3. సాగే స్టాక్: భద్రతా లాగ్‌ల విశ్లేషణ. డాష్‌బోర్డ్‌లు

మునుపటి కథనాలలో, మేము ఎల్క్ స్టాక్ మరియు లాగ్ పార్సర్ కోసం లాగ్‌స్టాష్ కాన్ఫిగరేషన్ ఫైల్‌ను సెటప్ చేయడం గురించి కొంచెం పరిచయం చేసాము. ఈ కథనంలో, మీరు ఏమి చేయాలనుకుంటున్నారో విశ్లేషణాత్మక కోణం నుండి మేము చాలా ముఖ్యమైన విషయానికి వెళ్తాము. సిస్టమ్ నుండి చూడండి మరియు ప్రతిదీ దేని కోసం సృష్టించబడింది - ఇవి గ్రాఫ్‌లు మరియు పట్టికలు కలిపి ఉంటాయి డాష్‌బోర్డ్‌లు. ఈ రోజు మనం విజువలైజేషన్ సిస్టమ్‌ను నిశితంగా పరిశీలిస్తాము Kibana, మేము గ్రాఫ్‌లు మరియు పట్టికలను ఎలా సృష్టించాలో పరిశీలిస్తాము మరియు ఫలితంగా మేము చెక్ పాయింట్ ఫైర్‌వాల్ నుండి లాగ్‌ల ఆధారంగా ఒక సాధారణ డాష్‌బోర్డ్‌ను రూపొందిస్తాము.

కిబానాతో పని చేయడంలో మొదటి దశ సృష్టించడం సూచిక నమూనా, తార్కికంగా, ఇది ఒక నిర్దిష్ట సూత్రం ప్రకారం ఏకీకృతమైన సూచికల ఆధారం. వాస్తవానికి, ఇది పూర్తిగా కిబానాను ఒకే సమయంలో అన్ని ఇండెక్స్‌లలో సమాచారాన్ని మరింత సౌకర్యవంతంగా శోధించేలా చేయడానికి ఒక సెట్టింగ్. ఇది స్ట్రింగ్‌తో సరిపోలడం ద్వారా సెట్ చేయబడింది, "చెక్‌పాయింట్-*" మరియు ఇండెక్స్ పేరు చెప్పండి. ఉదాహరణకు, “చెక్‌పాయింట్-2019.12.05” నమూనాకు సరిపోతుంది, కానీ “చెక్‌పాయింట్” ఇకపై ఉండదు. శోధనలో ఒకే సమయంలో వేర్వేరు ఇండెక్స్ నమూనాలపై సమాచారం కోసం శోధించడం అసాధ్యమని విడిగా పేర్కొనడం విలువ; కొద్దిసేపటి తర్వాత తదుపరి కథనాలలో API అభ్యర్థనలు ఇండెక్స్ పేరుతో లేదా కేవలం ఒకదాని ద్వారా చేయబడతాయని మేము చూస్తాము. నమూనా యొక్క పంక్తి, చిత్రం క్లిక్ చేయదగినది:

దీని తర్వాత, అన్ని లాగ్‌లు ఇండెక్స్ చేయబడి ఉన్నాయని మరియు సరైన పార్సర్ కాన్ఫిగర్ చేయబడిందని మేము డిస్కవర్ మెనులో తనిఖీ చేస్తాము. ఏదైనా అసమానతలు కనుగొనబడితే, ఉదాహరణకు, డేటా రకాన్ని స్ట్రింగ్ నుండి పూర్ణాంకానికి మార్చడం, మీరు లాగ్‌స్టాష్ కాన్ఫిగరేషన్ ఫైల్‌ను సవరించాలి, ఫలితంగా, కొత్త లాగ్‌లు సరిగ్గా వ్రాయబడతాయి. మార్పుకు ముందు పాత లాగ్‌లు కావలసిన రూపాన్ని తీసుకోవడానికి, రీఇండెక్సింగ్ ప్రక్రియ మాత్రమే సహాయపడుతుంది; తదుపరి కథనాలలో ఈ ఆపరేషన్ మరింత వివరంగా చర్చించబడుతుంది. ప్రతిదీ క్రమంలో ఉందని నిర్ధారించుకోండి, చిత్రం క్లిక్ చేయగలదు:

లాగ్‌లు స్థానంలో ఉన్నాయి, అంటే మేము డాష్‌బోర్డ్‌లను నిర్మించడం ప్రారంభించవచ్చు. భద్రతా ఉత్పత్తుల నుండి డ్యాష్‌బోర్డ్‌ల విశ్లేషణల ఆధారంగా, మీరు సంస్థలో సమాచార భద్రత స్థితిని అర్థం చేసుకోవచ్చు, ప్రస్తుత విధానంలో దుర్బలత్వాలను స్పష్టంగా చూడవచ్చు మరియు వాటిని తొలగించడానికి మార్గాలను అభివృద్ధి చేయవచ్చు. అనేక విజువలైజేషన్ సాధనాలను ఉపయోగించి చిన్న డ్యాష్‌బోర్డ్‌ను రూపొందిద్దాం. డాష్‌బోర్డ్ 5 భాగాలను కలిగి ఉంటుంది:

1. బ్లేడ్‌ల ద్వారా మొత్తం లాగ్‌ల సంఖ్యను లెక్కించడానికి పట్టిక
2. క్లిష్టమైన IPS సంతకాలపై పట్టిక
3. ముప్పు నివారణ ఈవెంట్‌ల పై చార్ట్
4. అత్యంత ప్రసిద్ధ సందర్శించిన సైట్‌ల చార్ట్
5. అత్యంత ప్రమాదకరమైన అప్లికేషన్ల వినియోగంపై చార్ట్

విజువలైజేషన్ బొమ్మలను రూపొందించడానికి, మీరు మెనుకి వెళ్లాలి దృశ్యమానం, మరియు మేము నిర్మించాలనుకుంటున్న కావలసిన బొమ్మను ఎంచుకోండి! క్రమంలో వెళ్దాం.

బ్లేడ్ ద్వారా మొత్తం లాగ్‌ల సంఖ్యను లెక్కించడానికి పట్టిక

దీన్ని చేయడానికి, ఒక బొమ్మను ఎంచుకోండి డేటా టేబుల్, మేము గ్రాఫ్‌లను సృష్టించే పరికరాల్లోకి వస్తాము, ఎడమవైపు ఫిగర్ సెట్టింగులు ఉన్నాయి, కుడి వైపున ప్రస్తుత సెట్టింగ్‌లలో ఇది ఎలా కనిపిస్తుంది. మొదట, పూర్తయిన పట్టిక ఎలా ఉంటుందో నేను ప్రదర్శిస్తాను, ఆ తర్వాత మేము సెట్టింగుల ద్వారా వెళ్తాము, చిత్రం క్లిక్ చేయగలదు:

ఫిగర్ యొక్క మరింత వివరణాత్మక సెట్టింగ్‌లు, చిత్రం క్లిక్ చేయదగినది:

సెట్టింగ్స్ చూద్దాం.

ప్రారంభంలో కాన్ఫిగర్ చేయబడింది కొలమానాలు, ఇది అన్ని ఫీల్డ్‌లు సమగ్రపరచబడే విలువ. పత్రాల నుండి ఒక విధంగా లేదా మరొక విధంగా సేకరించిన విలువల ఆధారంగా కొలమానాలు లెక్కించబడతాయి. విలువలు సాధారణంగా నుండి సంగ్రహించబడతాయి పొలాలు పత్రం, కానీ స్క్రిప్ట్‌లను ఉపయోగించి కూడా రూపొందించవచ్చు. ఈ సందర్భంలో మేము ఉంచాము అగ్రిగేషన్: కౌంట్ (లాగ్‌ల మొత్తం సంఖ్య).

దీని తరువాత, మేము పట్టికను విభాగాలుగా (ఫీల్డ్‌లు) విభజిస్తాము, దీని ద్వారా మెట్రిక్ లెక్కించబడుతుంది. ఈ ఫంక్షన్ బకెట్స్ సెట్టింగ్ ద్వారా నిర్వహించబడుతుంది, ఇది 2 సెట్టింగ్‌ల ఎంపికలను కలిగి ఉంటుంది:

1. వరుసలను విభజించండి - నిలువు వరుసలను జోడించడం మరియు తరువాత పట్టికను వరుసలుగా విభజించడం
2. స్ప్లిట్ టేబుల్ - నిర్దిష్ట ఫీల్డ్ యొక్క విలువల ఆధారంగా అనేక పట్టికలుగా విభజించడం.

В బకెట్లు మీరు అనేక నిలువు వరుసలు లేదా పట్టికలను సృష్టించడానికి అనేక విభాగాలను జోడించవచ్చు, ఇక్కడ పరిమితులు తార్కికంగా ఉంటాయి. అగ్రిగేషన్‌లో, విభాగాలుగా విభజించడానికి ఏ పద్ధతిని ఉపయోగించాలో మీరు ఎంచుకోవచ్చు: ipv4 పరిధి, తేదీ పరిధి, నిబంధనలు మొదలైనవి. అత్యంత ఆసక్తికరమైన ఎంపిక ఖచ్చితంగా ఉంది నిబంధనలు и ముఖ్యమైన నిబంధనలు, విభాగాలుగా విభజించడం నిర్దిష్ట ఇండెక్స్ ఫీల్డ్ యొక్క విలువల ప్రకారం నిర్వహించబడుతుంది, వాటి మధ్య వ్యత్యాసం తిరిగి వచ్చిన విలువల సంఖ్య మరియు వాటి ప్రదర్శనలో ఉంటుంది. మేము పట్టికను బ్లేడ్‌ల పేరుతో విభజించాలనుకుంటున్నాము కాబట్టి, మేము ఫీల్డ్‌ను ఎంచుకుంటాము - ఉత్పత్తి.కీవర్డ్ మరియు పరిమాణాన్ని 25 రిటర్న్ విలువలకు సెట్ చేయండి.

స్ట్రింగ్‌లకు బదులుగా, సాగే శోధన 2 డేటా రకాలను ఉపయోగిస్తుంది - టెక్స్ట్ и కీవర్డ్. మీరు పూర్తి-వచన శోధనను నిర్వహించాలనుకుంటే, మీరు టెక్స్ట్ రకాన్ని ఉపయోగించాలి, మీ శోధన సేవను వ్రాసేటప్పుడు చాలా అనుకూలమైన విషయం, ఉదాహరణకు, నిర్దిష్ట ఫీల్డ్ విలువలో (టెక్స్ట్) ఒక పదం యొక్క ప్రస్తావన కోసం వెతుకుతుంది. మీకు ఖచ్చితమైన సరిపోలిక మాత్రమే కావాలంటే, మీరు కీవర్డ్ రకాన్ని ఉపయోగించాలి. అలాగే, సార్టింగ్ లేదా అగ్రిగేషన్ అవసరమయ్యే ఫీల్డ్‌ల కోసం కీవర్డ్ డేటా రకాన్ని ఉపయోగించాలి, అంటే మన విషయంలో.

ఫలితంగా, సాగే శోధన నిర్దిష్ట సమయానికి లాగ్‌ల సంఖ్యను గణిస్తుంది, ఉత్పత్తి ఫీల్డ్‌లోని విలువతో సమగ్రంగా ఉంటుంది. కస్టమ్ లేబుల్‌లో, మేము పట్టికలో ప్రదర్శించబడే నిలువు వరుస పేరును సెట్ చేస్తాము, మేము లాగ్‌లను సేకరించే సమయాన్ని సెట్ చేస్తాము, రెండరింగ్ ప్రారంభించండి - కిబానా సాగే శోధనకు అభ్యర్థనను పంపుతుంది, ప్రతిస్పందన కోసం వేచి ఉండి, ఆపై స్వీకరించిన డేటాను దృశ్యమానం చేస్తుంది. టేబుల్ సిద్ధంగా ఉంది!

ముప్పు నివారణ ఈవెంట్‌ల కోసం పై చార్ట్

పర్సంటేజీగా ఎన్ని రియాక్షన్స్ ఉంటాయనే సమాచారం ప్రత్యేక ఆసక్తిని కలిగిస్తుంది గుర్తించడం и నిరోధించడానికి ప్రస్తుత భద్రతా విధానంలో సమాచార భద్రతా సంఘటనలపై. ఈ పరిస్థితికి పై చార్ట్ బాగా పనిచేస్తుంది. విజువలైజ్‌లో ఎంచుకోండి - పై చార్ట్. మెట్రిక్‌లో కూడా మేము లాగ్‌ల సంఖ్య ద్వారా అగ్రిగేషన్‌ను సెట్ చేస్తాము. బకెట్లలో మేము నిబంధనలు => చర్యను ఉంచుతాము.

ప్రతిదీ సరిగ్గా ఉన్నట్లు అనిపిస్తుంది, కానీ ఫలితం అన్ని బ్లేడ్‌లకు విలువలను చూపుతుంది; మీరు ముప్పు నివారణ ఫ్రేమ్‌వర్క్‌లో పనిచేసే బ్లేడ్‌ల ద్వారా మాత్రమే ఫిల్టర్ చేయాలి. అందువల్ల, మేము దానిని ఖచ్చితంగా ఏర్పాటు చేస్తాము వడపోత సమాచార భద్రతా సంఘటనలకు బాధ్యత వహించే బ్లేడ్‌లపై మాత్రమే సమాచారం కోసం శోధించడానికి - ఉత్పత్తి: (“యాంటీ-బాట్” లేదా “కొత్త యాంటీ-వైరస్” లేదా “DDoS ప్రొటెక్టర్” లేదా “స్మార్ట్ డిఫెన్స్” లేదా “థ్రెట్ ఎమ్యులేషన్”). చిత్రం క్లిక్ చేయదగినది:

మరియు మరింత వివరణాత్మక సెట్టింగ్‌లు, చిత్రం క్లిక్ చేయగలదు:

IPS ఈవెంట్ టేబుల్

తర్వాత, బ్లేడ్‌లోని ఈవెంట్‌లను వీక్షించడం మరియు తనిఖీ చేయడం అనేది సమాచార భద్రత కోణం నుండి చాలా ముఖ్యమైనది. ఐపిఎస్ и థ్రెట్ ఎమ్యులేషన్, которые నిరోధించబడలేదు ప్రస్తుత విధానం, తదనంతరం సంతకాన్ని నిరోధించడానికి మార్చడానికి లేదా ట్రాఫిక్ చెల్లుబాటులో ఉంటే, సంతకాన్ని తనిఖీ చేయవద్దు. మేము అనేక నిలువు వరుసలను సృష్టించే ఏకైక తేడాతో మొదటి ఉదాహరణ వలె పట్టికను సృష్టిస్తాము: protections.keyword, severity.keyword, product.keyword, originsicname.keyword. సమాచార భద్రతా సంఘటనలకు బాధ్యత వహించే బ్లేడ్‌లపై మాత్రమే సమాచారం కోసం శోధించడానికి ఫిల్టర్‌ని సెటప్ చేయాలని నిర్ధారించుకోండి - ఉత్పత్తి: (“స్మార్ట్‌డిఫెన్స్” లేదా “థ్రెట్ ఎమ్యులేషన్”). చిత్రం క్లిక్ చేయదగినది:

మరింత వివరణాత్మక సెట్టింగ్‌లు, చిత్రం క్లిక్ చేయగలదు:

అత్యంత ప్రజాదరణ పొందిన సందర్శించిన సైట్‌ల కోసం చార్ట్‌లు

దీన్ని చేయడానికి, ఒక బొమ్మను సృష్టించండి - నిలువు పట్టీ. మేము గణన (Y అక్షం)ను మెట్రిక్‌గా కూడా ఉపయోగిస్తాము మరియు X అక్షంలో మేము సందర్శించిన సైట్‌ల పేరును విలువలుగా ఉపయోగిస్తాము - “appi_name”. ఇక్కడ ఒక చిన్న ఉపాయం ఉంది: మీరు ప్రస్తుత సంస్కరణలో సెట్టింగ్‌లను అమలు చేస్తే, అన్ని సైట్‌లు ఒకే రంగుతో చార్ట్‌లో గుర్తించబడతాయి, వాటిని బహుళ వర్ణంగా చేయడానికి మేము అదనపు సెట్టింగ్‌ని ఉపయోగిస్తాము - “స్ప్లిట్ సిరీస్”, ఇది ఎంచుకున్న ఫీల్డ్‌ని బట్టి, రెడీమేడ్ కాలమ్‌ని మరిన్ని విలువలుగా విభజించడానికి మిమ్మల్ని అనుమతిస్తుంది! ఈ విభజనను పేర్చబడిన మోడ్‌లోని విలువల ప్రకారం ఒక బహుళ-రంగు కాలమ్‌గా ఉపయోగించవచ్చు లేదా X అక్షంపై ఒక నిర్దిష్ట విలువ ప్రకారం అనేక నిలువు వరుసలను సృష్టించడానికి సాధారణ మోడ్‌లో ఉపయోగించవచ్చు. ఈ సందర్భంలో, ఇక్కడ మనం ఉపయోగిస్తాము X అక్షం వలె అదే విలువ, ఇది అన్ని నిలువు వరుసలను బహుళ-రంగులుగా మార్చడం సాధ్యం చేస్తుంది; అవి ఎగువ కుడి వైపున ఉన్న రంగులతో సూచించబడతాయి. ఫిల్టర్‌లో మేము సెట్ చేసాము - ఉత్పత్తి: “URL ఫిల్టరింగ్” సందర్శించిన సైట్‌లలో మాత్రమే సమాచారాన్ని చూడటానికి, చిత్రం క్లిక్ చేయగలదు:

సెట్టింగులు:

అత్యంత ప్రమాదకరమైన అనువర్తనాల ఉపయోగంపై రేఖాచిత్రం

దీన్ని చేయడానికి, ఒక బొమ్మను సృష్టించండి - నిలువు పట్టీ. మేము గణన (Y అక్షం)ను మెట్రిక్‌గా కూడా ఉపయోగిస్తాము మరియు X అక్షం మీద ఉపయోగించిన అప్లికేషన్‌ల పేరును ఉపయోగిస్తాము - “appi_name” విలువలుగా. అతి ముఖ్యమైనది ఫిల్టర్ సెట్టింగ్ - ఉత్పత్తి: “అప్లికేషన్ కంట్రోల్” మరియు యాప్_రిస్క్: (4 లేదా 5 లేదా 3 ) మరియు చర్య: “అంగీకరించు”. మేము అప్లికేషన్ కంట్రోల్ బ్లేడ్ ద్వారా లాగ్‌లను ఫిల్టర్ చేస్తాము, క్రిటికల్, హై, మీడియం రిస్క్ సైట్‌లుగా వర్గీకరించబడిన సైట్‌లను మాత్రమే తీసుకుంటాము మరియు ఈ సైట్‌లకు యాక్సెస్ అనుమతించబడితే మాత్రమే. చిత్రం క్లిక్ చేయదగినది:

సెట్టింగ్‌లు, క్లిక్ చేయదగినవి:

డాష్బోర్డ్

డాష్‌బోర్డ్‌లను వీక్షించడం మరియు సృష్టించడం అనేది ప్రత్యేక మెను ఐటెమ్‌లో ఉంది - డాష్బోర్డ్. ఇక్కడ ప్రతిదీ సులభం, కొత్త డాష్‌బోర్డ్ సృష్టించబడింది, దానికి విజువలైజేషన్ జోడించబడింది, దాని స్థానంలో ఉంచబడింది మరియు అంతే!

మేము డ్యాష్‌బోర్డ్‌ను సృష్టిస్తున్నాము, దీని ద్వారా మీరు సంస్థలోని సమాచార భద్రత యొక్క ప్రాథమిక పరిస్థితిని అర్థం చేసుకోవచ్చు, అయితే, చెక్ పాయింట్ స్థాయిలో మాత్రమే, చిత్రం క్లిక్ చేయగలదు:

ఈ గ్రాఫ్‌ల ఆధారంగా, ఫైర్‌వాల్‌లో ఏ క్లిష్టమైన సంతకాలు బ్లాక్ చేయబడవు, వినియోగదారులు ఎక్కడికి వెళతారు మరియు వారు ఉపయోగించే అత్యంత ప్రమాదకరమైన అప్లికేషన్‌లను మనం అర్థం చేసుకోవచ్చు.

తీర్మానం

మేము కిబానాలో ప్రాథమిక విజువలైజేషన్ సామర్థ్యాలను పరిశీలించాము మరియు డ్యాష్‌బోర్డ్‌ను నిర్మించాము, కానీ ఇది చిన్న భాగం మాత్రమే. ఇంకా కోర్సులో మేము మ్యాప్‌లను సెటప్ చేయడం, సాగే శోధన వ్యవస్థతో పని చేయడం, API అభ్యర్థనలు, ఆటోమేషన్ మరియు మరెన్నో గురించి ప్రత్యేకంగా చూస్తాము!

కాబట్టి చూస్తూ ఉండండిTelegram, <span style="font-family: Mandali; ">ఫేస్‌బుక్ </span>, VK, TS సొల్యూషన్ బ్లాగ్), యాండెక్స్ జెన్.

మూలం: www.habr.com