteke Logstash za razčlenjevalnik dnevnikov. V tem članku bomo prešli na najpomembnejšo stvar z analitičnega vidika, kaj želite videti iz sistema in za kaj vse je bilo ustvarjeno - to so združeni grafi in tabele nadzorne plošče. Danes si bomo podrobneje ogledali sistem vizualizacije Kibana, si bomo ogledali, kako ustvariti grafe in tabele, in kot rezultat bomo zgradili preprosto nadzorno ploščo, ki temelji na dnevnikih iz požarnega zidu Check Point.
Prvi korak pri delu s kibano je ustvarjanje vzorec indeksa, logično je, da je to baza indeksov, združenih po določenem principu. Seveda je to zgolj nastavitev, ki omogoča Kibani bolj priročno iskanje informacij po vseh indeksih hkrati. Nastavi se z ujemanjem z nizom, recimo »checkpoint-*« in imenom indeksa. Na primer, »kontrolna točka-2019.12.05« bi ustrezala vzorcu, vendar preprosto »kontrolna točka« ne obstaja več. Ločeno je treba omeniti, da je pri iskanju nemogoče istočasno iskati informacije o različnih vzorcih indeksov; malo kasneje v naslednjih člankih bomo videli, da se zahteve API izvajajo bodisi po imenu indeksa bodisi samo po enem vrstica vzorca, sliko je mogoče klikniti:
Po tem v meniju Odkrij preverimo, ali so vsi dnevniki indeksirani in ali je pravilno konfiguriran razčlenjevalnik. Če se odkrijejo kakršne koli nedoslednosti, na primer sprememba vrste podatkov iz niza v celo število, morate urediti konfiguracijsko datoteko Logstash, posledično bodo novi dnevniki pravilno zapisani. Da bi stari dnevniki prevzeli želeno obliko pred spremembo, pomaga le postopek ponovnega indeksiranja; v naslednjih člankih bo ta operacija podrobneje obravnavana. Prepričajmo se, da je vse v redu, sliko je mogoče klikniti:
Dnevniki so na mestu, kar pomeni, da lahko začnemo graditi nadzorne plošče. Na podlagi analitike nadzornih plošč iz varnostnih izdelkov lahko razumete stanje informacijske varnosti v organizaciji, jasno vidite ranljivosti v trenutni politiki in nato razvijete načine za njihovo odpravo. Izdelajmo majhno nadzorno ploščo z uporabo več orodij za vizualizacijo. Armaturna plošča bo sestavljena iz 5 komponent:
- tabela za izračun skupnega števila polen po rezilih
- tabelo o kritičnih podpisih IPS
- tortni grafikon za dogodke za preprečevanje groženj
- grafikon najbolj priljubljenih obiskanih strani
- grafikon o uporabi najnevarnejših aplikacij
Če želite ustvariti vizualizacijske figure, morate iti v meni Vizualiziraj, in izberemo želeno figuro, ki jo želimo zgraditi! Gremo po vrsti.
Tabela za izračun skupnega števila polen po rezilu
Če želite to narediti, izberite sliko Tabela podatkov, pademo v opremo za ustvarjanje grafov, levo so nastavitve figure, desno kako bo videti v trenutnih nastavitvah. Najprej bom pokazal, kako bo izgledala končana tabela, nato pa bomo šli skozi nastavitve, sliko je mogoče klikniti:
Podrobnejše nastavitve figure, sliko je mogoče klikniti:
Poglejmo nastavitve.
Prvotno konfigurirano meritve, to je vrednost, po kateri bodo združena vsa polja. Meritve se izračunajo na podlagi vrednosti, tako ali drugače pridobljenih iz dokumentov. Vrednosti so običajno izvlečene iz polj dokument, lahko pa jih ustvarite tudi s skripti. V tem primeru vnesemo Združevanje: štetje (skupno število dnevnikov).
Nato tabelo razdelimo na segmente (polja), po katerih se izračuna metrika. To funkcijo izvaja nastavitev Buckets, ki je sestavljena iz 2 možnosti nastavitve:
- split rows - dodajanje stolpcev in kasnejša razdelitev tabele na vrstice
- razdeljena tabela - razdelitev na več tabel na podlagi vrednosti določenega polja.
В žlice lahko dodate več delitev, da ustvarite več stolpcev ali tabel, omejitve tukaj so precej logične. Pri združevanju lahko izberete, kateri način bo uporabljen za razdelitev na segmente: obseg ipv4, datumski obseg, pogoji itd. Najbolj zanimiva izbira je ravno Pogoji и Pomembni pogoji, razdelitev na segmente se izvede glede na vrednosti določenega polja indeksa, razlika med njimi je v številu vrnjenih vrednosti in njihovem prikazu. Ker želimo tabelo razdeliti po imenu rezil, izberemo polje - product.keyword in nastavite velikost na 25 vrnjenih vrednosti.
Namesto nizov elasticsearch uporablja 2 tipa podatkov - besedilo и ključne besede. Če želite izvesti iskanje po celotnem besedilu, morate uporabiti vrsto besedila, kar je zelo priročno pri pisanju iskalne storitve, na primer pri iskanju omembe besede v določeni vrednosti polja (besedilo). Če želite le natančno ujemanje, uporabite vrsto ključne besede. Prav tako je treba podatkovni tip ključne besede uporabiti za polja, ki zahtevajo razvrščanje ali združevanje, to je v našem primeru.
Posledično Elasticsearch prešteje število dnevnikov za določen čas, združeno z vrednostjo v polju izdelka. V Custom Label nastavimo ime stolpca, ki bo prikazan v tabeli, nastavimo čas, za katerega zbiramo dnevnike, začnemo z renderiranjem – Kibana pošlje zahtevo elasticsearch-u, počaka na odgovor in nato vizualizira prejete podatke. Miza je pripravljena!
Tortni grafikon za dogodke za preprečevanje groženj
Posebej zanimiv je podatek, koliko reakcij je v odstotkih odkrivanje и preprečiti o incidentih informacijske varnosti v veljavni varnostni politiki. Tortni grafikon dobro deluje v tej situaciji. Izberite v Visualize - Krožni diagram. Tudi v metriki nastavimo združevanje po številu dnevnikov. V vedra damo Terms => action.
Zdi se, da je vse pravilno, vendar rezultat prikazuje vrednosti za vse rezine; filtrirati morate samo po tistih rezilih, ki delujejo v okviru preprečevanja groženj. Zato smo ga vsekakor postavili filter za iskanje informacij samo o rezinah, ki so odgovorne za incidente informacijske varnosti - izdelek: (»Anti-Bot« ALI »New Anti-Virus« ALI »DDoS Protector« ALI »SmartDefense« ALI »Threat Emulation«). Slika je klikljiva:
In podrobnejše nastavitve, sliko je mogoče klikniti:
Tabela dogodkov IPS
Naslednje, zelo pomembno z vidika informacijske varnosti, je pregledovanje in preverjanje dogodkov na rezilu. IPS и Emulacija groženjki niso blokirani trenutni pravilnik, da bi naknadno bodisi spremenili podpis, da bi preprečili, ali če je promet veljaven, ne preverjajte podpisa. Tabelo izdelamo na enak način kot v prvem primeru, s to razliko, da ustvarimo več stolpcev: protections.keyword, severity.keyword, product.keyword, originsicname.keyword. Ne pozabite nastaviti filtra, če želite iskati informacije samo o rezinah, ki so odgovorne za incidente v zvezi z varnostjo informacij - izdelek: (»SmartDefense« ALI »Threat Emulation«). Slika je klikljiva:
Podrobnejše nastavitve, sliko je mogoče klikniti:
Lestvice za najbolj priljubljena obiskana spletna mesta
Če želite to narediti, ustvarite figuro - Navpična vrstica. Kot metriko uporabljamo tudi count (os Y), na osi X pa bomo kot vrednosti uporabili ime obiskanih spletnih mest – “appi_name”. Tukaj je majhen trik: če zaženete nastavitve v trenutni različici, bodo vsa spletna mesta na grafikonu označena z isto barvo, da bi bila večbarvna, uporabimo dodatno nastavitev - "razdeljena serija", ki vam omogoča, da že pripravljen stolpec razdelite na več vrednosti, odvisno seveda od izbranega polja! Prav to razdelitev lahko uporabimo kot en večbarvni stolpec glede na vrednosti v zloženem načinu ali v običajnem načinu, da ustvarimo več stolpcev glede na določeno vrednost na osi X. V tem primeru tukaj uporabljamo enako vrednost kot na osi X, to omogoča, da so vsi stolpci večbarvni; označeni bodo z barvami zgoraj desno. V filtru, ki smo ga nastavili - izdelek: "Filtriranje URL-jev", da bi videli informacije samo na obiskanih spletnih mestih, je sliko mogoče klikniti:
Nastavitve:
Diagram o uporabi najnevarnejših aplikacij
Če želite to narediti, ustvarite figuro - navpično vrstico. Kot metriko uporabljamo tudi count (os Y), na osi X pa bomo kot vrednosti uporabili imena uporabljenih aplikacij - “appi_name”. Najpomembnejša je nastavitev filtra - izdelek: “Nadzor aplikacij” IN app_risk: (4 ALI 5 ALI 3 ) IN dejanje: “sprejmi”. Dnevnike filtriramo z rezilom za nadzor aplikacij, pri čemer vzamemo samo tista mesta, ki so kategorizirana kot mesta s kritičnim, visokim in srednjim tveganjem, in le, če je dostop do teh mest dovoljen. Slika je klikljiva:
Nastavitve, klikniti:
Nadzorna plošča
Ogled in ustvarjanje nadzornih plošč je v ločeni točki menija - Splošno. Tukaj je vse preprosto, ustvari se nova nadzorna plošča, doda se ji vizualizacija, postavi na svoje mesto in to je to!
Ustvarjamo nadzorno ploščo, s katero lahko razumete osnovno stanje stanja informacijske varnosti v organizaciji, seveda samo na nivoju Check Point, slika je klikljiva:
Na podlagi teh grafov lahko razumemo, kateri kritični podpisi niso blokirani na požarnem zidu, kam gredo uporabniki in katere najnevarnejše aplikacije uporabljajo.
Zaključek
Ogledali smo si zmožnosti osnovne vizualizacije v Kibani in izdelali nadzorno ploščo, vendar je to le majhen del. V nadaljevanju tečaja bomo ločeno pogledali nastavitev zemljevidov, delo s sistemom elasticsearch, seznanili se z API zahtevami, avtomatizacijo in še mnogo več!
Zato ostanite z nami (, , , ), .
Vir: www.habr.com