TS Wadarta Aragga. Aruurinta Dhacdada, Falanqaynta Dhacdada, iyo Qalabka Ka jawaabista Hanjabaad

Galab wanaagsan, maqaallo hore waxaan ku barannay shaqada ELK Stack. Hadda aan ka wada hadalno fursadaha uu ku xaqiijin karo khabiirka amniga macluumaadka marka uu isticmaalayo nidaamyadan. Waa maxay logs awoodo oo ay tahay in la geliyo elasticsearch. Aynu ka fiirsanno waxa tirakoobyada lagu heli karo samaynta dashboards iyo haddii ay jirto wax faa'iido ah in this. Sideed u hirgelin kartaa otomaatignimada hababka amniga macluumaadka adoo isticmaalaya xirmada ELK. Aynu soo saarno qaab-dhismeedka nidaamka. Guud ahaan, hirgelinta dhammaan shaqeyntu waa hawl aad u ballaaran oo adag, sidaas darteed xalka waxaa la siiyay magac gaar ah - TS Total Sight.

Waqtigan xaadirka ah, xalalka isku dhafka iyo falanqaynta dhacdooyinka amniga macluumaadka ee hal meel oo macquul ah ayaa si degdeg ah u helaya caan, natiijada, khabiirku wuxuu helayaa tirakoobyo iyo xuduud ficil si loo hagaajiyo xaaladda amniga macluumaadka ee ururka. Waxaan u dejinay nafteena hawshan annagoo adeegsanayna xirmada ELK, natiijaduna waxay tahay waxaan u qaybinay shaqada ugu weyn 4 qaybood:

1. Tirakoobka iyo aragga;
2. Ogaanshaha shilalka amniga macluumaadka;
3. Mudnaanta dhacdada;
4. Automation ee hababka amniga macluumaadka.

Marka xigta, mid walba si gaar ah ayaan u eegi doonaa.

Ogaanshaha shilalka amniga macluumaadka

Hawsha ugu weyn ee u adeegsiga elasticsearch kiiskeena waa in la ururiyo oo keliya shilalka amniga macluumaadka. Waxaad ka soo ururin kartaa shilalka amniga macluumaadka hab kasta oo amniga ah haddii ay taageeraan ugu yaraan hababka dirista diiwaanka, halbeeggu waa syslog ama scp kaydinta fayl.

Waxaad bixin kartaa tusaalooyin caadi ah oo ah aaladaha amniga iyo wax ka badan, halka aad ka habeynayso gudbinta diiwaannada:

1. Qalab kasta oo NGFW ah (Check Point, Fortinet);
2. Sawir-qaade kasta oo nugul (PT Scanner, OpenVas);
3. Web Application Firewall (PT AF);
4. falanqeeyayaasha netflow (Flowmon, Cisco StealthWatch);
5. Adeegga AD

Marka aad habayso dirida diiwaanka iyo faylalka habaynta ee Logstash, waxaad isku xidhi kartaa oo barbar dhigi kartaa shilalka ka imanaya aaladaha amniga ee kala duwan. Si tan loo sameeyo, way ku habboon tahay in la isticmaalo tusmooyinka kuwaas oo aan ku kaydin doono dhammaan dhacdooyinka la xiriira qalab gaar ah. Si kale haddii loo dhigo, hal index waa dhammaan shilalka hal qalab. Qaybintan waxaa lagu fulin karaa 2 siyaabood.

Doorashada kowaad Tani waa in la habeeyo habka Logstash. Si aad tan u sameyso, waxaad u baahan tahay inaad ku dhufato diiwaanka meelaha qaarkood unug gaar ah oo leh nooc ka duwan. Ka dibna isticmaal noocaan mustaqbalka. Tusaalahan, logu wuxuu ka samaysan yahay daabka IPS ee Firewall-ka Check Point.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Si loo badbaadiyo dhacdooyinkan oo kale tusme gaar ah oo ku xidhan goobaha log, tusaale ahaan, sida Destination IP signatures. Waxaad isticmaali kartaa dhismo la mid ah:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Oo habkan, waxaad ku kaydin kartaa dhammaan dhacdooyinka tusmada, tusaale ahaan, cinwaanka IP-ga, ama magaca domain ee mashiinka. Xaaladdan oo kale, waxaan ku badbaadineynaa index "smartdefense-%{dst}", by ciwaanka IP-ga ee goobta saxeexa.

Si kastaba ha ahaatee, alaabooyin kala duwan ayaa yeelan doona goobo log oo kala duwan, taas oo u horseedi doonta fowdo iyo isticmaalka xusuusta aan loo baahnayn. Oo halkan waxaad u baahan doontaa inaad si taxadar leh u bedesho goobaha ku yaal Logstash config settings oo horay loo qorsheeyay, taas oo la mid ah dhammaan noocyada dhacdooyinka, taas oo sidoo kale ah hawl adag.

Doorashada labaad ee hirgelinta - kani waa qorista qoraal ama habraaca geli doona kaydka xogta laastikada wakhtiga dhabta ah, ka soo saari doona dhacdooyinka lagama maarmaanka ah, oo ku badbaadin doona tusmooyin cusub, tani waa hawl adag, laakiin waxay kuu ogolaaneysaa inaad ku shaqeyso logyada sidaad rabto, oo ay si toos ah ula xidhiidhaan shilalka qalabka kale ee amniga. Doorashadani waxay kuu ogolaanaysaa inaad ku habayso shaqada log-yada si ay u noqoto mid faa'iido u leh kiiskaaga oo leh dabacsanaan ugu badan, laakiin halkan dhibku wuxuu ka soo baxaa helitaanka khabiir takhasus leh oo tan fulin kara.

Dabcan, su'aasha ugu muhiimsan, maxaase la isku xidhi karaa oo la ogaan karaa??

Waxaa laga yaabaa inay jiraan dhawr ikhtiyaar oo halkan ah, waxayna ku xidhan tahay qalabka amniga ee loo isticmaalo kaabayaashaaga, dhawr tusaale:

1. Tan ugu cad iyo, aragtidayda, ikhtiyaarka ugu xiisaha badan ee kuwa haysta xalka NGFW iyo iskaanka nuglaanshaha. Tani waa isbarbardhigga diiwaannada IPS iyo natiijooyinka iskaanka nuglaanta. Haddii weerar la ogaado (aan la xannibin) nidaamka IPS, iyo nuglaanta aan lagu xirin mashiinka dhamaadka iyadoo lagu saleynayo natiijooyinka iskaanka, waa lagama maarmaan in la afuufo, maadaama ay jirto suurtogalnimo sare oo ah in nuglaanta laga faa'iidaysto. .
2. Isku dayo badan oo laga soo galo hal mishiin oo la geeyo meelo kala duwan ayaa laga yaabaa inay astaan ​​u tahay hawlo xaasidnimo ah.
3. Isticmaaluhu soo dejiyo faylasha fayraska sababtoo ah booqashada tiro badan oo goobo khatar ah awgeed.

Tirakoobka iyo muuqaalaynta

Waxa ugu cad oo la fahmi karo oo loo baahan yahay ELK Stack waa kaydinta iyo aragga logyada, maqaaladii hore waxaa la tusay sida aad uga abuuri karto diiwaanka aaladaha kala duwan adoo isticmaalaya Logstash. Ka dib markii logu aado Elasticsearch, waxaad samayn kartaa dashboards, kuwaas oo sidoo kale la sheegay maqaaladii hore, oo leh macluumaadka iyo tirakoobka aad uga baahan tahay muuqaal.

tusaalooyin:

1. Dashboardka dhacdooyinka Ka Hortagga Khatarta leh ee leh dhacdooyinka ugu xasaasisan. Halkan waxa aad ka milicsan kartaa saxeexyada IPS ee la ogaaday iyo halka ay ka yimaadeen juquraafi ahaan.

   

2. Dashboardka ku yaal adeegsiga codsiyada ugu xasaasisan ee macluumaadka lagu daadin karo.

   

3. Ka baadh natiijooyinka iskaanka amniga kasta

   

4. Logs ka Active Hagaha by user.

   

5. dashboardka isku xirka VPN.

Xaaladdan oo kale, haddii aad u habayso dashboards si aad u cusboonaysiiso dhowr ilbiriqsi kasta, waxaad heli kartaa nidaam ku habboon oo lagula soconayo dhacdooyinka waqtiga dhabta ah, kaas oo markaa loo isticmaali karo jawaabta ugu dhaqsaha badan ee shilalka amniga macluumaadka haddii aad dhigto dashboards gaar ah. shaashad.

Mudnaanta dhacdada

Xaaladaha kaabayaasha waaweyn, tirada shilalka ayaa laga yaabaa inay ka baxaan heerkooda, takhaatiirta takhasuska lehna ma heli doonaan waqti ay wax kaga qabtaan dhammaan shilalka waqtiga. Xaaladdan oo kale, waa lagama maarmaan, marka hore, in la muujiyo oo kaliya dhacdooyinka khatarta weyn leh. Sidaa darteed, nidaamku waa inuu mudnaan siiya dhacdooyinka iyadoo lagu salaynayo darnaanta ay ku leeyihiin kaabayaashaaga. Waxaa lagu talinayaa in aad diyaariso iimaylka ama telegaraam digniinta dhacdooyinkan. Mudnaanta waxaa lagu hirgelin karaa iyadoo la adeegsanayo qalabka caadiga ah ee Kibana iyadoo la dejinayo muuqaal-muuqaal. Laakin ogeysiisyada way adagtahay; Sida caadiga ah, shaqadan kuma jiraan nooca aasaasiga ah ee Elasticsearch, kaliya nooca lacagta la bixiyo. Sidaa darteed, ama iibso nooc lacag ah, ama, mar kale, qor hab-raac naftaada oo ogeysiin doona khabiirada wakhtiga dhabta ah iimaylka ama telegramka.

Automation ee hababka amniga macluumaadka

Mid ka mid ah qaybaha ugu xiisaha badan ayaa ah automation-ka falalka shilalka amniga macluumaadka. Markii hore, waxaan u hirgelinay shaqeyntan Splunk, waxaad wax yar ka akhrisan kartaa tan maqaal. Fikradda ugu weyn ayaa ah in siyaasadda IPS aan waligeed la tijaabin ama la hagaajin, in kasta oo xaaladaha qaarkood ay tahay qayb muhiim ah oo ka mid ah hababka amniga macluumaadka. Tusaale ahaan, hal sano ka dib hirgelinta NGFW iyo maqnaanshaha ficilada lagu hagaajinayo IPS, waxaad ku ururin doontaa tiro badan oo saxiixyo ah oo leh ficilka Detect, kaas oo aan la xannibi doonin, taas oo si weyn u yaraynaysa xaaladda amniga macluumaadka ee ururka. Hoos waxaa ah tusaalooyin ku saabsan waxa si toos ah loo samayn karo:

1. Ka wareejinta saxeexa IPS ee Detect ilaa ka hortagga. Haddii ka-hortagga aysan u shaqeynin saxiixyada muhiimka ah, markaa tani waa ka baxsan tahay nidaamka iyo farqiga halista ah ee nidaamka ilaalinta. Waxaan u beddelnaa ficilka siyaasadda saxeexyadan oo kale. Shaqadan waa la hirgelin karaa haddii qalabka NGFW uu leeyahay shaqada REST API. Tani waa suurtogal kaliya haddii aad leedahay xirfado barnaamij; waxaad u baahan tahay inaad ka soo saarto macluumaadka lagama maarmaanka ah Elastcisearch oo aad codsi API u dirto serverka maamulka NGFW.
2. Haddii saxiixyo badan laga helay ama laga xannibay taraafikada shabakadda hal ciwaanka IP, markaa waxa macno leh in la xannibo ciwaanka IP-ga in muddo ah siyaasadda Firewall. Hirgelintu waxay sidoo kale ka kooban tahay adeegsiga REST API.
3. Ku samee iskaanka martigeliyaha leh iskaanka nuglaanta, haddii martida loo yahay uu leeyahay tiro badan oo saxeex IPS ah ama aalado kale oo amniga ah; haddii ay tahay OpenVas, markaa waxaad qori kartaa qoraal ku xidhi doona ssh scanner amniga oo socodsii sawirka.

TS Wadarta Aragga

Guud ahaan, hirgelinta dhammaan shaqeyntu waa hawl aad u ballaaran oo adag. Adigoon lahayn xirfadaha barnaamijka, waxaad dejin kartaa shaqada ugu yar, taas oo ku filnaan karta isticmaalka wax soo saarka. Laakiin haddii aad xiisaynayso dhammaan shaqeynta, waxaad fiiro gaar ah siin kartaa TS Total Sight. Waxaad ka heli kartaa faahfaahin dheeraad ah our goobta. Natiijo ahaan, dhammaan nidaamka hawlgalka iyo qaab-dhismeedku waxay u ekaan doonaan sidan:

gunaanad

Waxaan eegnay waxa lagu fulin karo iyadoo la adeegsanayo ELK Stack. Maqaallada soo socda, waxaan si gooni gooni ah u tixgelin doonaa shaqeynta TS Total Sight si faahfaahsan!

Hadaba la socotelegraam, Facebook, VK, TS Solution Blog), Yandex Zen.

Source: www.habr.com