TS Total Paningal. Koléksi Acara, Analisis Kajadian, sareng Alat Automasi Tanggapan Ancaman

Wilujeng siang, dina tulisan sateuacana urang kenal sareng karya ELK Stack. Ayeuna hayu urang bahas kemungkinan anu tiasa diwujudkeun ku spesialis kaamanan inpormasi dina ngagunakeun sistem ieu. Log naon anu tiasa sareng kedah diasupkeun kana elasticsearch. Hayu urang nganggap statistik naon anu tiasa diala ku nyetél dasbor sareng naha aya kauntungan dina ieu. Kumaha anjeun tiasa nerapkeun automation prosés kaamanan inpormasi nganggo tumpukan ELK. Hayu urang ngagambar arsitéktur sistem. Dina total, palaksanaan sadaya fungsionalitas mangrupikeun tugas anu ageung sareng sesah, janten solusina dibéré nami anu misah - TS Total Sight.

Ayeuna, solusi anu ngahijikeun sareng nganalisis insiden kaamanan inpormasi dina hiji tempat anu logis gancang janten popularitas, salaku hasilna, spesialis nampi statistik sareng wates tindakan pikeun ningkatkeun kaayaan kaamanan inpormasi dina organisasi. Kami nyetél tugas ieu dina ngagunakeun tumpukan ELK, sareng salaku hasilna kami ngabagi fungsionalitas utama kana 4 bagian:

1. Statistik sareng visualisasi;
2. Deteksi insiden kaamanan informasi;
3. Prioritas kajadian;
4. Automation prosés kaamanan informasi.

Salajengna, urang bakal nyandak katingal ngadeukeutan di unggal individual.

Deteksi insiden kaamanan informasi

Tugas utama ngagunakeun elasticsearch dina hal urang nyaéta ngan ukur ngumpulkeun insiden kaamanan inpormasi. Anjeun tiasa ngumpulkeun insiden kaamanan inpormasi tina alat kaamanan naon waé upami aranjeunna ngadukung sahenteuna sababaraha modeu ngirim log, standarna nyaéta syslog atanapi scp nyimpen kana file.

Anjeun tiasa masihan conto standar alat kaamanan sareng seueur deui, ti mana anjeun kedah ngonpigurasikeun neraskeun log:

1. Sakur parabot NGFW (Check Point, Fortinet);
2. Sakur scanner kerentanan (PT Scanner, OpenVas);
3. Firewall Aplikasi Wéb (PT AF);
4. analisa aliran net (Flowmon, Cisco StealthWatch);
5. server AD.

Sakali anjeun parantos ngonpigurasikeun pangirim log sareng file konfigurasi dina Logstash, anjeun tiasa ngahubungkeun sareng ngabandingkeun sareng kajadian anu asalna tina sababaraha alat kaamanan. Jang ngalampahkeun ieu, éta merenah ngagunakeun indexes nu urang bakal nyimpen sakabeh kajadian nu patali jeung alat husus. Dina basa sejen, hiji indéks nyaeta sakabeh kajadian ka hiji alat. Distribusi ieu tiasa dilaksanakeun ku 2 cara.

Pilihan kahiji Ieu pikeun ngonpigurasikeun config Logstash. Jang ngalampahkeun ieu, anjeun kudu duplikat log pikeun widang nu tangtu kana unit misah jeung tipe béda. Teras nganggo jinis ieu ka hareup. Dina conto, log diklon tina sabeulah IPS tina firewall Check Point.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Pikeun nyimpen kajadian sapertos kana indéks anu misah gumantung kana widang log, contona, sapertos tanda tangan serangan IP Tujuan. Anjeun tiasa nganggo konstruksi anu sami:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Sareng ku cara ieu, anjeun tiasa nyimpen sadaya kajadian kana indéks, contona, ku alamat IP, atanapi ku nami domain mesin. Dina hal ieu, urang simpen kana indéks "smartdefense-%{dst}", ku alamat IP tina tujuan signature.

Sanajan kitu, produk béda bakal boga widang log béda, nu bakal ngakibatkeun rusuh jeung konsumsi memori teu perlu. Sareng di dieu anjeun kedah taliti ngagentos widang dina setélan config Logstash sareng anu tos dirancang, anu bakal sami pikeun sagala jinis kajadian, anu ogé mangrupikeun tugas anu sesah.

Pilihan palaksanaan kadua - ieu nyerat naskah atanapi prosés anu bakal ngaksés database elastis sacara real waktos, tarik kaluar kajadian anu diperyogikeun, sareng simpen kana indéks énggal, ieu mangrupikeun tugas anu sesah, tapi éta ngamungkinkeun anjeun damel sareng log anu anjeun pikahoyong, sarta correlate langsung jeung insiden ti parabot kaamanan séjén. Pilihan ieu ngamungkinkeun anjeun pikeun ngonpigurasikeun damel sareng log janten pang gunana pikeun kasus anjeun kalayan kalenturan maksimal, tapi di dieu masalahna timbul nalika milarian spesialis anu tiasa ngalaksanakeun ieu.

Sareng tangtosna, patarosan anu paling penting, sareng naon anu tiasa dikorelasikeun sareng dideteksi??

Aya sababaraha pilihan di dieu, sareng éta gumantung kana alat kaamanan naon anu dianggo dina infrastruktur anjeun, sababaraha conto:

1. Anu paling atra sareng, tina sudut pandang kuring, pilihan anu paling pikaresepeun pikeun anu gaduh solusi NGFW sareng scanner kerentanan. Ieu ngabandingkeun log IPS sareng hasil scan kerentanan. Upami serangan dideteksi (henteu diblokir) ku sistem IPS, sareng kerentanan ieu henteu ditutup dina mesin tungtung dumasar kana hasil scanning, perlu pikeun niup kacapi, sabab aya kamungkinan luhur yén kerentanan parantos dieksploitasi. .
2. Seueur usaha login tina hiji mesin ka tempat anu béda tiasa ngalambangkeun kagiatan jahat.
3. Pamaké ngaunduh file virus kusabab nganjang ka sajumlah ageung situs anu berpotensi bahaya.

Statistik sareng visualisasi

Hal anu paling atra sareng kaharti pikeun ELK Stack diperyogikeun nyaéta neundeun sareng visualisasi log, dina artikel saméméhna ieu ditémbongkeun kumaha anjeun bisa nyieun log ti sagala rupa alat maké Logstash. Saatos log angkat ka Elasticsearch, anjeun tiasa nyetél dasbor, anu ogé disebatkeun dina artikel saméméhna, kalayan inpormasi sareng statistik anu anjeun peryogikeun ngalangkungan visualisasi.

conto:

1. Dashboard pikeun acara Pencegahan Ancaman sareng acara anu paling kritis. Di dieu anjeun tiasa ngagambarkeun tanda tangan IPS mana anu dideteksi sareng ti mana asalna sacara geografis.

   

2. Dashboard ngeunaan panggunaan aplikasi anu paling kritis pikeun inpormasi anu tiasa bocor.

   

3. Hasil scan tina sagala scanner kaamanan.

   

4. Log ti Active Directory ku pamaké.

   

5. dasbor sambungan VPN.

Dina hal ieu, upami anjeun ngonpigurasikeun dasbor pikeun ngapdet unggal sababaraha detik, anjeun tiasa kéngingkeun sistem anu lumayan pikeun ngawaskeun acara sacara real waktos, anu teras tiasa dianggo pikeun réspon panggancangna kana insiden kaamanan inpormasi upami anjeun nempatkeun dasbor dina tempat anu misah. layar.

Prioritas kajadian

Dina kaayaan infrastruktur badag, jumlah kajadian bisa kaluar skala, sarta spesialis moal boga waktu pikeun nungkulan sagala kajadian dina waktu. Dina hal ieu, perlu, mimiti sagala, nyorot ngan maranéhanana kajadian anu pasang aksi anceman hébat. Ku alatan éta, sistem kudu prioritas kajadian dumasar kana severity maranéhanana dina hubungan infrastruktur Anjeun. Disarankeun nyetél email atanapi telegram ngageter pikeun acara ieu. Prioritas tiasa dilaksanakeun nganggo alat Kibana standar ku nyetél visualisasi. Tapi kalayan béwara éta langkung hese; sacara standar, fungsionalitas ieu henteu kalebet dina versi dasar Elasticsearch, ngan ukur dina versi anu mayar. Ku alatan éta, boh meuli versi mayar, atawa, sakali deui, nulis prosés sorangan nu bakal ngabéjaan spesialis sacara real waktu ku email atawa telegram.

Automation prosés kaamanan informasi

Sareng salah sahiji bagian anu paling pikaresepeun nyaéta otomatisasi tindakan pikeun insiden kaamanan inpormasi. Saméméhna, urang dilaksanakeun fungsionalitas ieu Splunk, anjeun bisa maca saeutik leuwih dina ieu artikel. Gagasan utama nyaéta yén kawijakan IPS henteu pernah diuji atanapi dioptimalkeun, sanaos dina sababaraha kasus éta mangrupikeun bagian kritis prosés kaamanan inpormasi. Salaku conto, sataun saatos palaksanaan NGFW sareng henteuna tindakan pikeun ngaoptimalkeun IPS, anjeun bakal ngumpulkeun sajumlah ageung tanda tangan sareng tindakan Deteksi, anu moal diblokir, anu ngirangan pisan kaayaan kaamanan inpormasi dina organisasi. Ieu di handap sababaraha conto naon anu tiasa otomatis:

1. Mindahkeun tanda tangan IPS tina Deteksi ka Nyegah. Upami Nyegah henteu tiasa dianggo pikeun tanda tangan kritis, maka ieu henteu teratur sareng jurang anu serius dina sistem panyalindungan. Kami ngarobih tindakan dina kawijakan kana tanda tangan sapertos kitu. Fungsionalitas ieu tiasa dilaksanakeun upami alat NGFW ngagaduhan fungsionalitas REST API. Ieu ngan mungkin mun anjeun boga kaahlian programming; Anjeun kudu nimba informasi diperlukeun tina Elastcisearch sarta nyieun requests API ka server manajemén NGFW.
2. Upami sababaraha tanda tangan dideteksi atanapi diblokir dina lalu lintas jaringan tina hiji alamat IP, maka masuk akal pikeun meungpeuk alamat IP ieu samentawis dina kawijakan Firewall. Palaksanaan ogé diwangun ku ngagunakeun REST API.
3. Jalankeun scan host nganggo scanner kerentanan, upami host ieu ngagaduhan sajumlah ageung tanda tangan IPS atanapi alat kaamanan anu sanés; upami OpenVas, anjeun tiasa nyerat naskah anu bakal nyambung via ssh ka scanner kaamanan sareng ngajalankeun scan.

TS Total Paningal

Dina total, palaksanaan sadaya fungsionalitas mangrupikeun tugas anu ageung sareng sesah. Tanpa gaduh kaahlian program, anjeun tiasa ngonpigurasikeun fungsionalitas minimum, anu tiasa cekap pikeun dianggo dina produksi. Tapi lamun kabetot dina sagala pungsionalitasna, anjeun tiasa nengetan TS Total Sight. Anjeun tiasa mendakan langkung rinci ngeunaan kami website. Hasilna, sakabéh skéma operasi sarta arsitéktur bakal kasampak kawas kieu:

kacindekan

Kami ningali naon anu tiasa dilaksanakeun nganggo ELK Stack. Dina artikel salajengna, urang bakal misah mertimbangkeun fungsionalitas TS Total Sight dina leuwih jéntré!

Jadi tetep awas (telegram, Facebook, VK, TS Solusi Blog), Yandex.Zen.

sumber: www.habr.com