TS மொத்த பார்வை. நிகழ்வு சேகரிப்பு, நிகழ்வு பகுப்பாய்வு மற்றும் அச்சுறுத்தல் பதில் ஆட்டோமேஷன் கருவி

நல்ல மதியம், முந்தைய கட்டுரைகளில் ELK ஸ்டேக்கின் வேலையைப் பற்றி அறிந்தோம். இந்த அமைப்புகளைப் பயன்படுத்துவதில் ஒரு தகவல் பாதுகாப்பு நிபுணரால் உணரக்கூடிய சாத்தியக்கூறுகளைப் பற்றி இப்போது விவாதிப்போம். மீள் தேடலில் என்ன பதிவுகளை சேர்க்கலாம் மற்றும் சேர்க்க வேண்டும். டேஷ்போர்டுகளை அமைப்பதன் மூலம் என்னென்ன புள்ளி விவரங்கள் கிடைக்கும், இதில் லாபம் கிடைக்குமா என்று பார்ப்போம். ELK ஸ்டேக்கைப் பயன்படுத்தி தகவல் பாதுகாப்பு செயல்முறைகளின் ஆட்டோமேஷனை எவ்வாறு செயல்படுத்துவது. அமைப்பின் கட்டமைப்பை உருவாக்குவோம். மொத்தத்தில், அனைத்து செயல்பாடுகளையும் செயல்படுத்துவது மிகவும் பெரிய மற்றும் கடினமான பணியாகும், எனவே தீர்வுக்கு ஒரு தனி பெயர் வழங்கப்பட்டது - TS மொத்த பார்வை.

தற்போது, ​​ஒரு தர்க்கரீதியான இடத்தில் தகவல் பாதுகாப்பு சம்பவங்களை ஒருங்கிணைத்து பகுப்பாய்வு செய்யும் தீர்வுகள் பிரபலமடைந்து வருகின்றன, இதன் விளைவாக, ஒரு நிபுணர் புள்ளிவிவரங்களைப் பெறுகிறார் மற்றும் ஒரு நிறுவனத்தில் தகவல் பாதுகாப்பின் நிலையை மேம்படுத்த நடவடிக்கை எடுக்கிறார். ELK அடுக்கைப் பயன்படுத்துவதில் இதுபோன்ற ஒரு பணியை நாங்கள் அமைத்துக் கொண்டோம், இதன் விளைவாக, முக்கிய செயல்பாட்டை 4 பிரிவுகளில் தனிமைப்படுத்தினோம்:

1. புள்ளிவிவரங்கள் மற்றும் காட்சிப்படுத்தல்;
2. IS சம்பவம் கண்டறிதல்;
3. சம்பவங்களின் முன்னுரிமை;
4. தகவல் பாதுகாப்பு செயல்முறைகளின் ஆட்டோமேஷன்.

ஒவ்வொன்றையும் இன்னும் விரிவாகப் பார்ப்போம்.

தகவல் பாதுகாப்பு சம்பவம் கண்டறிதல்

எங்கள் விஷயத்தில் மீள் தேடலைப் பயன்படுத்துவதில் முக்கிய பணி தகவல் பாதுகாப்பு சம்பவங்களை மட்டுமே சேகரிப்பதாகும். குறைந்தபட்சம் சில பதிவு பரிமாற்ற முறைகளை ஆதரித்தால், எந்தவொரு பாதுகாப்பு முறையிலிருந்தும் தகவல் பாதுகாப்பு சம்பவங்களை நீங்கள் சேகரிக்கலாம், நிலையானது syslog அல்லது scp ஒரு கோப்பில் சேமிப்பதாகும்.

பாதுகாப்பு கருவிகளின் நிலையான எடுத்துக்காட்டுகளை நீங்கள் கொடுக்கலாம் மற்றும் பதிவுகளின் பகிர்தலை எங்கிருந்து கட்டமைக்க வேண்டும் என்பது மட்டுமல்ல:

1. ஏதேனும் NGFW நிதிகள் (செக் பாயிண்ட், ஃபோர்டினெட்);
2. ஏதேனும் பாதிப்பு ஸ்கேனர்கள் (PT ஸ்கேனர், OpenVas);
3. வலை பயன்பாட்டு ஃபயர்வால் (PTAF);
4. Netflow பகுப்பாய்விகள் (Flowmon, Cisco StealthWatch);
5. AD சேவையகம்.

பதிவுகள் மற்றும் உள்ளமைவு கோப்புகளை அனுப்ப Logstash ஐ அமைத்தவுடன், நீங்கள் பல்வேறு பாதுகாப்பு கருவிகளில் இருந்து வரும் சம்பவங்களுடன் தொடர்புபடுத்தி ஒப்பிடலாம். இதைச் செய்ய, குறியீடுகளைப் பயன்படுத்துவது வசதியானது, அதில் ஒரு குறிப்பிட்ட சாதனத்துடன் தொடர்புடைய அனைத்து சம்பவங்களையும் சேமிப்போம். வேறு வார்த்தைகளில் கூறுவதானால், ஒரு குறியீடு என்பது ஒரு சாதனத்திற்கான அனைத்து நிகழ்வுகளும் ஆகும். இந்த விநியோகத்தை இரண்டு வழிகளில் செயல்படுத்தலாம்.

முதல் விருப்பம் Logstash கட்டமைப்பை உள்ளமைப்பதாகும். இதைச் செய்ய, நீங்கள் குறிப்பிட்ட புலங்களுக்கான பதிவை வேறு வகையுடன் தனி அலகுக்கு நகலெடுக்க வேண்டும். பின்னர் இந்த வகையைப் பயன்படுத்தவும். உதாரணம் செக் பாயிண்ட் ஃபயர்வாலின் ஐபிஎஸ் பிளேடிலிருந்து பதிவுகளை குளோன் செய்கிறது.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

பதிவுகளின் புலங்களைப் பொறுத்து அத்தகைய நிகழ்வுகளை ஒரு தனி குறியீட்டில் சேமிப்பதற்காக, எடுத்துக்காட்டாக, தாக்குதல் கையொப்பத்தின் இலக்கு ஐபி போன்றவை. நீங்கள் இதே போன்ற கட்டுமானத்தைப் பயன்படுத்தலாம்:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

இந்த வழியில், நீங்கள் அனைத்து சம்பவங்களையும் குறியீட்டில் சேமிக்கலாம், எடுத்துக்காட்டாக, ஐபி முகவரி அல்லது கணினியின் டொமைன் பெயர் மூலம். இந்த வழக்கில், நாங்கள் குறியீட்டில் சேமிக்கிறோம் "ஸ்மார்ட் டிஃபென்ஸ்-%{dst}", கையொப்ப இலக்கின் IP முகவரி மூலம்.

இருப்பினும், வெவ்வேறு தயாரிப்புகள் வெவ்வேறு பதிவு புலங்களைக் கொண்டிருக்கும், இதன் விளைவாக குழப்பம் மற்றும் வீணான நினைவகம். லாக்ஸ்டாஷ் கட்டமைப்பு அமைப்புகளில் உள்ள புலங்களை முன்பே வடிவமைக்கப்பட்டவற்றுடன் கவனமாக மாற்றுவது இங்கே அவசியம், இது எல்லா வகையான சம்பவங்களுக்கும் ஒரே மாதிரியாக இருக்கும், இது கடினமான பணியாகும்.

இரண்டாவது செயல்படுத்தல் விருப்பம் - இது ஒரு ஸ்கிரிப்ட் அல்லது செயல்முறையை எழுதுகிறது, இது நிகழ்நேரத்தில் மீள் தளத்தை அணுகும், தேவையான சம்பவங்களை வெளியே இழுத்து, அவற்றை ஒரு புதிய குறியீட்டில் சேமிக்கும், இது கடினமான பணி, ஆனால் நீங்கள் விரும்பியபடி பதிவுகளுடன் வேலை செய்ய இது உங்களை அனுமதிக்கிறது. , மற்றும் பிற பாதுகாப்பு கருவிகளின் சம்பவங்களுடன் நேரடியாக தொடர்புபடுத்தவும். அதிகபட்ச நெகிழ்வுத்தன்மையுடன் உங்கள் வழக்குக்கு முடிந்தவரை பயனுள்ள பதிவுகளுடன் வேலையைத் தனிப்பயனாக்க இந்த விருப்பம் உங்களை அனுமதிக்கிறது, ஆனால் இங்கே இதைச் செயல்படுத்தக்கூடிய ஒரு நிபுணரைக் கண்டுபிடிப்பதில் சிக்கல் உள்ளது.

மற்றும், நிச்சயமாக, மிக முக்கியமான கேள்வி என்ன தொடர்பு மற்றும் கண்டறிய முடியும்?

இங்கே பல விருப்பங்கள் இருக்கலாம், மேலும் உங்கள் உள்கட்டமைப்பில் என்ன பாதுகாப்பு கருவிகள் பயன்படுத்தப்படுகின்றன என்பதைப் பொறுத்து, இரண்டு எடுத்துக்காட்டுகள்:

1. NGFW தீர்வு மற்றும் பாதிப்பு ஸ்கேனர் உள்ளவர்களுக்கு மிகவும் வெளிப்படையானது மற்றும் எனது பார்வையில் மிகவும் சுவாரஸ்யமான விருப்பம். இது IPS பதிவுகள் மற்றும் பாதிப்பு ஸ்கேன் முடிவுகளின் ஒப்பீடு ஆகும். ஐபிஎஸ் அமைப்பால் தாக்குதல் கண்டறியப்பட்டால் (தடுக்கப்படவில்லை), மற்றும் ஸ்கேன் முடிவுகளின் அடிப்படையில் இந்த பாதிப்பு இறுதி இயந்திரத்தில் மூடப்படாவிட்டால், பாதிப்பு ஏற்படுவதற்கான அதிக நிகழ்தகவு இருப்பதால், அனைத்து குழாய்களையும் ஊதுவது அவசியம். சுரண்டப்பட்டது.
2. ஒரு கணினியிலிருந்து வெவ்வேறு இடங்களுக்குப் பல உள்நுழைவு முயற்சிகள் தீங்கிழைக்கும் செயல்பாட்டைக் குறிக்கும்.
3. அதிக எண்ணிக்கையிலான ஆபத்தான தளங்களைப் பார்வையிடுவதன் காரணமாக பயனர் வைரஸ் கோப்புகளைப் பதிவிறக்குவது.

புள்ளிவிவரங்கள் மற்றும் காட்சிப்படுத்தல்

ELK ஸ்டாக்கின் மிகவும் தெளிவான மற்றும் புரிந்துகொள்ளக்கூடிய நோக்கம் பதிவுகளின் சேமிப்பு மற்றும் காட்சிப்படுத்தல் ஆகும், கடந்த கட்டுரைகளில் Logstash ஐப் பயன்படுத்தி பல்வேறு சாதனங்களில் இருந்து பதிவுகளைப் பெறுவது எப்படி என்று காட்டப்பட்டது. பதிவுகள் எலாஸ்டிக் தேடலுக்குச் சென்ற பிறகு, நீங்கள் டாஷ்போர்டுகளை அமைக்கலாம், அவை குறிப்பிடப்பட்டுள்ளன கடந்த கட்டுரைகளில், காட்சிப்படுத்தல் மூலம் உங்களுக்குத் தேவையான தகவல் மற்றும் புள்ளிவிவரங்களுடன்.

உதாரணங்கள்:

1. மிக முக்கியமான நிகழ்வுகளைக் கொண்ட அச்சுறுத்தல் தடுப்பு நிகழ்வுகளின் டாஷ்போர்டு. எந்த ஐபிஎஸ் கையொப்பங்கள் கண்டறியப்பட்டன, அவை புவியியல் ரீதியாக எங்கிருந்து வருகின்றன என்பதை இங்கே நீங்கள் பிரதிபலிக்கலாம்.

   

2. தகவல் கசியக்கூடிய மிக முக்கியமான பயன்பாடுகளின் பயன்பாடு குறித்த டாஷ்போர்டு.

   

3. எந்த பாதுகாப்பு ஸ்கேனரிலிருந்தும் முடிவுகளை ஸ்கேன் செய்யவும்.

   

4. பயனர்களின் செயலில் உள்ள கோப்பகத்திலிருந்து பதிவுகள்.

   

5. VPN இணைப்பு டாஷ்போர்டு.

இந்த வழக்கில், ஒவ்வொரு சில வினாடிகளிலும் புதுப்பிக்கும் வகையில் டாஷ்போர்டுகளை அமைத்தால், நிகழ்வுகளை நிகழ்நேரத்தில் கண்காணிக்க மிகவும் வசதியான அமைப்பைப் பெறலாம், பின்னர் டேஷ்போர்டுகளை வைத்தால், தகவல் பாதுகாப்பு சம்பவங்களுக்கு விரைவாக பதிலளிக்க இது பயன்படும். தனி திரை.

நிகழ்வு முன்னுரிமை

ஒரு பெரிய உள்கட்டமைப்பின் நிலைமைகளில், சம்பவங்களின் எண்ணிக்கை அளவை மீறலாம், மேலும் அனைத்து சம்பவங்களையும் சரியான நேரத்தில் பகுப்பாய்வு செய்ய நிபுணர்களுக்கு நேரம் இருக்காது. இந்த விஷயத்தில், பெரும் அச்சுறுத்தலைக் கொண்ட சம்பவங்களை மட்டும் தனிமைப்படுத்துவது முதலில் அவசியம். எனவே, உங்கள் உள்கட்டமைப்பு தொடர்பான சம்பவங்களுக்கு அவற்றின் தீவிரத்தன்மைக்கு ஏற்ப கணினி முன்னுரிமை அளிக்க வேண்டும். இந்த நிகழ்வுகளின் அஞ்சல் அல்லது தந்திகளில் அறிவிப்பை அமைப்பது நல்லது. காட்சிப்படுத்தலை அமைப்பதன் மூலம் வழக்கமான கிபானா கருவிகளைப் பயன்படுத்தி முன்னுரிமையை செயல்படுத்தலாம். ஆனால் அறிவிப்பு மூலம் இது கடினமானது, இயல்பாகவே இந்த செயல்பாடு எலாஸ்டிக் தேடலின் அடிப்படை பதிப்பில் சேர்க்கப்படவில்லை, பணம் செலுத்தியதில் மட்டுமே. எனவே, பணம் செலுத்திய பதிப்பை வாங்கவும் அல்லது மீண்டும் ஒரு செயல்முறையை எழுதவும், இது நிபுணர்களுக்கு நிகழ்நேரத்தில் அஞ்சல் அல்லது தந்தி மூலம் தெரிவிக்கும்.

தகவல் பாதுகாப்பு செயல்முறைகளின் ஆட்டோமேஷன்

தகவல் பாதுகாப்பு சம்பவங்களுக்கான செயல்களின் ஆட்டோமேஷன் மிகவும் சுவாரஸ்யமான பகுதிகளில் ஒன்றாகும். முன்னதாக, ஸ்ப்ளங்கிற்காக இந்த செயல்பாட்டை நாங்கள் செயல்படுத்தினோம், இதில் நீங்கள் இன்னும் கொஞ்சம் படிக்கலாம் கட்டுரை. அடிப்படை யோசனை என்னவென்றால், ஐபிஎஸ் கொள்கை ஒருபோதும் சோதிக்கப்படவில்லை அல்லது மேம்படுத்தப்படவில்லை, இருப்பினும் சில சந்தர்ப்பங்களில் இது தகவல் பாதுகாப்பு செயல்முறைகளின் இன்றியமையாத பகுதியாகும். எடுத்துக்காட்டாக, NGFW செயல்படுத்தப்பட்டு ஒரு வருடம் கழித்து, IPS ஐ மேம்படுத்துவதற்கான நடவடிக்கைகள் இல்லாததால், தடுக்கப்படாது கண்டறிதல் நடவடிக்கையுடன் நீங்கள் அதிக எண்ணிக்கையிலான கையொப்பங்களைக் குவிப்பீர்கள், இது நிறுவனத்தில் தகவல் பாதுகாப்பின் நிலையை வெகுவாகக் குறைக்கிறது. தானியங்கு செய்யக்கூடிய சில எடுத்துக்காட்டுகள் இங்கே:

1. ஐபிஎஸ் கையொப்பத்தை கண்டறிவதிலிருந்து தடுப்பதற்கு மாற்றுதல். முக்கியமான கையொப்பங்களில் தடுப்பு வேலை செய்யவில்லை என்றால், இது ஒழுங்கற்றது மற்றும் பாதுகாப்பு அமைப்பில் கடுமையான மீறல். கொள்கையில் உள்ள செயலை அத்தகைய கையொப்பங்களுக்கு மாற்றுவோம். NGFW சாதனத்தில் REST API செயல்பாடு இருந்தால் இந்த செயல்பாடு செயல்படுத்தப்படும். உங்களிடம் நிரலாக்கத் திறன் இருந்தால் மட்டுமே இது சாத்தியமாகும், நீங்கள் Elastcisearch இலிருந்து தேவையான தகவலைப் பெற வேண்டும் மற்றும் NGFW கட்டுப்பாட்டு சேவையகத்திற்கு API கோரிக்கைகளை செயல்படுத்த வேண்டும்.
2. ஒரு ஐபி முகவரியிலிருந்து நெட்வொர்க் ட்ராஃபிக்கில் நிறைய கையொப்பங்கள் கண்டறியப்பட்டால் அல்லது தடுக்கப்பட்டிருந்தால், ஃபயர்வால் கொள்கையில் இந்த ஐபி முகவரியைத் தடுப்பது அர்த்தமுள்ளதாக இருக்கும். செயல்படுத்தல் REST API ஐப் பயன்படுத்துவதையும் கொண்டுள்ளது.
3. இந்த ஹோஸ்டில் ஐபிஎஸ் அல்லது பிற பாதுகாப்புக் கருவிகளுக்கு அதிக எண்ணிக்கையிலான கையொப்பங்கள் இருந்தால், அது OpenVas ஆக இருந்தால், பாதுகாப்பு ஸ்கேனருடன் ssh வழியாக இணைக்கும் ஸ்கிரிப்டை நீங்கள் எழுதலாம் மற்றும் ஸ்கேனை இயக்கலாம்.

TS மொத்த பார்வை

மொத்தத்தில், அனைத்து செயல்பாடுகளையும் செயல்படுத்துவது மிகப்பெரிய மற்றும் கடினமான பணியாகும். நிரலாக்க திறன்கள் இல்லாமல், நீங்கள் குறைந்தபட்ச செயல்பாட்டை அமைக்கலாம், இது உற்பத்தித்திறனில் பயன்படுத்த போதுமானதாக இருக்கலாம். ஆனால் நீங்கள் அனைத்து செயல்பாடுகளிலும் ஆர்வமாக இருந்தால், நீங்கள் TS மொத்த பார்வைக்கு கவனம் செலுத்தலாம். எங்களிடம் நீங்கள் மேலும் விவரங்களைக் காணலாம் வலைத்தளத்தில். இதன் விளைவாக, வேலை மற்றும் கட்டிடக்கலையின் முழு திட்டமும் இப்படி இருக்கும்:

முடிவுக்கு

ELK ஸ்டாக்கைப் பயன்படுத்தி என்ன செயல்படுத்தலாம் என்பதைப் பார்த்தோம். அடுத்தடுத்த கட்டுரைகளில், TS மொத்த பார்வையின் செயல்பாட்டை நாங்கள் தனித்தனியாகக் கருதுவோம்!

எனவே காத்திருங்கள்தந்தி, பேஸ்புக், VK, TS தீர்வு வலைப்பதிவு), யாண்டெக்ஸ் ஜென்.

ஆதாரம்: www.habr.com