ProHoster > Blog > Uprava > TS Total Sight. Orodje za avtomatizacijo zbiranja dogodkov, analize incidentov in odzivanja na grožnje

TS Total Sight. Orodje za avtomatizacijo zbiranja dogodkov, analize incidentov in odzivanja na grožnje

TS Total Sight. Orodje za avtomatizacijo zbiranja dogodkov, analize incidentov in odzivanja na grožnje

Dober dan, v prejšnjih člankih smo se seznanili z delom ELK Stack. Zdaj pa se pogovorimo o možnostih, ki jih lahko uresniči strokovnjak za informacijsko varnost pri uporabi teh sistemov. Kateri dnevniki se lahko in morajo vnesti v elasticsearch. Razmislimo, kakšne statistike lahko pridobimo z nastavitvijo nadzornih plošč in ali je v tem kakšen dobiček. Kako lahko implementirate avtomatizacijo procesov informacijske varnosti z uporabo sklada ELK. Narišimo arhitekturo sistema. Skupaj je implementacija vseh funkcionalnosti zelo obsežna in težka naloga, zato je rešitev dobila ločeno ime - TS Total Sight.

Trenutno hitro postajajo priljubljene rešitve, ki združujejo in analizirajo incidente informacijske varnosti na enem logičnem mestu, posledično specialist prejme statistiko in mejo delovanja za izboljšanje stanja informacijske varnosti v organizaciji. To nalogo smo si zadali pri uporabi sklada ELK in posledično smo glavno funkcionalnost razdelili na 4 dele:

  1. Statistika in vizualizacija;
  2. Odkrivanje incidentov informacijske varnosti;
  3. Določanje prednosti incidentov;
  4. Avtomatizacija procesov informacijske varnosti.

Nato si bomo podrobneje ogledali vsakega posebej.

Odkrivanje incidentov informacijske varnosti

Glavna naloga uporabe elastičnega iskanja v našem primeru je zbiranje samo informacijskih varnostnih incidentov. Informacijske varnostne incidente lahko zbirate iz katerega koli varnostnega sredstva, če podpirajo vsaj nekaj načinov pošiljanja dnevnikov, standardno je shranjevanje syslog ali scp v datoteko.

Navedete lahko standardne primere varnostnih orodij in več, od koder bi morali konfigurirati posredovanje dnevnikov:

  1. Vsa orodja NGFW (Check Point, Fortinet);
  2. Vsi skenerji ranljivosti (PT Scanner, OpenVas);
  3. Požarni zid spletnih aplikacij (PT AF);
  4. analizatorji netflow (Flowmon, Cisco StealthWatch);
  5. strežnik AD.

Ko konfigurirate pošiljanje dnevnikov in konfiguracijskih datotek v Logstash, lahko povežete in primerjate z incidenti, ki prihajajo iz različnih varnostnih orodij. Za to je priročno uporabiti indekse, v katere bomo shranili vse dogodke, povezane z določeno napravo. Z drugimi besedami, en indeks so vsi dogodki v eni napravi. To distribucijo je mogoče izvesti na 2 načina.

prvi izvedbeni To je za konfiguracijo konfiguracije Logstash. Če želite to narediti, morate dnevnik za določena polja podvojiti v ločeno enoto z drugo vrsto. In potem uporabite to vrsto v prihodnosti. V primeru so dnevniki klonirani iz rezine IPS požarnega zidu Check Point.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Za shranjevanje takšnih dogodkov v ločen indeks glede na polja dnevnika, na primer podpise napadov ciljnega IP-ja. Uporabite lahko podobno konstrukcijo:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Na ta način lahko vse dogodke shranite v indeks, na primer po naslovu IP ali po imenu domene stroja. V tem primeru ga shranimo v kazalo "smartdefense-%{dst}", po naslovu IP cilja podpisa.

Vendar bodo različni izdelki imeli različna polja dnevnika, kar bo povzročilo kaos in nepotrebno porabo pomnilnika. In tu boste morali bodisi skrbno zamenjati polja v nastavitvah Logstash config z vnaprej oblikovanimi, ki bodo enaka za vse vrste incidentov, kar je tudi težka naloga.

Druga možnost izvedbe - to je pisanje skripta ali procesa, ki bo dostopal do elastične baze podatkov v realnem času, izvlekel potrebne incidente in jih shranil v nov indeks, to je težka naloga, vendar vam omogoča, da delate z dnevniki, kot želite, in so neposredno povezani z dogodki druge varnostne opreme. Ta možnost vam omogoča, da konfigurirate delo z dnevniki tako, da je najbolj uporabno za vaš primer z največjo prilagodljivostjo, vendar tukaj nastane težava pri iskanju strokovnjaka, ki lahko to izvede.

In seveda najpomembnejše vprašanje, in kaj je mogoče povezati in zaznati??

Tukaj je lahko več možnosti in je odvisno od tega, katera varnostna orodja se uporabljajo v vaši infrastrukturi, nekaj primerov:

  1. Najbolj očitna in z mojega vidika najbolj zanimiva možnost za tiste, ki imajo rešitev NGFW in skener ranljivosti. To je primerjava dnevnikov IPS in rezultatov pregleda ranljivosti. Če je sistem IPS zaznal (ne blokiral) napad in ta ranljivost ni zaprta na končnem računalniku glede na rezultate skeniranja, je treba piskati, saj obstaja velika verjetnost, da je bila ranljivost izkoriščena. .
  2. Številni poskusi prijave z enega računalnika na različna mesta lahko simbolizirajo zlonamerno dejavnost.
  3. Uporabnik prenaša virusne datoteke zaradi obiska velikega števila potencialno nevarnih spletnih mest.

Statistika in vizualizacija

Najbolj očitna in razumljiva stvar, za katero je potreben ELK Stack, je shranjevanje in vizualizacija dnevnikov, v prejšnjih člankih prikazano je, kako lahko ustvarite dnevnike iz različnih naprav z uporabo Logstash. Ko gredo dnevniki v Elasticsearch, lahko nastavite nadzorne plošče, ki so bile tudi omenjene v prejšnjih člankih, z informacijami in statistiko, ki jo potrebujete prek vizualizacije.

Primeri:

  1. Nadzorna plošča za dogodke za preprečevanje groženj z najbolj kritičnimi dogodki. Tukaj lahko prikažete, kateri podpisi IPS so bili zaznani in od kod geografsko prihajajo.

    TS Total Sight. Orodje za avtomatizacijo zbiranja dogodkov, analize incidentov in odzivanja na grožnje

  2. Nadzorna plošča o uporabi najbolj kritičnih aplikacij, za katere lahko pride do uhajanja informacij.

    TS Total Sight. Orodje za avtomatizacijo zbiranja dogodkov, analize incidentov in odzivanja na grožnje

  3. Rezultati skeniranja iz katerega koli varnostnega skenerja.

    TS Total Sight. Orodje za avtomatizacijo zbiranja dogodkov, analize incidentov in odzivanja na grožnje

  4. Dnevniki Active Directory glede na uporabnika.

    TS Total Sight. Orodje za avtomatizacijo zbiranja dogodkov, analize incidentov in odzivanja na grožnje

  5. Nadzorna plošča povezave VPN.

V tem primeru, če konfigurirate nadzorne plošče tako, da se posodabljajo vsakih nekaj sekund, lahko dobite dokaj priročen sistem za spremljanje dogodkov v realnem času, ki ga lahko nato uporabite za najhitrejši odziv na incidente informacijske varnosti, če postavite nadzorne plošče na ločeno zaslon.

Prednostno določanje incidentov

V razmerah velike infrastrukture lahko število incidentov preseže lestvico in strokovnjaki ne bodo imeli časa, da bi pravočasno obravnavali vse incidente. V tem primeru je treba najprej izpostaviti le tiste incidente, ki predstavljajo veliko nevarnost. Zato mora sistem prednostno obravnavati incidente glede na njihovo resnost glede na vašo infrastrukturo. Priporočljivo je, da za te dogodke nastavite e-poštno ali telegramsko opozorilo. Prioriteto je mogoče izvesti s standardnimi orodji Kibana z nastavitvijo vizualizacije. Toda z obvestili je težje; privzeto ta funkcionalnost ni vključena v osnovno različico Elasticsearch, samo v plačljivo različico. Zato bodisi kupite plačljivo različico ali pa spet sami napišite postopek, ki bo strokovnjake v realnem času obvestil po e-pošti ali telegramu.

Avtomatizacija procesov informacijske varnosti

In eden najbolj zanimivih delov je avtomatizacija ukrepov za incidente informacijske varnosti. Prej smo to funkcionalnost implementirali za Splunk, nekaj več si lahko preberete v tem članek. Glavna ideja je, da se politika IPS nikoli ne testira ali optimizira, čeprav je v nekaterih primerih kritičen del procesov informacijske varnosti. Na primer, eno leto po uvedbi NGFW in odsotnosti ukrepov za optimizacijo IPS, boste z dejanjem Detect zbrali veliko število podpisov, ki ne bodo blokirani, kar močno zmanjša stanje informacijske varnosti v organizaciji. Spodaj je nekaj primerov, kaj je mogoče avtomatizirati:

  1. Prenos podpisa IPS iz funkcije Detect v Prevent. Če Prevent ne deluje za kritične podpise, je to nepravilno in resna vrzel v sistemu zaščite. Spremenimo dejanje v pravilniku za takšne podpise. To funkcionalnost je mogoče implementirati, če ima naprava NGFW funkcijo REST API. To je mogoče le, če imate veščine programiranja; potrebne informacije morate izvleči iz Elastcisearch in narediti zahteve API za strežnik za upravljanje NGFW.
  2. Če je bilo v omrežnem prometu z enega naslova IP zaznanih ali blokiranih več podpisov, je smiselno ta naslov IP za nekaj časa blokirati v pravilniku požarnega zidu. Implementacija je sestavljena tudi iz uporabe REST API.
  3. Zaženite skeniranje gostitelja s skenerjem ranljivosti, če ima ta gostitelj veliko število podpisov IPS ali drugih varnostnih orodij; če je OpenVas, potem lahko napišete skript, ki se prek ssh poveže z varnostnim skenerjem in zažene skeniranje.

TS Total Sight. Orodje za avtomatizacijo zbiranja dogodkov, analize incidentov in odzivanja na grožnje

TS Total Sight

Skupaj je implementacija vseh funkcionalnosti zelo velika in težka naloga. Brez veščin programiranja lahko konfigurirate minimalno funkcionalnost, ki lahko zadostuje za uporabo v proizvodnji. Če pa vas zanimajo vse funkcionalnosti, ste lahko pozorni na TS Total Sight. Več podrobnosti najdete na našem Online. Posledično bo celotna shema delovanja in arhitektura videti takole:

TS Total Sight. Orodje za avtomatizacijo zbiranja dogodkov, analize incidentov in odzivanja na grožnje

Zaključek

Pogledali smo, kaj je mogoče implementirati z uporabo sklada ELK. V naslednjih člankih bomo podrobneje obravnavali funkcionalnost TS Total Sight!

Zato ostanite z nami (Telegram, Facebook , VK, Spletni dnevnik rešitev TS), Yandex Zen.

Vir: www.habr.com

Dodaj komentar