Mirëdita, në artikujt e mëparshëm u njohëm me punën e ELK Stack. Tani le të diskutojmë mundësitë që mund të realizohen nga një specialist i sigurisë së informacionit në përdorimin e këtyre sistemeve. Cilat shkrime mund dhe duhet të futen në elasticsearch. Le të shqyrtojmë se cilat statistika mund të merren duke vendosur tabela dhe nëse ka ndonjë fitim në këtë. Si mund të zbatoni automatizimin e proceseve të sigurisë së informacionit duke përdorur stek ELK. Le të hartojmë arkitekturën e sistemit. Në total, zbatimi i të gjithë funksionalitetit është një detyrë shumë e madhe dhe e vështirë, kështu që zgjidhjes iu dha një emër i veçantë - TS Total Sight.
Aktualisht, zgjidhjet që konsolidojnë dhe analizojnë incidentet e sigurisë së informacionit në një vend logjik po fitojnë me shpejtësi popullaritet, si rezultat, specialisti merr statistika dhe një kufi veprimi për të përmirësuar gjendjen e sigurisë së informacionit në organizatë. Ne i vendosëm vetes këtë detyrë në përdorimin e pirgut ELK, dhe si rezultat e ndamë funksionalitetin kryesor në 4 seksione:
- Statistikat dhe vizualizimi;
- Zbulimi i incidenteve të sigurisë së informacionit;
- Prioritetizimi i incidentit;
- Automatizimi i proceseve të sigurisë së informacionit.
Tjetra, ne do t'i hedhim një vështrim më të afërt secilit veç e veç.
Zbulimi i incidenteve të sigurisë së informacionit
Detyra kryesore e përdorimit të elasticsearch në rastin tonë është mbledhja e vetëm incidenteve të sigurisë së informacionit. Ju mund të mbledhni incidente të sigurisë së informacionit nga çdo mjet sigurie nëse ato mbështesin të paktën disa mënyra të dërgimit të regjistrave, standardi është ruajtja e syslog ose scp në një skedar.
Ju mund të jepni shembuj standardë të mjeteve të sigurisë dhe më shumë, nga ku duhet të konfiguroni përcjelljen e regjistrave:
- Çdo mjet NGFW (Check Point, Fortinet);
- Skanera për çdo dobësi (PT Scanner, OpenVas);
- Firewall i aplikacionit në ueb (PT AF);
- analizues netflow (Flowmon, Cisco StealthWatch);
- Serveri i AD.
Pasi të keni konfiguruar dërgimin e regjistrave dhe skedarëve të konfigurimit në Logstash, mund të lidhni dhe krahasoni me incidentet që vijnë nga mjete të ndryshme sigurie. Për ta bërë këtë, është e përshtatshme të përdorim indekse në të cilat do të ruajmë të gjitha incidentet që lidhen me një pajisje specifike. Me fjalë të tjera, një indeks është të gjitha incidentet në një pajisje. Kjo shpërndarje mund të zbatohet në 2 mënyra.
Opsioni i parë Kjo është për të konfiguruar konfigurimin e Logstash. Për ta bërë këtë, duhet të kopjoni regjistrin për fusha të caktuara në një njësi të veçantë me një lloj tjetër. Dhe pastaj përdorni këtë lloj në të ardhmen. Në shembull, regjistrat klonohen nga tehu IPS i murit të zjarrit të Check Point.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
Për të ruajtur ngjarje të tilla në një indeks të veçantë në varësi të fushave të regjistrit, për shembull, të tilla si nënshkrimet e sulmit të IP-së së destinacionit. Ju mund të përdorni një ndërtim të ngjashëm:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
Dhe në këtë mënyrë, ju mund t'i ruani të gjitha incidentet në një indeks, për shembull, nga adresa IP ose nga emri i domenit të makinës. Në këtë rast, ne e ruajmë atë në indeks "smartdefense-%{dst}", sipas adresës IP të destinacionit të nënshkrimit.
Megjithatë, produkte të ndryshme do të kenë fusha të ndryshme regjistri, gjë që do të çojë në kaos dhe konsum të panevojshëm të memories. Dhe këtu ose do t'ju duhet të zëvendësoni me kujdes fushat në cilësimet e konfigurimit të Logstash me ato të paracaktuara, të cilat do të jenë të njëjta për të gjitha llojet e incidenteve, gjë që është gjithashtu një detyrë e vështirë.
Opsioni i dytë i zbatimit - ky është shkrimi i një skripti ose procesi që do të hyjë në bazën e të dhënave elastike në kohë reale, do të nxjerrë incidentet e nevojshme dhe do t'i ruajë ato në një indeks të ri, kjo është një detyrë e vështirë, por ju lejon të punoni me regjistrat sipas dëshirës, dhe lidhen drejtpërdrejt me incidentet nga pajisjet e tjera të sigurisë. Ky opsion ju lejon të konfiguroni punën me regjistrat që të jetë më e dobishme për rastin tuaj me fleksibilitet maksimal, por këtu lind problemi në gjetjen e një specialisti që mund ta zbatojë këtë.
Dhe sigurisht, pyetja më e rëndësishme, dhe çfarë mund të lidhet dhe zbulohet??
Mund të ketë disa opsione këtu, dhe kjo varet nga mjetet e sigurisë që përdoren në infrastrukturën tuaj, disa shembuj:
- Opsioni më i dukshëm dhe, nga këndvështrimi im, më interesant për ata që kanë një zgjidhje NGFW dhe një skaner dobësie. Ky është një krahasim i regjistrave të IPS dhe rezultateve të skanimit të cenueshmërisë. Nëse një sulm u zbulua (nuk u bllokua) nga sistemi IPS, dhe kjo dobësi nuk mbyllet në makinën fundore bazuar në rezultatet e skanimit, është e nevojshme të bini bilbil, pasi ekziston një probabilitet i lartë që dobësia të jetë shfrytëzuar. .
- Shumë përpjekje për hyrje nga një makinë në vende të ndryshme mund të simbolizojnë aktivitetin keqdashës.
- Përdoruesi shkarkon skedarë virusesh për shkak të vizitës së një numri të madh faqesh potencialisht të rrezikshme.
Statistikat dhe vizualizimi
Gjëja më e dukshme dhe e kuptueshme për të cilën nevojitet ELK Stack është ruajtja dhe vizualizimi i regjistrave, u tregua se si mund të krijoni regjistra nga pajisje të ndryshme duke përdorur Logstash. Pasi regjistrat të shkojnë te Elasticsearch, mund të konfiguroni panelet e kontrollit, të cilat u përmendën gjithashtu , me informacionin dhe statistikat që ju nevojiten përmes vizualizimit.
Shembuj:
- Paneli për ngjarjet e Parandalimit të Kërcënimeve me ngjarjet më kritike. Këtu mund të pasqyroni se cilat nënshkrime IPS janë zbuluar dhe nga vijnë ato gjeografikisht.
- Paneli për përdorimin e aplikacioneve më kritike për të cilat informacioni mund të rrjedhë.
- Skanoni rezultatet nga çdo skaner sigurie.
- Regjistrimet e Active Directory sipas përdoruesit.
- Paneli i lidhjes VPN.
Në këtë rast, nëse konfiguroni panelet e kontrollit të përditësohen çdo disa sekonda, mund të merrni një sistem mjaft të përshtatshëm për monitorimin e ngjarjeve në kohë reale, i cili më pas mund të përdoret për përgjigjen më të shpejtë ndaj incidenteve të sigurisë së informacionit nëse vendosni pultet në një vend të veçantë. ekran.
Prioritizimi i incidenteve
Në kushtet e infrastrukturës së madhe, numri i incidenteve mund të shkojë jashtë shkallës dhe specialistët nuk do të kenë kohë të merren me të gjitha incidentet në kohë. Në këtë rast, është e nevojshme, para së gjithash, të theksohen vetëm ato incidente që paraqesin një kërcënim të madh. Prandaj, sistemi duhet t'i japë përparësi incidenteve bazuar në ashpërsinë e tyre në lidhje me infrastrukturën tuaj. Është e këshillueshme që të vendosni një njoftim me email ose telegram për këto ngjarje. Prioritizimi mund të zbatohet duke përdorur mjete standarde Kibana duke vendosur vizualizimin. Por me njoftimet është më e vështirë; si parazgjedhje, ky funksionalitet nuk përfshihet në versionin bazë të Elasticsearch, vetëm në versionin me pagesë. Prandaj, ose blini një version me pagesë, ose, përsëri, shkruani vetë një proces që do të njoftojë specialistët në kohë reale me email ose telegram.
Automatizimi i proceseve të sigurisë së informacionit
Dhe një nga pjesët më interesante është automatizimi i veprimeve për incidentet e sigurisë së informacionit. Më parë, ne e zbatuam këtë funksionalitet për Splunk, mund të lexoni pak më shumë në këtë . Ideja kryesore është që politika e SPI-së nuk testohet apo optimizohet kurrë, megjithëse në disa raste ajo është një pjesë kritike e proceseve të sigurisë së informacionit. Për shembull, një vit pas zbatimit të NGFW dhe mungesës së veprimeve për optimizimin e IPS, do të grumbulloni një numër të madh nënshkrimesh me veprimin Detect, i cili nuk do të bllokohet, gjë që redukton shumë gjendjen e sigurisë së informacionit në organizatë. Më poshtë janë disa shembuj të asaj që mund të automatizohet:
- Transferimi i nënshkrimit të IPS nga Detect në Prevent. Nëse Prevent nuk funksionon për nënshkrimet kritike, atëherë kjo është jashtë funksionit dhe një hendek serioz në sistemin e mbrojtjes. Ne e ndryshojmë veprimin në politikë në nënshkrime të tilla. Ky funksionalitet mund të zbatohet nëse pajisja NGFW ka funksionalitetin REST API. Kjo është e mundur vetëm nëse keni aftësi programimi; ju duhet të nxirrni informacionin e nevojshëm nga Elastcisearch dhe të bëni kërkesa API në serverin e menaxhimit NGFW.
- Nëse nënshkrime të shumta janë zbuluar ose bllokuar në trafikun e rrjetit nga një adresë IP, atëherë ka kuptim ta bllokoni këtë adresë IP për një kohë në politikën e Firewall. Zbatimi konsiston gjithashtu në përdorimin e API REST.
- Kryeni një skanim të hostit me një skaner dobësie, nëse ky host ka një numër të madh nënshkrimesh IPS ose mjete të tjera sigurie; nëse është OpenVas, atëherë mund të shkruani një skript që do të lidhet nëpërmjet ssh me skanerin e sigurisë dhe do të ekzekutoni skanimin.
Shikimi total TS
Në total, zbatimi i të gjithë funksionalitetit është një detyrë shumë e madhe dhe e vështirë. Pa pasur aftësi programimi, mund të konfiguroni funksionalitetin minimal, i cili mund të jetë i mjaftueshëm për përdorim në prodhim. Por nëse jeni të interesuar për të gjithë funksionalitetin, mund t'i kushtoni vëmendje TS Total Sight. Mund të gjeni më shumë detaje në faqen tonë . Si rezultat, e gjithë skema e funksionimit dhe arkitektura do të duken kështu:
Përfundim
Ne shikuam se çfarë mund të zbatohet duke përdorur ELK Stack. Në artikujt vijues, ne do të shqyrtojmë veçmas funksionalitetin e TS Total Sight në më shumë detaje!
Pra, qëndroni të sintonizuar, , , ), .
Burimi: www.habr.com