TS మొత్తం చూపు. ఈవెంట్ కలెక్షన్, ఇన్సిడెంట్ అనాలిసిస్ మరియు థ్రెట్ రెస్పాన్స్ ఆటోమేషన్ టూల్

శుభ మధ్యాహ్నం, మునుపటి కథనాలలో మేము ELK స్టాక్ యొక్క పనితో పరిచయం పొందాము. ఇప్పుడు ఈ వ్యవస్థలను ఉపయోగించడంలో సమాచార భద్రతా నిపుణుడు గ్రహించగల అవకాశాలను చర్చిద్దాం. సాగే శోధనలో ఏ లాగ్‌లను నమోదు చేయవచ్చు మరియు నమోదు చేయాలి. డ్యాష్‌బోర్డ్‌లను ఏర్పాటు చేయడం ద్వారా ఎలాంటి గణాంకాలు పొందవచ్చో మరియు ఇందులో ఏదైనా లాభం ఉందా అని పరిశీలిద్దాం. మీరు ELK స్టాక్‌ని ఉపయోగించి సమాచార భద్రతా ప్రక్రియల ఆటోమేషన్‌ను ఎలా అమలు చేయవచ్చు. సిస్టమ్ యొక్క నిర్మాణాన్ని గీయండి. మొత్తంగా, అన్ని కార్యాచరణలను అమలు చేయడం చాలా పెద్ద మరియు కష్టమైన పని, కాబట్టి పరిష్కారానికి ప్రత్యేక పేరు ఇవ్వబడింది - TS టోటల్ సైట్.

ప్రస్తుతం, ఒక తార్కిక ప్రదేశంలో సమాచార భద్రతా సంఘటనలను ఏకీకృతం చేసే మరియు విశ్లేషించే పరిష్కారాలు వేగంగా జనాదరణ పొందుతున్నాయి, ఫలితంగా, నిపుణుడు సంస్థలో సమాచార భద్రత స్థితిని మెరుగుపరచడానికి గణాంకాలను మరియు చర్య యొక్క సరిహద్దును అందుకుంటాడు. ELK స్టాక్‌ని ఉపయోగించడంలో మేము ఈ పనిని సెట్ చేసుకున్నాము మరియు ఫలితంగా మేము ప్రధాన కార్యాచరణను 4 విభాగాలుగా విభజించాము:

1. గణాంకాలు మరియు విజువలైజేషన్;
2. సమాచార భద్రతా సంఘటనల గుర్తింపు;
3. సంఘటన ప్రాధాన్యత;
4. సమాచార భద్రతా ప్రక్రియల ఆటోమేషన్.

తరువాత, మేము ఒక్కొక్కటిగా ఒక్కొక్కటిగా నిశితంగా పరిశీలిస్తాము.

సమాచార భద్రతా సంఘటనల గుర్తింపు

మా విషయంలో సాగే శోధనను ఉపయోగించడం యొక్క ప్రధాన పని సమాచార భద్రతా సంఘటనలను మాత్రమే సేకరించడం. లాగ్‌లను పంపే కనీసం కొన్ని మోడ్‌లకు మద్దతిచ్చినట్లయితే, మీరు ఏదైనా భద్రతా మార్గాల నుండి సమాచార భద్రతా సంఘటనలను సేకరించవచ్చు, ప్రమాణం syslog లేదా scp ఫైల్‌కు సేవ్ చేయడం.

మీరు భద్రతా సాధనాల యొక్క ప్రామాణిక ఉదాహరణలను మరియు మరిన్నింటిని అందించవచ్చు, మీరు లాగ్‌ల ఫార్వార్డింగ్‌ను ఎక్కడ నుండి కాన్ఫిగర్ చేయాలి:

1. ఏదైనా NGFW సాధనాలు (చెక్ పాయింట్, ఫోర్టినెట్);
2. ఏదైనా దుర్బలత్వ స్కానర్‌లు (PT స్కానర్, ఓపెన్‌వాస్);
3. వెబ్ అప్లికేషన్ ఫైర్‌వాల్ (PT AF);
4. నెట్‌ఫ్లో ఎనలైజర్‌లు (ఫ్లోమోన్, సిస్కో స్టెల్త్‌వాచ్);
5. AD సర్వర్.

మీరు లాగ్‌స్టాష్‌లో లాగ్‌లు మరియు కాన్ఫిగరేషన్ ఫైల్‌లను పంపడాన్ని కాన్ఫిగర్ చేసిన తర్వాత, మీరు వివిధ భద్రతా సాధనాల నుండి వచ్చే సంఘటనలతో పరస్పర సంబంధం కలిగి ఉండవచ్చు మరియు సరిపోల్చవచ్చు. దీన్ని చేయడానికి, సూచికలను ఉపయోగించడం సౌకర్యంగా ఉంటుంది, దీనిలో మేము నిర్దిష్ట పరికరానికి సంబంధించిన అన్ని సంఘటనలను నిల్వ చేస్తాము. మరో మాటలో చెప్పాలంటే, ఒక సూచిక అనేది ఒక పరికరానికి సంబంధించిన అన్ని సంఘటనలు. ఈ పంపిణీని 2 విధాలుగా అమలు చేయవచ్చు.

మొదటి ఎంపిక ఇది లాగ్‌స్టాష్ కాన్ఫిగర్‌ను కాన్ఫిగర్ చేయడం. దీన్ని చేయడానికి, మీరు నిర్దిష్ట ఫీల్డ్‌ల కోసం లాగ్‌ను వేరే రకంతో ప్రత్యేక యూనిట్‌లో నకిలీ చేయాలి. ఆపై భవిష్యత్తులో ఈ రకాన్ని ఉపయోగించండి. ఉదాహరణలో, చెక్ పాయింట్ ఫైర్‌వాల్ యొక్క IPS బ్లేడ్ నుండి లాగ్‌లు క్లోన్ చేయబడతాయి.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

లాగ్ ఫీల్డ్‌లను బట్టి అటువంటి ఈవెంట్‌లను ప్రత్యేక సూచికలో సేవ్ చేయడానికి, ఉదాహరణకు, డెస్టినేషన్ IP దాడి సంతకాలు వంటివి. మీరు ఇలాంటి నిర్మాణాన్ని ఉపయోగించవచ్చు:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

మరియు ఈ విధంగా, మీరు అన్ని సంఘటనలను సూచికలో సేవ్ చేయవచ్చు, ఉదాహరణకు, IP చిరునామా ద్వారా లేదా యంత్రం యొక్క డొమైన్ పేరు ద్వారా. ఈ సందర్భంలో, మేము దానిని సూచికకు సేవ్ చేస్తాము "స్మార్ట్ డిఫెన్స్-%{dst}", సంతకం గమ్యస్థానం యొక్క IP చిరునామా ద్వారా.

అయినప్పటికీ, వేర్వేరు ఉత్పత్తులు వేర్వేరు లాగ్ ఫీల్డ్‌లను కలిగి ఉంటాయి, ఇది గందరగోళానికి మరియు అనవసరమైన మెమరీ వినియోగానికి దారి తీస్తుంది. మరియు ఇక్కడ మీరు ముందుగా రూపొందించిన వాటితో లాగ్‌స్టాష్ కాన్ఫిగరేషన్ సెట్టింగ్‌లలోని ఫీల్డ్‌లను జాగ్రత్తగా భర్తీ చేయాలి, ఇది అన్ని రకాల సంఘటనలకు ఒకే విధంగా ఉంటుంది, ఇది కూడా కష్టమైన పని.

రెండవ అమలు ఎంపిక - ఇది వాస్తవ సమయంలో సాగే డేటాబేస్‌ను యాక్సెస్ చేసే స్క్రిప్ట్ లేదా ప్రాసెస్‌ను వ్రాస్తోంది, అవసరమైన సంఘటనలను తీసివేసి, వాటిని కొత్త ఇండెక్స్‌లో సేవ్ చేస్తుంది, ఇది చాలా కష్టమైన పని, కానీ ఇది మీకు నచ్చిన విధంగా లాగ్‌లతో పని చేయడానికి మిమ్మల్ని అనుమతిస్తుంది, మరియు ఇతర భద్రతా పరికరాల నుండి సంఘటనలతో నేరుగా పరస్పర సంబంధం కలిగి ఉంటుంది. గరిష్ట సౌలభ్యంతో మీ కేసుకు అత్యంత ఉపయోగకరంగా ఉండేలా లాగ్‌లతో పనిని కాన్ఫిగర్ చేయడానికి ఈ ఐచ్ఛికం మిమ్మల్ని అనుమతిస్తుంది, అయితే ఇక్కడ దీన్ని అమలు చేయగల నిపుణుడిని కనుగొనడంలో సమస్య తలెత్తుతుంది.

మరియు వాస్తవానికి, అతి ముఖ్యమైన ప్రశ్న, మరియు ఏమి పరస్పర సంబంధం కలిగి ఉంటుంది మరియు గుర్తించవచ్చు??

ఇక్కడ అనేక ఎంపికలు ఉండవచ్చు మరియు ఇది మీ ఇన్‌ఫ్రాస్ట్రక్చర్‌లో ఉపయోగించే భద్రతా సాధనాలపై ఆధారపడి ఉంటుంది, కొన్ని ఉదాహరణలు:

1. NGFW సొల్యూషన్ మరియు వల్నరబిలిటీ స్కానర్ ఉన్నవారికి అత్యంత స్పష్టమైన మరియు నా దృక్కోణంలో అత్యంత ఆసక్తికరమైన ఎంపిక. ఇది IPS లాగ్‌లు మరియు దుర్బలత్వ స్కాన్ ఫలితాల పోలిక. IPS సిస్టమ్ ద్వారా దాడి కనుగొనబడితే (నిరోధించబడలేదు), మరియు స్కానింగ్ ఫలితాల ఆధారంగా తుది మెషీన్‌లో ఈ దుర్బలత్వం మూసివేయబడకపోతే, దుర్బలత్వం దోపిడీకి గురయ్యే అధిక సంభావ్యత ఉన్నందున, విజిల్ బ్లో చేయడం అవసరం. .
2. ఒక మెషీన్ నుండి వివిధ ప్రదేశాలకు అనేక లాగిన్ ప్రయత్నాలు హానికరమైన కార్యాచరణను సూచిస్తాయి.
3. సంభావ్య ప్రమాదకరమైన సైట్‌లను భారీ సంఖ్యలో సందర్శించడం వల్ల వినియోగదారు వైరస్ ఫైల్‌లను డౌన్‌లోడ్ చేస్తున్నారు.

గణాంకాలు మరియు విజువలైజేషన్

ELK స్టాక్ అవసరమయ్యే అత్యంత స్పష్టమైన మరియు అర్థమయ్యే విషయం ఏమిటంటే లాగ్‌ల నిల్వ మరియు విజువలైజేషన్, మునుపటి వ్యాసాలలో మీరు లాగ్‌స్టాష్‌ని ఉపయోగించి వివిధ పరికరాల నుండి లాగ్‌లను ఎలా సృష్టించవచ్చో చూపబడింది. లాగ్‌లు సాగే శోధనకు వెళ్లిన తర్వాత, మీరు డాష్‌బోర్డ్‌లను సెటప్ చేయవచ్చు, అవి కూడా పేర్కొనబడ్డాయి మునుపటి వ్యాసాలలో, విజువలైజేషన్ ద్వారా మీకు అవసరమైన సమాచారం మరియు గణాంకాలతో.

ఉదాహరణలు:

1. అత్యంత క్లిష్టమైన ఈవెంట్‌లతో ముప్పు నివారణ ఈవెంట్‌ల కోసం డ్యాష్‌బోర్డ్. ఏ IPS సంతకాలు కనుగొనబడ్డాయి మరియు అవి భౌగోళికంగా ఎక్కడ నుండి వచ్చాయో ఇక్కడ మీరు ప్రతిబింబించవచ్చు.

   

2. సమాచారాన్ని లీక్ చేయగల అత్యంత క్లిష్టమైన అప్లికేషన్‌ల వినియోగంపై డాష్‌బోర్డ్.

   

3. ఏదైనా భద్రతా స్కానర్ నుండి ఫలితాలను స్కాన్ చేయండి.

   

4. వినియోగదారు ద్వారా యాక్టివ్ డైరెక్టరీ నుండి లాగ్‌లు.

   

5. VPN కనెక్షన్ డాష్‌బోర్డ్.

ఈ సందర్భంలో, మీరు ప్రతి కొన్ని సెకన్లకు అప్‌డేట్ అయ్యేలా డాష్‌బోర్డ్‌లను కాన్ఫిగర్ చేస్తే, మీరు రియల్ టైమ్‌లో ఈవెంట్‌లను పర్యవేక్షించడానికి చాలా అనుకూలమైన సిస్టమ్‌ను పొందవచ్చు, మీరు డాష్‌బోర్డ్‌లను విడిగా ఉంచినట్లయితే సమాచార భద్రతా సంఘటనలకు వేగవంతమైన ప్రతిస్పందన కోసం దీనిని ఉపయోగించవచ్చు. తెర.

సంఘటన ప్రాధాన్యత

పెద్ద మౌలిక సదుపాయాల పరిస్థితులలో, సంఘటనల సంఖ్య స్కేల్‌కు దూరంగా ఉండవచ్చు మరియు అన్ని సంఘటనలను సకాలంలో ఎదుర్కోవటానికి నిపుణులకు సమయం ఉండదు. ఈ సందర్భంలో, అన్నింటిలో మొదటిది, గొప్ప ముప్పు కలిగించే సంఘటనలను మాత్రమే హైలైట్ చేయడం అవసరం. కాబట్టి, సిస్టమ్ మీ మౌలిక సదుపాయాలకు సంబంధించి వాటి తీవ్రత ఆధారంగా సంఘటనలకు తప్పనిసరిగా ప్రాధాన్యత ఇవ్వాలి. ఈ ఈవెంట్‌ల కోసం ఇమెయిల్ లేదా టెలిగ్రామ్ హెచ్చరికను సెటప్ చేయడం మంచిది. విజువలైజేషన్‌ని సెటప్ చేయడం ద్వారా ప్రామాణిక కిబానా సాధనాలను ఉపయోగించి ప్రాధాన్యతను అమలు చేయవచ్చు. కానీ నోటిఫికేషన్‌లతో ఇది చాలా కష్టం; డిఫాల్ట్‌గా, ఈ కార్యాచరణ ఎలాస్టిక్‌సెర్చ్ యొక్క ప్రాథమిక వెర్షన్‌లో చేర్చబడలేదు, చెల్లింపు సంస్కరణలో మాత్రమే. అందువల్ల, చెల్లింపు సంస్కరణను కొనుగోలు చేయండి లేదా, ఇమెయిల్ లేదా టెలిగ్రామ్ ద్వారా నిజ సమయంలో నిపుణులకు తెలియజేసే ప్రక్రియను మీరే వ్రాయండి.

సమాచార భద్రతా ప్రక్రియల ఆటోమేషన్

మరియు అత్యంత ఆసక్తికరమైన భాగాలలో ఒకటి సమాచార భద్రతా సంఘటనల కోసం చర్యల ఆటోమేషన్. ఇంతకుముందు, మేము స్ప్లంక్ కోసం ఈ కార్యాచరణను అమలు చేసాము, మీరు ఇందులో కొంచెం ఎక్కువ చదవవచ్చు వ్యాసం. ప్రధాన ఆలోచన ఏమిటంటే, IPS విధానం ఎప్పుడూ పరీక్షించబడదు లేదా ఆప్టిమైజ్ చేయబడదు, అయితే కొన్ని సందర్భాల్లో ఇది సమాచార భద్రతా ప్రక్రియలలో కీలకమైన భాగం. ఉదాహరణకు, NGFW అమలు చేయబడిన ఒక సంవత్సరం తర్వాత మరియు IPSని ఆప్టిమైజ్ చేయడానికి చర్యలు లేకపోవడంతో, మీరు డిటెక్ట్ చర్యతో పెద్ద సంఖ్యలో సంతకాలను కూడగట్టుకుంటారు, ఇది నిరోధించబడదు, ఇది సంస్థలో సమాచార భద్రత యొక్క స్థితిని బాగా తగ్గిస్తుంది. స్వయంచాలకంగా చేసే కొన్ని ఉదాహరణలు క్రింద ఉన్నాయి:

1. డిటెక్ట్ నుండి నిరోధించడానికి IPS సంతకం బదిలీ. క్లిష్టమైన సంతకాల కోసం నిరోధించడం పని చేయకపోతే, ఇది క్రమరహితమైనది మరియు రక్షణ వ్యవస్థలో తీవ్రమైన అంతరం. మేము పాలసీలోని చర్యను అటువంటి సంతకాలకి మారుస్తాము. NGFW పరికరం REST API కార్యాచరణను కలిగి ఉంటే ఈ కార్యాచరణను అమలు చేయవచ్చు. మీకు ప్రోగ్రామింగ్ నైపుణ్యాలు ఉంటే మాత్రమే ఇది సాధ్యమవుతుంది; మీరు Elastcisearch నుండి అవసరమైన సమాచారాన్ని సేకరించి, NGFW నిర్వహణ సర్వర్‌కు API అభ్యర్థనలను చేయాలి.
2. ఒక IP చిరునామా నుండి నెట్‌వర్క్ ట్రాఫిక్‌లో బహుళ సంతకాలు కనుగొనబడినా లేదా బ్లాక్ చేయబడినా, ఫైర్‌వాల్ విధానంలో కొంతకాలం ఈ IP చిరునామాను బ్లాక్ చేయడం అర్ధమే. అమలులో REST APIని ఉపయోగించడం కూడా ఉంటుంది.
3. ఈ హోస్ట్‌లో పెద్ద సంఖ్యలో IPS సంతకాలు లేదా ఇతర భద్రతా సాధనాలు ఉంటే, వల్నరబిలిటీ స్కానర్‌తో హోస్ట్ స్కాన్‌ను అమలు చేయండి; అది OpenVas అయితే, మీరు ssh ద్వారా సెక్యూరిటీ స్కానర్‌కి కనెక్ట్ అయ్యే స్క్రిప్ట్‌ను వ్రాయవచ్చు మరియు స్కాన్‌ను అమలు చేయవచ్చు.

TS మొత్తం చూపు

మొత్తంగా, అన్ని కార్యాచరణల అమలు చాలా పెద్ద మరియు కష్టమైన పని. ప్రోగ్రామింగ్ నైపుణ్యాలు లేకుండా, మీరు కనీస కార్యాచరణను కాన్ఫిగర్ చేయవచ్చు, ఇది ఉత్పత్తిలో ఉపయోగం కోసం సరిపోతుంది. కానీ మీరు అన్ని కార్యాచరణలపై ఆసక్తి కలిగి ఉంటే, మీరు TS టోటల్ సైట్‌కు శ్రద్ధ వహించవచ్చు. మీరు మాలో మరిన్ని వివరాలను కనుగొనవచ్చు వెబ్సైట్. ఫలితంగా, మొత్తం ఆపరేషన్ స్కీమ్ మరియు ఆర్కిటెక్చర్ ఇలా కనిపిస్తుంది:

తీర్మానం

ELK స్టాక్‌ని ఉపయోగించి ఏమి అమలు చేయవచ్చో మేము చూశాము. తదుపరి కథనాలలో, మేము TS టోటల్ సైట్ యొక్క కార్యాచరణను మరింత వివరంగా పరిశీలిస్తాము!

కాబట్టి చూస్తూ ఉండండిTelegram, <span style="font-family: Mandali; ">ఫేస్‌బుక్ </span>, VK, TS సొల్యూషన్ బ్లాగ్), యాండెక్స్ జెన్.

మూలం: www.habr.com