நல்ல மதியம், முந்தைய கட்டுரைகளில் ELK ஸ்டேக்கின் வேலையைப் பற்றி அறிந்தோம். இந்த அமைப்புகளைப் பயன்படுத்துவதில் ஒரு தகவல் பாதுகாப்பு நிபுணரால் உணரக்கூடிய சாத்தியக்கூறுகளைப் பற்றி இப்போது விவாதிப்போம். மீள் தேடலில் என்ன பதிவுகளை சேர்க்கலாம் மற்றும் சேர்க்க வேண்டும். டேஷ்போர்டுகளை அமைப்பதன் மூலம் என்னென்ன புள்ளி விவரங்கள் கிடைக்கும், இதில் லாபம் கிடைக்குமா என்று பார்ப்போம். ELK ஸ்டேக்கைப் பயன்படுத்தி தகவல் பாதுகாப்பு செயல்முறைகளின் ஆட்டோமேஷனை எவ்வாறு செயல்படுத்துவது. அமைப்பின் கட்டமைப்பை உருவாக்குவோம். மொத்தத்தில், அனைத்து செயல்பாடுகளையும் செயல்படுத்துவது மிகவும் பெரிய மற்றும் கடினமான பணியாகும், எனவே தீர்வுக்கு ஒரு தனி பெயர் வழங்கப்பட்டது - TS மொத்த பார்வை.
தற்போது, ஒரு தர்க்கரீதியான இடத்தில் தகவல் பாதுகாப்பு சம்பவங்களை ஒருங்கிணைத்து பகுப்பாய்வு செய்யும் தீர்வுகள் பிரபலமடைந்து வருகின்றன, இதன் விளைவாக, ஒரு நிபுணர் புள்ளிவிவரங்களைப் பெறுகிறார் மற்றும் ஒரு நிறுவனத்தில் தகவல் பாதுகாப்பின் நிலையை மேம்படுத்த நடவடிக்கை எடுக்கிறார். ELK அடுக்கைப் பயன்படுத்துவதில் இதுபோன்ற ஒரு பணியை நாங்கள் அமைத்துக் கொண்டோம், இதன் விளைவாக, முக்கிய செயல்பாட்டை 4 பிரிவுகளில் தனிமைப்படுத்தினோம்:
- புள்ளிவிவரங்கள் மற்றும் காட்சிப்படுத்தல்;
- IS சம்பவம் கண்டறிதல்;
- சம்பவங்களின் முன்னுரிமை;
- தகவல் பாதுகாப்பு செயல்முறைகளின் ஆட்டோமேஷன்.
ஒவ்வொன்றையும் இன்னும் விரிவாகப் பார்ப்போம்.
தகவல் பாதுகாப்பு சம்பவம் கண்டறிதல்
எங்கள் விஷயத்தில் மீள் தேடலைப் பயன்படுத்துவதில் முக்கிய பணி தகவல் பாதுகாப்பு சம்பவங்களை மட்டுமே சேகரிப்பதாகும். குறைந்தபட்சம் சில பதிவு பரிமாற்ற முறைகளை ஆதரித்தால், எந்தவொரு பாதுகாப்பு முறையிலிருந்தும் தகவல் பாதுகாப்பு சம்பவங்களை நீங்கள் சேகரிக்கலாம், நிலையானது syslog அல்லது scp ஒரு கோப்பில் சேமிப்பதாகும்.
பாதுகாப்பு கருவிகளின் நிலையான எடுத்துக்காட்டுகளை நீங்கள் கொடுக்கலாம் மற்றும் பதிவுகளின் பகிர்தலை எங்கிருந்து கட்டமைக்க வேண்டும் என்பது மட்டுமல்ல:
- ஏதேனும் NGFW நிதிகள் (செக் பாயிண்ட், ஃபோர்டினெட்);
- ஏதேனும் பாதிப்பு ஸ்கேனர்கள் (PT ஸ்கேனர், OpenVas);
- வலை பயன்பாட்டு ஃபயர்வால் (PTAF);
- Netflow பகுப்பாய்விகள் (Flowmon, Cisco StealthWatch);
- AD சேவையகம்.
பதிவுகள் மற்றும் உள்ளமைவு கோப்புகளை அனுப்ப Logstash ஐ அமைத்தவுடன், நீங்கள் பல்வேறு பாதுகாப்பு கருவிகளில் இருந்து வரும் சம்பவங்களுடன் தொடர்புபடுத்தி ஒப்பிடலாம். இதைச் செய்ய, குறியீடுகளைப் பயன்படுத்துவது வசதியானது, அதில் ஒரு குறிப்பிட்ட சாதனத்துடன் தொடர்புடைய அனைத்து சம்பவங்களையும் சேமிப்போம். வேறு வார்த்தைகளில் கூறுவதானால், ஒரு குறியீடு என்பது ஒரு சாதனத்திற்கான அனைத்து நிகழ்வுகளும் ஆகும். இந்த விநியோகத்தை இரண்டு வழிகளில் செயல்படுத்தலாம்.
முதல் விருப்பம் Logstash கட்டமைப்பை உள்ளமைப்பதாகும். இதைச் செய்ய, நீங்கள் குறிப்பிட்ட புலங்களுக்கான பதிவை வேறு வகையுடன் தனி அலகுக்கு நகலெடுக்க வேண்டும். பின்னர் இந்த வகையைப் பயன்படுத்தவும். உதாரணம் செக் பாயிண்ட் ஃபயர்வாலின் ஐபிஎஸ் பிளேடிலிருந்து பதிவுகளை குளோன் செய்கிறது.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
பதிவுகளின் புலங்களைப் பொறுத்து அத்தகைய நிகழ்வுகளை ஒரு தனி குறியீட்டில் சேமிப்பதற்காக, எடுத்துக்காட்டாக, தாக்குதல் கையொப்பத்தின் இலக்கு ஐபி போன்றவை. நீங்கள் இதே போன்ற கட்டுமானத்தைப் பயன்படுத்தலாம்:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
இந்த வழியில், நீங்கள் அனைத்து சம்பவங்களையும் குறியீட்டில் சேமிக்கலாம், எடுத்துக்காட்டாக, ஐபி முகவரி அல்லது கணினியின் டொமைன் பெயர் மூலம். இந்த வழக்கில், நாங்கள் குறியீட்டில் சேமிக்கிறோம் "ஸ்மார்ட் டிஃபென்ஸ்-%{dst}", கையொப்ப இலக்கின் IP முகவரி மூலம்.
இருப்பினும், வெவ்வேறு தயாரிப்புகள் வெவ்வேறு பதிவு புலங்களைக் கொண்டிருக்கும், இதன் விளைவாக குழப்பம் மற்றும் வீணான நினைவகம். லாக்ஸ்டாஷ் கட்டமைப்பு அமைப்புகளில் உள்ள புலங்களை முன்பே வடிவமைக்கப்பட்டவற்றுடன் கவனமாக மாற்றுவது இங்கே அவசியம், இது எல்லா வகையான சம்பவங்களுக்கும் ஒரே மாதிரியாக இருக்கும், இது கடினமான பணியாகும்.
இரண்டாவது செயல்படுத்தல் விருப்பம் - இது ஒரு ஸ்கிரிப்ட் அல்லது செயல்முறையை எழுதுகிறது, இது நிகழ்நேரத்தில் மீள் தளத்தை அணுகும், தேவையான சம்பவங்களை வெளியே இழுத்து, அவற்றை ஒரு புதிய குறியீட்டில் சேமிக்கும், இது கடினமான பணி, ஆனால் நீங்கள் விரும்பியபடி பதிவுகளுடன் வேலை செய்ய இது உங்களை அனுமதிக்கிறது. , மற்றும் பிற பாதுகாப்பு கருவிகளின் சம்பவங்களுடன் நேரடியாக தொடர்புபடுத்தவும். அதிகபட்ச நெகிழ்வுத்தன்மையுடன் உங்கள் வழக்குக்கு முடிந்தவரை பயனுள்ள பதிவுகளுடன் வேலையைத் தனிப்பயனாக்க இந்த விருப்பம் உங்களை அனுமதிக்கிறது, ஆனால் இங்கே இதைச் செயல்படுத்தக்கூடிய ஒரு நிபுணரைக் கண்டுபிடிப்பதில் சிக்கல் உள்ளது.
மற்றும், நிச்சயமாக, மிக முக்கியமான கேள்வி என்ன தொடர்பு மற்றும் கண்டறிய முடியும்?
இங்கே பல விருப்பங்கள் இருக்கலாம், மேலும் உங்கள் உள்கட்டமைப்பில் என்ன பாதுகாப்பு கருவிகள் பயன்படுத்தப்படுகின்றன என்பதைப் பொறுத்து, இரண்டு எடுத்துக்காட்டுகள்:
- NGFW தீர்வு மற்றும் பாதிப்பு ஸ்கேனர் உள்ளவர்களுக்கு மிகவும் வெளிப்படையானது மற்றும் எனது பார்வையில் மிகவும் சுவாரஸ்யமான விருப்பம். இது IPS பதிவுகள் மற்றும் பாதிப்பு ஸ்கேன் முடிவுகளின் ஒப்பீடு ஆகும். ஐபிஎஸ் அமைப்பால் தாக்குதல் கண்டறியப்பட்டால் (தடுக்கப்படவில்லை), மற்றும் ஸ்கேன் முடிவுகளின் அடிப்படையில் இந்த பாதிப்பு இறுதி இயந்திரத்தில் மூடப்படாவிட்டால், பாதிப்பு ஏற்படுவதற்கான அதிக நிகழ்தகவு இருப்பதால், அனைத்து குழாய்களையும் ஊதுவது அவசியம். சுரண்டப்பட்டது.
- ஒரு கணினியிலிருந்து வெவ்வேறு இடங்களுக்குப் பல உள்நுழைவு முயற்சிகள் தீங்கிழைக்கும் செயல்பாட்டைக் குறிக்கும்.
- அதிக எண்ணிக்கையிலான ஆபத்தான தளங்களைப் பார்வையிடுவதன் காரணமாக பயனர் வைரஸ் கோப்புகளைப் பதிவிறக்குவது.
புள்ளிவிவரங்கள் மற்றும் காட்சிப்படுத்தல்
ELK ஸ்டாக்கின் மிகவும் தெளிவான மற்றும் புரிந்துகொள்ளக்கூடிய நோக்கம் பதிவுகளின் சேமிப்பு மற்றும் காட்சிப்படுத்தல் ஆகும்,
உதாரணங்கள்:
- மிக முக்கியமான நிகழ்வுகளைக் கொண்ட அச்சுறுத்தல் தடுப்பு நிகழ்வுகளின் டாஷ்போர்டு. எந்த ஐபிஎஸ் கையொப்பங்கள் கண்டறியப்பட்டன, அவை புவியியல் ரீதியாக எங்கிருந்து வருகின்றன என்பதை இங்கே நீங்கள் பிரதிபலிக்கலாம்.
- தகவல் கசியக்கூடிய மிக முக்கியமான பயன்பாடுகளின் பயன்பாடு குறித்த டாஷ்போர்டு.
- எந்த பாதுகாப்பு ஸ்கேனரிலிருந்தும் முடிவுகளை ஸ்கேன் செய்யவும்.
- பயனர்களின் செயலில் உள்ள கோப்பகத்திலிருந்து பதிவுகள்.
- VPN இணைப்பு டாஷ்போர்டு.
இந்த வழக்கில், ஒவ்வொரு சில வினாடிகளிலும் புதுப்பிக்கும் வகையில் டாஷ்போர்டுகளை அமைத்தால், நிகழ்வுகளை நிகழ்நேரத்தில் கண்காணிக்க மிகவும் வசதியான அமைப்பைப் பெறலாம், பின்னர் டேஷ்போர்டுகளை வைத்தால், தகவல் பாதுகாப்பு சம்பவங்களுக்கு விரைவாக பதிலளிக்க இது பயன்படும். தனி திரை.
நிகழ்வு முன்னுரிமை
ஒரு பெரிய உள்கட்டமைப்பின் நிலைமைகளில், சம்பவங்களின் எண்ணிக்கை அளவை மீறலாம், மேலும் அனைத்து சம்பவங்களையும் சரியான நேரத்தில் பகுப்பாய்வு செய்ய நிபுணர்களுக்கு நேரம் இருக்காது. இந்த விஷயத்தில், பெரும் அச்சுறுத்தலைக் கொண்ட சம்பவங்களை மட்டும் தனிமைப்படுத்துவது முதலில் அவசியம். எனவே, உங்கள் உள்கட்டமைப்பு தொடர்பான சம்பவங்களுக்கு அவற்றின் தீவிரத்தன்மைக்கு ஏற்ப கணினி முன்னுரிமை அளிக்க வேண்டும். இந்த நிகழ்வுகளின் அஞ்சல் அல்லது தந்திகளில் அறிவிப்பை அமைப்பது நல்லது. காட்சிப்படுத்தலை அமைப்பதன் மூலம் வழக்கமான கிபானா கருவிகளைப் பயன்படுத்தி முன்னுரிமையை செயல்படுத்தலாம். ஆனால் அறிவிப்பு மூலம் இது கடினமானது, இயல்பாகவே இந்த செயல்பாடு எலாஸ்டிக் தேடலின் அடிப்படை பதிப்பில் சேர்க்கப்படவில்லை, பணம் செலுத்தியதில் மட்டுமே. எனவே, பணம் செலுத்திய பதிப்பை வாங்கவும் அல்லது மீண்டும் ஒரு செயல்முறையை எழுதவும், இது நிபுணர்களுக்கு நிகழ்நேரத்தில் அஞ்சல் அல்லது தந்தி மூலம் தெரிவிக்கும்.
தகவல் பாதுகாப்பு செயல்முறைகளின் ஆட்டோமேஷன்
தகவல் பாதுகாப்பு சம்பவங்களுக்கான செயல்களின் ஆட்டோமேஷன் மிகவும் சுவாரஸ்யமான பகுதிகளில் ஒன்றாகும். முன்னதாக, ஸ்ப்ளங்கிற்காக இந்த செயல்பாட்டை நாங்கள் செயல்படுத்தினோம், இதில் நீங்கள் இன்னும் கொஞ்சம் படிக்கலாம்
- ஐபிஎஸ் கையொப்பத்தை கண்டறிவதிலிருந்து தடுப்பதற்கு மாற்றுதல். முக்கியமான கையொப்பங்களில் தடுப்பு வேலை செய்யவில்லை என்றால், இது ஒழுங்கற்றது மற்றும் பாதுகாப்பு அமைப்பில் கடுமையான மீறல். கொள்கையில் உள்ள செயலை அத்தகைய கையொப்பங்களுக்கு மாற்றுவோம். NGFW சாதனத்தில் REST API செயல்பாடு இருந்தால் இந்த செயல்பாடு செயல்படுத்தப்படும். உங்களிடம் நிரலாக்கத் திறன் இருந்தால் மட்டுமே இது சாத்தியமாகும், நீங்கள் Elastcisearch இலிருந்து தேவையான தகவலைப் பெற வேண்டும் மற்றும் NGFW கட்டுப்பாட்டு சேவையகத்திற்கு API கோரிக்கைகளை செயல்படுத்த வேண்டும்.
- ஒரு ஐபி முகவரியிலிருந்து நெட்வொர்க் ட்ராஃபிக்கில் நிறைய கையொப்பங்கள் கண்டறியப்பட்டால் அல்லது தடுக்கப்பட்டிருந்தால், ஃபயர்வால் கொள்கையில் இந்த ஐபி முகவரியைத் தடுப்பது அர்த்தமுள்ளதாக இருக்கும். செயல்படுத்தல் REST API ஐப் பயன்படுத்துவதையும் கொண்டுள்ளது.
- இந்த ஹோஸ்டில் ஐபிஎஸ் அல்லது பிற பாதுகாப்புக் கருவிகளுக்கு அதிக எண்ணிக்கையிலான கையொப்பங்கள் இருந்தால், அது OpenVas ஆக இருந்தால், பாதுகாப்பு ஸ்கேனருடன் ssh வழியாக இணைக்கும் ஸ்கிரிப்டை நீங்கள் எழுதலாம் மற்றும் ஸ்கேனை இயக்கலாம்.
TS மொத்த பார்வை
மொத்தத்தில், அனைத்து செயல்பாடுகளையும் செயல்படுத்துவது மிகப்பெரிய மற்றும் கடினமான பணியாகும். நிரலாக்க திறன்கள் இல்லாமல், நீங்கள் குறைந்தபட்ச செயல்பாட்டை அமைக்கலாம், இது உற்பத்தித்திறனில் பயன்படுத்த போதுமானதாக இருக்கலாம். ஆனால் நீங்கள் அனைத்து செயல்பாடுகளிலும் ஆர்வமாக இருந்தால், நீங்கள் TS மொத்த பார்வைக்கு கவனம் செலுத்தலாம். எங்களிடம் நீங்கள் மேலும் விவரங்களைக் காணலாம்
முடிவுக்கு
ELK ஸ்டாக்கைப் பயன்படுத்தி என்ன செயல்படுத்தலாம் என்பதைப் பார்த்தோம். அடுத்தடுத்த கட்டுரைகளில், TS மொத்த பார்வையின் செயல்பாட்டை நாங்கள் தனித்தனியாகக் கருதுவோம்!
எனவே காத்திருங்கள்
ஆதாரம்: www.habr.com