Lumela, lihloohong tse fetileng re ile ra tloaelana le mosebetsi oa ELK Stack. Joale a re tšohleng menyetla e ka bonoang ke setsebi sa ts'ireletso ea tlhahisoleseling ho sebelisa litsamaiso tsena. Ke lintlha life tse ka kenngoa ho elasticsearch. A re hlahlobeng hore na ke lipalo-palo life tse ka fumanoang ka ho theha li-dashboards le hore na ho na le phaello ho sena. U ka kenya ts'ebetsong joang ts'ebetsong ea ts'ireletso ea tlhahisoleseding ho sebelisa stack ea ELK. Ha re rale moralo oa sistimi. Ka kakaretso, ts'ebetsong ea ts'ebetso eohle ke mosebetsi o moholo haholo le o boima, kahoo tharollo e ile ea fuoa lebitso le arohaneng - TS Total Sight.
Hona joale, litharollo tse kopanyang le ho hlahloba liketsahalo tsa ts'ireletso ea tlhahisoleseding sebakeng se le seng se utloahalang li ntse li tsebahala ka potlako, ka lebaka leo, setsebi se fumana lipalo-palo le moeli oa liketso ho ntlafatsa boemo ba ts'ireletso ea tlhahisoleseding mokhatlong. Re ipehetse mosebetsi ona ka ho sebelisa stack ea ELK, 'me ka lebaka leo re arola ts'ebetso ea mantlha ka likarolo tse 4:
- Lipalopalo le pono;
- Ho sibolloa ha liketsahalo tsa ts'ireletso ea tlhahisoleseling;
- Ho beha ketsahalo pele;
- Boiketsetso ba lits'ebetso tsa ts'ireletso ea tlhahisoleseling.
Ka mor'a moo, re tla shebisisa e mong le e mong ka bomong.
Ho sibolloa ha liketsahalo tsa ts'ireletso ea tlhahisoleseling
Mosebetsi o ka sehloohong oa ho sebelisa elasticsearch molemong oa rona ke ho bokella liketsahalo tsa ts'ireletso ea tlhahisoleseling feela. U ka bokella liketsahalo tsa ts'ireletso ea tlhahisoleseling ho tsoa ho mekhoa efe kapa efe ea ts'ireletso haeba ba ts'ehetsa bonyane mekhoa e meng ea ho romella lits'oants'o, maemo ke syslog kapa scp ho boloka faele.
O ka fana ka mehlala e tloaelehileng ea lisebelisoa tsa ts'ireletso le tse ling, ho tloha moo o lokelang ho hlophisa phetisetso ea li-log:
- Lisebelisoa leha e le life tsa NGFW (Check Point, Fortinet);
- Lisebelisoa life kapa life tse ka bang kotsing (PT Scanner, OpenVas);
- Setsi sa Li-Firewall tsa Web Application (PT AF);
- netflow analyzers (Flowmon, Cisco StealthWatch);
- Seva ea AD.
Ha u se u lokiselitse ho romelloa ha li-log le lifaele tsa tlhophiso ho Logstash, u ka khona ho hokahanya le ho bapisa le liketsahalo tse tsoang lisebelisoa tse fapaneng tsa ts'ireletso. Ho etsa sena, ho loketse ho sebelisa li-index moo re tla boloka liketsahalo tsohle tse amanang le sesebelisoa se itseng. Ka mantsoe a mang, index e le 'ngoe ke liketsahalo tsohle ho sesebelisoa se le seng. Kabo ena e ka etsoa ka litsela tse peli.
Khetho ea pele Sena ke ho lokisa Logstash config. Ho etsa sena, o hloka ho qopitsa logi bakeng sa masimo a itseng ho yuniti e arohaneng e nang le mofuta o fapaneng. Ebe u sebelisa mofuta ona nakong e tlang. Mohlala, li-log li entsoe ka lehare la IPS la firewall ea Check Point.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
Bakeng sa ho boloka liketsahalo tse joalo ho index e arohaneng ho latela libaka tsa marang-rang, mohlala, joalo ka li-signature tsa tlhaselo ea Destination IP. U ka sebelisa sebopeho se tšoanang:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
Mme ka tsela ena, o ka boloka liketsahalo tsohle ho index, mohlala, ka aterese ea IP, kapa ka domain name ea mochini. Tabeng ena, re e boloka ho index "smartdefense-%{dst}", ka aterese ea IP ea sebaka sa ho saena.
Leha ho le joalo, lihlahisoa tse fapaneng li tla ba le masimo a fapaneng a log, a tla lebisa moferefereng le tšebeliso e sa hlokahaleng ea mohopolo. 'Me mona u tla tlameha ho khutlisa masimo ka hloko ho li-setting tsa Logstash ka tse entsoeng esale pele, tse tla tšoana le mefuta eohle ea liketsahalo, e leng mosebetsi o boima hape.
Khetho ea bobeli ea ts'ebetsong - sena ke ho ngola sengoloa kapa ts'ebetso e tla fihlella database ea elastic ka nako ea nnete, e hule liketsahalo tse hlokahalang, ebe e li boloka ho index e ncha, ona ke mosebetsi o boima, empa o o lumella ho sebetsa ka lits'oants'o kamoo o ratang, le ho amahanya ka kotloloho le liketsahalo tse tsoang ho lisebelisoa tse ling tsa ts'ireletso. Khetho ena e u lumella ho hlophisa mosebetsi ka li-logs hore e be tsa bohlokoa haholo bakeng sa nyeoe ea hau ka ho feto-fetoha ha maemo, empa mona bothata bo hlaha ho fumana setsebi se ka kenyang ts'ebetsong sena.
Mme ehlile, potso ea bohlokoahali, 'me ke eng e ka amahanngoang le ho fumanoa??
Ho ka 'na ha e-ba le likhetho tse' maloa mona, 'me ho itšetlehile ka hore na ke lisebelisoa life tsa ts'ireletso tse sebelisoang mohahong oa hau oa motheo, mehlala e' maloa:
- E totobetseng ka ho fetisisa le, ho ea ka pono ea ka, khetho e thahasellisang ka ho fetisisa bakeng sa ba nang le tharollo ea NGFW le scanner ea tlokotsi. Ena ke papiso ea li-log tsa IPS le liphetho tsa tlhahlobo ea ts'oaetso. Haeba tlhaselo e ile ea fumanoa (e sa thibeloa) ke tsamaiso ea IPS, 'me ts'oaetso ena ha e koaloe mochine oa ho qetela ho latela liphello tsa ho hlahloba, hoa hlokahala ho letsa mololi, kaha ho na le monyetla o moholo oa hore ts'oaetso e sebelisitsoe hampe. .
- Liteko tse ngata tsa ho kena ho tloha mochining o mong ho ea libakeng tse fapaneng li ka tšoantšetsa ts'ebetso e mpe.
- Basebelisi ba khoasolla lifaele tsa vaerase ka lebaka la ho etela libaka tse ngata tse ka bang kotsi.
Lipalopalo le pono
Ntho e hlakileng ka ho fetisisa le e utloisisoang eo ELK Stack e hlokahalang bakeng sa eona ke ho boloka le ho bonts'a lifate, e bonts'itsoe hore na u ka etsa li-log joang ho tsoa lisebelisoa tse fapaneng u sebelisa Logstash. Kamora hore lits'oants'o li ee ho Elasticsearch, u ka theha li-dashboards, tse boletsoeng hape , ka lintlha le lipalo-palo tseo u li hlokang ka pono.
mehlala ena:
- Dashboard for Threat Prevention liketsahalo tse nang le liketsahalo tsa bohlokoahali. Mona o ka bonts'a hore na ke li-signature life tsa IPS tse fumanoeng le hore na li tsoa hokae.
- Dashboard mabapi le ts'ebeliso ea lits'ebetso tsa bohlokoa ka ho fetesisa tseo tlhahisoleseling e ka lutlang.
- Hlakola liphetho ho tsoa ho sekena sefe kapa sefe sa ts'ireletso.
- Li-log tse tsoang ho Active Directory ka mosebelisi.
- Dashboard ea khokahano ea VPN.
Tabeng ena, haeba u lokisa li-dashboards ho ntlafatsa metsotsoana e meng le e meng e 'maloa, u ka fumana tsamaiso e loketseng bakeng sa ho shebella liketsahalo ka nako ea sebele, e ka sebelisoang bakeng sa karabelo e potlakileng liketsahalong tsa ts'ireletso ea tlhahisoleseding haeba u beha li-dashboard sebakeng se fapaneng. skrineng.
Ho beha ketsahalo pele
Maemo a meaho e meholo, palo ea liketsahalo e ka fokotseha, 'me litsebi li ke ke tsa ba le nako ea ho sebetsana le liketsahalo tsohle ka nako. Tabeng ena, hoa hlokahala, pele ho tsohle, ho totobatsa feela liketsahalo tse hlahisang tšoso e kholo. Ka hona, sistimi e tlameha ho beha liketsahalo pele ho latela botebo ba tsona mabapi le lisebelisoa tsa hau. Ho bohlokoa ho theha tlhokomeliso ea lengolo-tsoibila kapa thelekramo bakeng sa liketsahalo tsena. Ho etelletsa pele ho ka sebelisoa ho sebelisoa lisebelisoa tse tloaelehileng tsa Kibana ka ho theha pono. Empa ka litsebiso ho thata le ho feta; ka boiketsetso, ts'ebetso ena ha e kenyellelitsoe mofuta oa mantlha oa Elasticsearch, feela ka mofuta o lefelloang. Ka hona, reka mofuta o lefelloang, kapa, hape, ngola mokhoa o tla tsebisa litsebi ka nako ea nnete ka lengolo-tsoibila kapa thelekramo.
Boiketsetso ba lits'ebetso tsa ts'ireletso ea tlhahisoleseling
'Me e' ngoe ea likarolo tse thahasellisang ka ho fetisisa ke ho iketsetsa liketso bakeng sa liketsahalo tsa ts'ireletso ea tlhahisoleseding. Pejana, re sebelisitse ts'ebetso ena bakeng sa Splunk, o ka bala hanyane ho sena . Taba ea mantlha ke hore leano la IPS ha ho mohla le kileng la lekoa kapa la ntlafatsoa, leha maemong a mang e le karolo ea bohlokoa ea ts'ebetso ea ts'ireletso ea tlhahisoleseling. Ka mohlala, selemo ka mor'a ts'ebetsong ea NGFW le ho ba sieo ha liketso ho ntlafatsa IPS, u tla bokella palo e kholo ea li-signature tse nang le ketso ea Detect, e ke keng ea thibeloa, e fokotsang haholo boemo ba ts'ireletso ea tlhahisoleseding mokhatlong o hlophisitsoeng. Ka tlase ke mehlala e meng ea se ka iketsetsang:
- Phetisetso ea signature ea IPS ho tloha ho Detect to Prevent. Haeba Prevent e sa sebetse bakeng sa li-signature tsa bohlokoa, joale sena se tsoile taolong le lekhalo le tebileng tsamaisong ea ts'ireletso. Re fetola ketso ka har'a leano ho li-signature tse joalo. Ts'ebetso ena e ka sebelisoa haeba sesebelisoa sa NGFW se na le ts'ebetso ea REST API. Sena se ka etsahala feela haeba o na le tsebo ea ho etsa mananeo; o hloka ho ntša lintlha tse hlokahalang ho Elastcisearch le ho etsa likopo tsa API ho seva sa tsamaiso ea NGFW.
- Haeba li-signature tse ngata li fumanoe kapa li koetsoe ka har'a sephethephethe sa marang-rang ho tloha atereseng e le 'ngoe ea IP, joale hoa utloahala ho thibela aterese ena ea IP ka nakoana leano la Firewall. Ts'ebetsong e boetse e kenyelletsa ho sebelisa REST API.
- Matha sekena sa moamoheli ka sekena sa ts'ireletso, haeba moamoheli enoa a na le li-signature tse ngata tsa IPS kapa lisebelisoa tse ling tsa ts'ireletso; haeba ke OpenVas, o ka ngola mongolo o tla hokela ka ssh ho sekena sa ts'ireletso ebe o qala ho sekena.
TS Pono Kakaretso
Ka kakaretso, ts'ebetsong ea ts'ebetso eohle ke mosebetsi o moholo haholo le o thata. Ntle le ho ba le litsebo tsa ho etsa mananeo, o ka hlophisa tšebetso e fokolang, e ka bang e lekaneng ho sebelisoa tlhahisong. Empa haeba u thahasella ts'ebetso eohle, u ka ela hloko TS Total Sight. U ka fumana lintlha tse ling ho rona . Ka lebaka leo, moralo oohle oa ts'ebetso le meaho e tla shebahala tjena:
fihlela qeto e
Re shebile se ka sebelisoang ho sebelisa ELK Stack. Lingoloa tse latelang, re tla sekaseka ka botlalo ts'ebetso ea TS Total Sight!
Kahoo lula u mametse (, , , ), .
Source: www.habr.com