Katika makala zilizopita tulifahamu kidogo stack ya elk na kuanzisha faili ya usanidi ya Logstash kwa kichanganuzi cha logi.Katika makala hii tutaendelea na jambo muhimu zaidi kutoka kwa mtazamo wa uchambuzi, nini unataka kuona kutoka kwa mfumo na kila kitu kiliundwa kwa nini - hizi ni grafu na meza zilizojumuishwa dashibodi. Leo tutaangalia kwa karibu mfumo wa taswira Kibana, tutaangalia jinsi ya kuunda grafu na meza, na kwa matokeo tutaunda dashibodi rahisi kulingana na magogo kutoka kwa firewall ya Check Point.
Hatua ya kwanza katika kufanya kazi na kibana ni kuunda muundo wa index, kimantiki, huu ni msingi wa faharisi zilizounganishwa kulingana na kanuni fulani. Bila shaka, huu ni mpangilio wa kumfanya Kibana atafute taarifa kwa urahisi katika faharasa zote kwa wakati mmoja. Imewekwa kwa kulinganisha kamba, sema "checkpoint-*" na jina la index. Kwa mfano, "checkpoint-2019.12.05" ingetoshea mchoro, lakini "kiini cha ukaguzi" hakipo tena. Inafaa kutaja kando kwamba katika utaftaji haiwezekani kutafuta habari juu ya mifumo tofauti ya faharisi kwa wakati mmoja; baadaye kidogo katika nakala zinazofuata tutaona kwamba maombi ya API yanafanywa ama kwa jina la faharisi, au na moja tu. mstari wa muundo, picha inaweza kubofya:
Baada ya hayo, tunaangalia kwenye menyu ya Kugundua kwamba kumbukumbu zote zimeorodheshwa na kichanganuzi sahihi kimeundwa. Ikiwa kutofautiana kunapatikana, kwa mfano, kubadilisha aina ya data kutoka kwa kamba hadi integer, unahitaji kuhariri faili ya usanidi wa Logstash, kwa matokeo, kumbukumbu mpya zitaandikwa kwa usahihi. Ili kumbukumbu za zamani zichukue fomu inayotaka kabla ya mabadiliko, ni mchakato wa kuweka tena indexing tu ndio husaidia; katika makala zinazofuata operesheni hii itajadiliwa kwa undani zaidi. Wacha tuhakikishe kuwa kila kitu kiko katika mpangilio, picha inaweza kubofya:
Kumbukumbu ziko mahali, ambayo inamaanisha tunaweza kuanza kujenga dashibodi. Kulingana na uchanganuzi wa dashibodi kutoka kwa bidhaa za usalama, unaweza kuelewa hali ya usalama wa habari katika shirika, kuona kwa uwazi udhaifu katika sera ya sasa, na kisha kuunda njia za kuziondoa. Hebu tujenge dashibodi ndogo kwa kutumia zana kadhaa za taswira. Dashibodi itakuwa na vipengele 5:
- meza kwa ajili ya kuhesabu jumla ya idadi ya magogo kwa vile
- jedwali kwenye saini muhimu za IPS
- chati ya pai kwa matukio ya Kuzuia Tishio
- chati ya tovuti maarufu zilizotembelewa
- chati juu ya matumizi ya programu hatari zaidi
Ili kuunda takwimu za taswira, unahitaji kwenda kwenye menyu Angalia, na uchague takwimu inayotaka ambayo tunataka kujenga! Twende kwa utaratibu.
Jedwali la kuhesabu jumla ya idadi ya magogo kwa blade
Ili kufanya hivyo, chagua takwimu Jedwali la Takwimu, tunaanguka kwenye vifaa vya kuunda grafu, upande wa kushoto ni mipangilio ya takwimu, upande wa kulia ni jinsi itakavyoonekana katika mipangilio ya sasa. Kwanza, nitaonyesha jinsi meza iliyokamilishwa itaonekana, baada ya hapo tutapitia mipangilio, picha inaweza kubofya:
Mipangilio ya kina zaidi ya takwimu, picha inaweza kubofya:
Hebu tuangalie mipangilio.
Imesanidiwa awali vipimo, hii ndiyo thamani ambayo sehemu zote zitajumlishwa. Vipimo huhesabiwa kulingana na thamani zilizotolewa kwa njia moja au nyingine kutoka kwa hati. Thamani kawaida hutolewa kutoka shamba hati, lakini pia inaweza kuzalishwa kwa kutumia hati. Katika kesi hii, tunaweka Mkusanyiko: Hesabu (jumla ya idadi ya magogo).
Baada ya hayo, tunagawanya meza katika sehemu (mashamba) ambayo metric itahesabiwa. Kazi hii inafanywa na mpangilio wa Ndoo, ambao kwa upande wake una chaguzi 2 za mipangilio:
- mgawanyiko wa safu - kuongeza safu na baadaye kugawanya meza katika safu
- mgawanyiko wa meza - mgawanyiko katika meza kadhaa kulingana na maadili ya uwanja maalum.
В Ndoo unaweza kuongeza mgawanyiko kadhaa ili kuunda nguzo kadhaa au meza, vikwazo hapa ni badala ya mantiki. Katika kujumlisha, unaweza kuchagua ni njia ipi itatumika kugawanya katika sehemu: masafa ya ipv4, kipindi cha tarehe, Sheria na Masharti, n.k. Chaguo la kuvutia zaidi ni kwa usahihi Masharti и Masharti Muhimu, mgawanyiko katika sehemu unafanywa kulingana na maadili ya uwanja maalum wa faharisi, tofauti kati yao iko katika idadi ya maadili yaliyorejeshwa, na onyesho lao. Kwa kuwa tunataka kugawa meza kwa jina la vile, tunachagua shamba - bidhaa.neno kuu na uweke saizi kwa maadili 25 yaliyorejeshwa.
Badala ya kamba, elasticsearch hutumia aina 2 za data - Nakala и Keyword. Ikiwa unataka kufanya utafutaji wa maandishi kamili, unapaswa kutumia aina ya maandishi, jambo rahisi sana wakati wa kuandika huduma yako ya utafutaji, kwa mfano, kutafuta kutaja neno katika thamani maalum ya shamba (maandishi). Ikiwa unataka tu kufanana kabisa, unapaswa kutumia aina ya neno kuu. Pia, aina ya data ya neno muhimu inapaswa kutumika kwa sehemu zinazohitaji kupanga au kujumlisha, yaani, kwa upande wetu.
Kwa hivyo, Elasticsearch huhesabu idadi ya kumbukumbu kwa muda fulani, ikijumlishwa na thamani katika sehemu ya bidhaa. Katika Lebo ya Desturi, tunaweka jina la safu ambayo itaonyeshwa kwenye meza, kuweka muda ambao tunakusanya magogo, kuanza kutoa - Kibana hutuma ombi kwa elasticsearch, inasubiri jibu na kisha kuibua data iliyopokelewa. Jedwali liko tayari!
Chati pai kwa matukio ya Kuzuia Tishio
Ya kufurahisha zaidi ni habari kuhusu idadi ya athari kama asilimia kuchunguza и kuzuia juu ya matukio ya usalama wa habari katika sera ya sasa ya usalama. Chati ya pai inafanya kazi vizuri kwa hali hii. Chagua katika Taswira - Jedwali la mdwara. Pia katika metriki tunaweka mkusanyiko kwa idadi ya magogo. Katika ndoo tunaweka Masharti => kitendo.
Kila kitu kinaonekana kuwa sawa, lakini matokeo yanaonyesha maadili kwa vile vile; unahitaji kuchuja tu na vile vile vinavyofanya kazi ndani ya mfumo wa Kuzuia Tishio. Kwa hivyo, hakika tuliiweka chujio ili kutafuta taarifa tu kwenye vile vile vinavyohusika na matukio ya usalama wa habari - bidhaa: (“Anti-Bot” AU “Anti-Virus Mpya” AU “Mlinzi wa DDoS” AU “SmartDefense” AU “Uigaji wa Tishio”). Picha inaweza kubofya:
Na mipangilio ya kina zaidi, picha inaweza kubofya:
Jedwali la Tukio la IPS
Ifuatayo, muhimu sana kutoka kwa mtazamo wa usalama wa habari ni kutazama na kuangalia matukio kwenye blade. IPS и Uigaji wa Tishioambayo hazijazuiwa sera ya sasa, ili baadaye ama kubadilisha sahihi ili kuzuia, au ikiwa trafiki ni halali, usikague sahihi. Tunaunda meza kwa njia sawa na kwa mfano wa kwanza, na tofauti pekee ambayo tunaunda safu kadhaa: protections.keyword, severity.keyword, product.keyword, originsicname.keyword. Hakikisha kuwa umeweka kichujio ili kutafuta taarifa tu kwenye vile vile vinavyohusika na matukio ya usalama wa habari - bidhaa: (“SmartDefense” AU “Uigaji wa Tishio”). Picha inaweza kubofya:
Mipangilio ya kina zaidi, picha inaweza kubofya:
Chati za tovuti zilizotembelewa zaidi
Ili kufanya hivyo, tengeneza takwimu - Upau Wima. Pia tunatumia hesabu (mhimili wa Y) kama kipimo, na kwenye mhimili wa X tutatumia jina la tovuti zilizotembelewa kama thamani - "appi_name". Kuna hila kidogo hapa: ikiwa utaendesha mipangilio katika toleo la sasa, basi tovuti zote zitawekwa alama kwenye grafu na rangi sawa, ili kuzifanya za rangi nyingi tunatumia mpangilio wa ziada - "mfululizo wa kupasuliwa", ambayo inakuwezesha kugawanya safu iliyopangwa tayari katika maadili kadhaa zaidi, kulingana na uwanja uliochaguliwa bila shaka! Mgawanyiko huu unaweza kutumika kama safu moja ya rangi nyingi kulingana na maadili katika hali iliyopangwa, au katika hali ya kawaida ili kuunda safu kadhaa kulingana na thamani fulani kwenye mhimili wa X. Katika kesi hii, hapa tunatumia thamani sawa na kwenye mhimili wa X, hii inafanya uwezekano wa kufanya safu wima ziwe na rangi nyingi; zitaonyeshwa kwa rangi kwenye sehemu ya juu kulia. Katika kichujio tunachoweka - bidhaa: "Kuchuja URL" ili kuona habari kwenye tovuti zilizotembelewa pekee, picha inaweza kubofya:
Mipangilio:
Mchoro juu ya matumizi ya programu hatari zaidi
Ili kufanya hivyo, tengeneza takwimu - Upau wa Wima. Pia tunatumia hesabu (mhimili wa Y) kama kipimo, na kwenye mhimili wa X tutatumia jina la programu zilizotumiwa - "appi_name" kama thamani. La muhimu zaidi ni mpangilio wa kichujio - bidhaa: "Udhibiti wa Programu" NA app_risk: (4 AU 5 AU 3 ) NA kitendo: "kubali". Tunachuja kumbukumbu kwa kutumia ubao wa kudhibiti Programu, tukichukua tovuti zile tu ambazo zimeainishwa kama tovuti Muhimu, za Juu, za Kati zenye hatari na iwapo tu ufikiaji wa tovuti hizi unaruhusiwa. Picha inaweza kubofya:
Mipangilio, inayoweza kubofya:
Dashibodi
Kuangalia na kuunda dashibodi iko kwenye kipengee tofauti cha menyu - Dashibodi. Kila kitu ni rahisi hapa, dashibodi mpya imeundwa, taswira inaongezwa kwake, imewekwa mahali pake na ndivyo hivyo!
Tunaunda dashibodi ambayo unaweza kuelewa hali ya msingi ya hali ya usalama wa habari katika shirika, bila shaka, tu katika kiwango cha Check Point, picha inaweza kubofya:
Kulingana na grafu hizi, tunaweza kuelewa ni sahihi gani muhimu ambazo hazijazuiwa kwenye ngome, watumiaji huenda na ni programu gani hatari zaidi wanazotumia.
Hitimisho
Tuliangalia uwezo wa taswira ya kimsingi huko Kibana na tukajenga dashibodi, lakini hii ni sehemu ndogo tu. Zaidi katika kozi tutaangalia kando kuweka ramani, kufanya kazi na mfumo wa elasticsearch, kufahamiana na maombi ya API, otomatiki na mengi zaidi!
Kwa hivyo subiri (, , , ), .
Chanzo: mapenzi.com