I tidigare artiklar har vi bekantat oss lite med älgstacken och att sätta upp Logstash-konfigurationsfilen för logparsern. I den här artikeln går vi vidare till det viktigaste ur analytisk synvinkel, vad du vill se från systemet och vad allt skapades för - det här är grafer och tabeller kombinerade till instrumentpaneler. Idag ska vi titta närmare på visualiseringssystemet Kibana, kommer vi att titta på hur man skapar grafer och tabeller, och som ett resultat kommer vi att bygga en enkel instrumentpanel baserad på loggar från Check Points brandvägg.
Det första steget i arbetet med kibana är att skapa indexmönster, logiskt sett är detta en bas av index förenade enligt en viss princip. Naturligtvis är detta enbart en inställning för att göra Kibana mer bekvämt att söka efter information över alla index samtidigt. Den ställs in genom att matcha en sträng, säg "checkpoint-*" och namnet på indexet. Till exempel, "checkpoint-2019.12.05" skulle passa mönstret, men helt enkelt "checkpoint" existerar inte längre. Det är värt att nämna separat att i sökning är det omöjligt att söka information om olika indexmönster samtidigt; lite senare i efterföljande artiklar kommer vi att se att API-förfrågningar görs antingen med namnet på indexet eller bara av en linje av mönstret, bilden är klickbar:
Efter detta kontrollerar vi i Discover-menyn att alla loggar är indexerade och att rätt parser är konfigurerad. Om några inkonsekvenser hittas, till exempel att ändra datatypen från en sträng till ett heltal, måste du redigera Logstash-konfigurationsfilen, som ett resultat kommer nya loggar att skrivas korrekt. För att de gamla loggarna ska ta den önskade formen före ändringen hjälper bara omindexeringsprocessen; i efterföljande artiklar kommer denna operation att diskuteras mer i detalj. Låt oss se till att allt är i sin ordning, bilden är klickbar:
Loggarna är på plats, vilket gör att vi kan börja bygga instrumentpaneler. Baserat på analys av instrumentpaneler från säkerhetsprodukter kan du förstå tillståndet för informationssäkerhet i en organisation, tydligt se sårbarheter i den nuvarande policyn och därefter utveckla sätt att eliminera dem. Låt oss bygga en liten instrumentpanel med hjälp av flera visualiseringsverktyg. Instrumentpanelen kommer att bestå av 5 komponenter:
- tabell för beräkning av det totala antalet stockar per blad
- tabell över kritiska IPS-signaturer
- cirkeldiagram för hotförebyggande händelser
- diagram över de mest populära besökta webbplatserna
- diagram över användningen av de farligaste applikationerna
För att skapa visualiseringsfigurer måste du gå till menyn visualisera, och välj önskad figur som vi vill bygga! Låt oss gå i ordning.
Tabell för beräkning av det totala antalet stockar per blad
För att göra detta, välj en figur data~~POS=TRUNC, faller vi in i utrustningen för att skapa grafer, till vänster är figurens inställningar, till höger är hur det kommer att se ut i de aktuella inställningarna. Först ska jag demonstrera hur den färdiga tabellen kommer att se ut, efter det går vi igenom inställningarna, bilden är klickbar:
Mer detaljerade inställningar av figuren, bilden är klickbar:
Låt oss titta på inställningarna.
Ursprungligen konfigurerad metrik, detta är det värde som alla fält kommer att aggregeras med. Mätvärden beräknas baserat på värden som extraherats på ett eller annat sätt från dokument. Värdena extraheras vanligtvis från av fält dokument, men kan också genereras med skript. I det här fallet lägger vi in Aggregation: Räkna (totalt antal stockar).
Efter detta delar vi in tabellen i segment (fält) som mätvärdet kommer att beräknas med. Denna funktion utförs av inställningen Buckets, som i sin tur består av 2 inställningsalternativ:
- dela rader - lägga till kolumner och sedan dela upp tabellen i rader
- split table - uppdelning i flera tabeller baserat på värdena för ett specifikt fält.
В hinkar du kan lägga till flera divisioner för att skapa flera kolumner eller tabeller, begränsningarna här är ganska logiska. I aggregering kan du välja vilken metod som ska användas för att dela in i segment: ipv4-intervall, datumintervall, Villkor, etc. Det mest intressanta valet är just Villkor и Viktiga villkor, uppdelning i segment utförs enligt värdena för ett specifikt indexfält, skillnaden mellan dem ligger i antalet returnerade värden och deras visning. Eftersom vi vill dela tabellen med namnet på bladen väljer vi fältet - produkt.sökord och ställ in storleken på 25 returnerade värden.
Istället för strängar använder elasticsearch två datatyper - text и sökord. Om du vill göra en fulltextsökning bör du använda texttypen, en mycket bekväm sak när du skriver din söktjänst, till exempel när du letar efter ett omnämnande av ett ord i ett specifikt fältvärde (text). Om du bara vill ha en exakt matchning bör du använda sökordstypen. Dessutom bör nyckelordsdatatypen användas för fält som kräver sortering eller aggregering, det vill säga i vårt fall.
Som ett resultat räknar Elasticsearch antalet loggar för en viss tid, aggregerat av värdet i produktfältet. I Custom Label ställer vi in namnet på kolumnen som ska visas i tabellen, ställer in tiden för vilken vi samlar in loggar, börjar rendera - Kibana skickar en förfrågan till elasticsearch, väntar på svar och visualiserar sedan mottagen data. Bordet är klart!
Cirkeldiagram för hotförebyggande händelser
Av särskilt intresse är informationen om hur många reaktioner det är i procent upptäcka и förhindra om informationssäkerhetsincidenter i gällande säkerhetspolicy. Ett cirkeldiagram fungerar bra för denna situation. Välj i Visualisera - Tårtdiagram. Även i måttet ställer vi in aggregering efter antalet loggar. I hinkar lägger vi Villkor => handling.
Allt verkar vara korrekt, men resultatet visar värden för alla blad; du behöver bara filtrera efter de blad som fungerar inom ramen för Threat Prevention. Därför har vi definitivt satt upp det filtrera för att endast söka efter information på blad som är ansvariga för informationssäkerhetsincidenter - produkt: ("Anti-Bot" ELLER "New Anti-Virus" OR "DDoS Protector" OR "SmartDefense" ELLER "Threat Emulation"). Bilden är klickbar:
Och mer detaljerade inställningar, bilden är klickbar:
IPS händelsetabell
Därefter är mycket viktigt ur informationssäkerhetssynpunkt att se och kontrollera händelser på bladet. IPS и Hotemuleringatt är inte blockerade nuvarande policy, för att senare antingen ändra signaturen för att förhindra, eller om trafiken är giltig, kontrollera inte signaturen. Vi skapar tabellen på samma sätt som för det första exemplet, med den enda skillnaden att vi skapar flera kolumner: skydd.sökord, allvarlighetsgrad.sökord, produkt.sökord, ursprungsnamn.sökord. Se till att ställa in ett filter för att endast söka efter information på blad som är ansvariga för informationssäkerhetsincidenter - produkt: ("SmartDefense" ELLER "Threat Emulation"). Bilden är klickbar:
Mer detaljerade inställningar, bilden är klickbar:
Diagram för de mest populära besökta webbplatserna
För att göra detta, skapa en figur - Vertikal bar. Vi använder också count (Y-axeln) som ett mått, och på X-axeln kommer vi att använda namnet på besökta webbplatser som värden – "appi_name". Det finns ett litet trick här: om du kör inställningarna i den aktuella versionen, kommer alla webbplatser att markeras på grafen med samma färg, för att göra dem flerfärgade använder vi en extra inställning - "delad serie", vilket gör att du kan dela upp en färdig kolumn i flera fler värden, beroende på det valda fältet såklart! Just denna uppdelning kan antingen användas som en flerfärgad kolumn enligt värden i staplat läge, eller i normalt läge för att skapa flera kolumner enligt ett visst värde på X-axeln. I det här fallet använder vi här samma värde som på X-axeln, detta gör det möjligt att göra alla kolumner flerfärgade, de kommer att indikeras med färger uppe till höger. I filtret vi ställer in - produkt: "URL-filtrering" för att endast se information om besökta webbplatser är bilden klickbar:
Inställningar:
Diagram över användningen av de farligaste applikationerna
För att göra detta, skapa en figur - Vertical Bar. Vi använder också count (Y-axel) som ett mått, och på X-axeln kommer vi att använda namnet på de applikationer som används - "appi_name" som värden. Den viktigaste är filterinställningen - produkt: "Application Control" OCH app_risk: (4 OR 5 OR 3 ) OCH åtgärd: "acceptera". Vi filtrerar loggarna efter applikationskontrollbladet och tar endast de webbplatser som är kategoriserade som kritiska, hög, medelriskwebbplatser och endast om åtkomst till dessa webbplatser är tillåten. Bilden är klickbar:
Inställningar, klickbara:
instrumentbräda
Visa och skapa instrumentpaneler finns i ett separat menyalternativ - Dashboard. Allt är enkelt här, en ny instrumentpanel skapas, visualisering läggs till den, placeras på sin plats och det är allt!
Vi skapar en instrumentpanel där du kan förstå den grundläggande situationen för informationssäkerhetstillståndet i en organisation, naturligtvis bara på Check Point-nivån är bilden klickbar:
Baserat på dessa grafer kan vi förstå vilka kritiska signaturer som inte är blockerade på brandväggen, vart användarna går och vilka de farligaste applikationerna de använder.
Slutsats
Vi tittade på funktionerna för grundläggande visualisering i Kibana och byggde en instrumentpanel, men detta är bara en liten del. Vidare i kursen kommer vi separat titta på att sätta upp kartor, arbeta med elasticsearch-systemet, bekanta oss med API-förfrågningar, automatisering och mycket mer!
Så håll utkik (, , , ), .
Källa: will.com