శుభ మధ్యాహ్నం, మునుపటి కథనాలలో మేము ELK స్టాక్ యొక్క పనితో పరిచయం పొందాము. ఇప్పుడు ఈ వ్యవస్థలను ఉపయోగించడంలో సమాచార భద్రతా నిపుణుడు గ్రహించగల అవకాశాలను చర్చిద్దాం. సాగే శోధనలో ఏ లాగ్లను నమోదు చేయవచ్చు మరియు నమోదు చేయాలి. డ్యాష్బోర్డ్లను ఏర్పాటు చేయడం ద్వారా ఎలాంటి గణాంకాలు పొందవచ్చో మరియు ఇందులో ఏదైనా లాభం ఉందా అని పరిశీలిద్దాం. మీరు ELK స్టాక్ని ఉపయోగించి సమాచార భద్రతా ప్రక్రియల ఆటోమేషన్ను ఎలా అమలు చేయవచ్చు. సిస్టమ్ యొక్క నిర్మాణాన్ని గీయండి. మొత్తంగా, అన్ని కార్యాచరణలను అమలు చేయడం చాలా పెద్ద మరియు కష్టమైన పని, కాబట్టి పరిష్కారానికి ప్రత్యేక పేరు ఇవ్వబడింది - TS టోటల్ సైట్.
ప్రస్తుతం, ఒక తార్కిక ప్రదేశంలో సమాచార భద్రతా సంఘటనలను ఏకీకృతం చేసే మరియు విశ్లేషించే పరిష్కారాలు వేగంగా జనాదరణ పొందుతున్నాయి, ఫలితంగా, నిపుణుడు సంస్థలో సమాచార భద్రత స్థితిని మెరుగుపరచడానికి గణాంకాలను మరియు చర్య యొక్క సరిహద్దును అందుకుంటాడు. ELK స్టాక్ని ఉపయోగించడంలో మేము ఈ పనిని సెట్ చేసుకున్నాము మరియు ఫలితంగా మేము ప్రధాన కార్యాచరణను 4 విభాగాలుగా విభజించాము:
- గణాంకాలు మరియు విజువలైజేషన్;
- సమాచార భద్రతా సంఘటనల గుర్తింపు;
- సంఘటన ప్రాధాన్యత;
- సమాచార భద్రతా ప్రక్రియల ఆటోమేషన్.
తరువాత, మేము ఒక్కొక్కటిగా ఒక్కొక్కటిగా నిశితంగా పరిశీలిస్తాము.
సమాచార భద్రతా సంఘటనల గుర్తింపు
మా విషయంలో సాగే శోధనను ఉపయోగించడం యొక్క ప్రధాన పని సమాచార భద్రతా సంఘటనలను మాత్రమే సేకరించడం. లాగ్లను పంపే కనీసం కొన్ని మోడ్లకు మద్దతిచ్చినట్లయితే, మీరు ఏదైనా భద్రతా మార్గాల నుండి సమాచార భద్రతా సంఘటనలను సేకరించవచ్చు, ప్రమాణం syslog లేదా scp ఫైల్కు సేవ్ చేయడం.
మీరు భద్రతా సాధనాల యొక్క ప్రామాణిక ఉదాహరణలను మరియు మరిన్నింటిని అందించవచ్చు, మీరు లాగ్ల ఫార్వార్డింగ్ను ఎక్కడ నుండి కాన్ఫిగర్ చేయాలి:
- ఏదైనా NGFW సాధనాలు (చెక్ పాయింట్, ఫోర్టినెట్);
- ఏదైనా దుర్బలత్వ స్కానర్లు (PT స్కానర్, ఓపెన్వాస్);
- వెబ్ అప్లికేషన్ ఫైర్వాల్ (PT AF);
- నెట్ఫ్లో ఎనలైజర్లు (ఫ్లోమోన్, సిస్కో స్టెల్త్వాచ్);
- AD సర్వర్.
మీరు లాగ్స్టాష్లో లాగ్లు మరియు కాన్ఫిగరేషన్ ఫైల్లను పంపడాన్ని కాన్ఫిగర్ చేసిన తర్వాత, మీరు వివిధ భద్రతా సాధనాల నుండి వచ్చే సంఘటనలతో పరస్పర సంబంధం కలిగి ఉండవచ్చు మరియు సరిపోల్చవచ్చు. దీన్ని చేయడానికి, సూచికలను ఉపయోగించడం సౌకర్యంగా ఉంటుంది, దీనిలో మేము నిర్దిష్ట పరికరానికి సంబంధించిన అన్ని సంఘటనలను నిల్వ చేస్తాము. మరో మాటలో చెప్పాలంటే, ఒక సూచిక అనేది ఒక పరికరానికి సంబంధించిన అన్ని సంఘటనలు. ఈ పంపిణీని 2 విధాలుగా అమలు చేయవచ్చు.
మొదటి ఎంపిక ఇది లాగ్స్టాష్ కాన్ఫిగర్ను కాన్ఫిగర్ చేయడం. దీన్ని చేయడానికి, మీరు నిర్దిష్ట ఫీల్డ్ల కోసం లాగ్ను వేరే రకంతో ప్రత్యేక యూనిట్లో నకిలీ చేయాలి. ఆపై భవిష్యత్తులో ఈ రకాన్ని ఉపయోగించండి. ఉదాహరణలో, చెక్ పాయింట్ ఫైర్వాల్ యొక్క IPS బ్లేడ్ నుండి లాగ్లు క్లోన్ చేయబడతాయి.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
లాగ్ ఫీల్డ్లను బట్టి అటువంటి ఈవెంట్లను ప్రత్యేక సూచికలో సేవ్ చేయడానికి, ఉదాహరణకు, డెస్టినేషన్ IP దాడి సంతకాలు వంటివి. మీరు ఇలాంటి నిర్మాణాన్ని ఉపయోగించవచ్చు:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
మరియు ఈ విధంగా, మీరు అన్ని సంఘటనలను సూచికలో సేవ్ చేయవచ్చు, ఉదాహరణకు, IP చిరునామా ద్వారా లేదా యంత్రం యొక్క డొమైన్ పేరు ద్వారా. ఈ సందర్భంలో, మేము దానిని సూచికకు సేవ్ చేస్తాము "స్మార్ట్ డిఫెన్స్-%{dst}", సంతకం గమ్యస్థానం యొక్క IP చిరునామా ద్వారా.
అయినప్పటికీ, వేర్వేరు ఉత్పత్తులు వేర్వేరు లాగ్ ఫీల్డ్లను కలిగి ఉంటాయి, ఇది గందరగోళానికి మరియు అనవసరమైన మెమరీ వినియోగానికి దారి తీస్తుంది. మరియు ఇక్కడ మీరు ముందుగా రూపొందించిన వాటితో లాగ్స్టాష్ కాన్ఫిగరేషన్ సెట్టింగ్లలోని ఫీల్డ్లను జాగ్రత్తగా భర్తీ చేయాలి, ఇది అన్ని రకాల సంఘటనలకు ఒకే విధంగా ఉంటుంది, ఇది కూడా కష్టమైన పని.
రెండవ అమలు ఎంపిక - ఇది వాస్తవ సమయంలో సాగే డేటాబేస్ను యాక్సెస్ చేసే స్క్రిప్ట్ లేదా ప్రాసెస్ను వ్రాస్తోంది, అవసరమైన సంఘటనలను తీసివేసి, వాటిని కొత్త ఇండెక్స్లో సేవ్ చేస్తుంది, ఇది చాలా కష్టమైన పని, కానీ ఇది మీకు నచ్చిన విధంగా లాగ్లతో పని చేయడానికి మిమ్మల్ని అనుమతిస్తుంది, మరియు ఇతర భద్రతా పరికరాల నుండి సంఘటనలతో నేరుగా పరస్పర సంబంధం కలిగి ఉంటుంది. గరిష్ట సౌలభ్యంతో మీ కేసుకు అత్యంత ఉపయోగకరంగా ఉండేలా లాగ్లతో పనిని కాన్ఫిగర్ చేయడానికి ఈ ఐచ్ఛికం మిమ్మల్ని అనుమతిస్తుంది, అయితే ఇక్కడ దీన్ని అమలు చేయగల నిపుణుడిని కనుగొనడంలో సమస్య తలెత్తుతుంది.
మరియు వాస్తవానికి, అతి ముఖ్యమైన ప్రశ్న, మరియు ఏమి పరస్పర సంబంధం కలిగి ఉంటుంది మరియు గుర్తించవచ్చు??
ఇక్కడ అనేక ఎంపికలు ఉండవచ్చు మరియు ఇది మీ ఇన్ఫ్రాస్ట్రక్చర్లో ఉపయోగించే భద్రతా సాధనాలపై ఆధారపడి ఉంటుంది, కొన్ని ఉదాహరణలు:
- NGFW సొల్యూషన్ మరియు వల్నరబిలిటీ స్కానర్ ఉన్నవారికి అత్యంత స్పష్టమైన మరియు నా దృక్కోణంలో అత్యంత ఆసక్తికరమైన ఎంపిక. ఇది IPS లాగ్లు మరియు దుర్బలత్వ స్కాన్ ఫలితాల పోలిక. IPS సిస్టమ్ ద్వారా దాడి కనుగొనబడితే (నిరోధించబడలేదు), మరియు స్కానింగ్ ఫలితాల ఆధారంగా తుది మెషీన్లో ఈ దుర్బలత్వం మూసివేయబడకపోతే, దుర్బలత్వం దోపిడీకి గురయ్యే అధిక సంభావ్యత ఉన్నందున, విజిల్ బ్లో చేయడం అవసరం. .
- ఒక మెషీన్ నుండి వివిధ ప్రదేశాలకు అనేక లాగిన్ ప్రయత్నాలు హానికరమైన కార్యాచరణను సూచిస్తాయి.
- సంభావ్య ప్రమాదకరమైన సైట్లను భారీ సంఖ్యలో సందర్శించడం వల్ల వినియోగదారు వైరస్ ఫైల్లను డౌన్లోడ్ చేస్తున్నారు.
గణాంకాలు మరియు విజువలైజేషన్
ELK స్టాక్ అవసరమయ్యే అత్యంత స్పష్టమైన మరియు అర్థమయ్యే విషయం ఏమిటంటే లాగ్ల నిల్వ మరియు విజువలైజేషన్,
ఉదాహరణలు:
- అత్యంత క్లిష్టమైన ఈవెంట్లతో ముప్పు నివారణ ఈవెంట్ల కోసం డ్యాష్బోర్డ్. ఏ IPS సంతకాలు కనుగొనబడ్డాయి మరియు అవి భౌగోళికంగా ఎక్కడ నుండి వచ్చాయో ఇక్కడ మీరు ప్రతిబింబించవచ్చు.
- సమాచారాన్ని లీక్ చేయగల అత్యంత క్లిష్టమైన అప్లికేషన్ల వినియోగంపై డాష్బోర్డ్.
- ఏదైనా భద్రతా స్కానర్ నుండి ఫలితాలను స్కాన్ చేయండి.
- వినియోగదారు ద్వారా యాక్టివ్ డైరెక్టరీ నుండి లాగ్లు.
- VPN కనెక్షన్ డాష్బోర్డ్.
ఈ సందర్భంలో, మీరు ప్రతి కొన్ని సెకన్లకు అప్డేట్ అయ్యేలా డాష్బోర్డ్లను కాన్ఫిగర్ చేస్తే, మీరు రియల్ టైమ్లో ఈవెంట్లను పర్యవేక్షించడానికి చాలా అనుకూలమైన సిస్టమ్ను పొందవచ్చు, మీరు డాష్బోర్డ్లను విడిగా ఉంచినట్లయితే సమాచార భద్రతా సంఘటనలకు వేగవంతమైన ప్రతిస్పందన కోసం దీనిని ఉపయోగించవచ్చు. తెర.
సంఘటన ప్రాధాన్యత
పెద్ద మౌలిక సదుపాయాల పరిస్థితులలో, సంఘటనల సంఖ్య స్కేల్కు దూరంగా ఉండవచ్చు మరియు అన్ని సంఘటనలను సకాలంలో ఎదుర్కోవటానికి నిపుణులకు సమయం ఉండదు. ఈ సందర్భంలో, అన్నింటిలో మొదటిది, గొప్ప ముప్పు కలిగించే సంఘటనలను మాత్రమే హైలైట్ చేయడం అవసరం. కాబట్టి, సిస్టమ్ మీ మౌలిక సదుపాయాలకు సంబంధించి వాటి తీవ్రత ఆధారంగా సంఘటనలకు తప్పనిసరిగా ప్రాధాన్యత ఇవ్వాలి. ఈ ఈవెంట్ల కోసం ఇమెయిల్ లేదా టెలిగ్రామ్ హెచ్చరికను సెటప్ చేయడం మంచిది. విజువలైజేషన్ని సెటప్ చేయడం ద్వారా ప్రామాణిక కిబానా సాధనాలను ఉపయోగించి ప్రాధాన్యతను అమలు చేయవచ్చు. కానీ నోటిఫికేషన్లతో ఇది చాలా కష్టం; డిఫాల్ట్గా, ఈ కార్యాచరణ ఎలాస్టిక్సెర్చ్ యొక్క ప్రాథమిక వెర్షన్లో చేర్చబడలేదు, చెల్లింపు సంస్కరణలో మాత్రమే. అందువల్ల, చెల్లింపు సంస్కరణను కొనుగోలు చేయండి లేదా, ఇమెయిల్ లేదా టెలిగ్రామ్ ద్వారా నిజ సమయంలో నిపుణులకు తెలియజేసే ప్రక్రియను మీరే వ్రాయండి.
సమాచార భద్రతా ప్రక్రియల ఆటోమేషన్
మరియు అత్యంత ఆసక్తికరమైన భాగాలలో ఒకటి సమాచార భద్రతా సంఘటనల కోసం చర్యల ఆటోమేషన్. ఇంతకుముందు, మేము స్ప్లంక్ కోసం ఈ కార్యాచరణను అమలు చేసాము, మీరు ఇందులో కొంచెం ఎక్కువ చదవవచ్చు
- డిటెక్ట్ నుండి నిరోధించడానికి IPS సంతకం బదిలీ. క్లిష్టమైన సంతకాల కోసం నిరోధించడం పని చేయకపోతే, ఇది క్రమరహితమైనది మరియు రక్షణ వ్యవస్థలో తీవ్రమైన అంతరం. మేము పాలసీలోని చర్యను అటువంటి సంతకాలకి మారుస్తాము. NGFW పరికరం REST API కార్యాచరణను కలిగి ఉంటే ఈ కార్యాచరణను అమలు చేయవచ్చు. మీకు ప్రోగ్రామింగ్ నైపుణ్యాలు ఉంటే మాత్రమే ఇది సాధ్యమవుతుంది; మీరు Elastcisearch నుండి అవసరమైన సమాచారాన్ని సేకరించి, NGFW నిర్వహణ సర్వర్కు API అభ్యర్థనలను చేయాలి.
- ఒక IP చిరునామా నుండి నెట్వర్క్ ట్రాఫిక్లో బహుళ సంతకాలు కనుగొనబడినా లేదా బ్లాక్ చేయబడినా, ఫైర్వాల్ విధానంలో కొంతకాలం ఈ IP చిరునామాను బ్లాక్ చేయడం అర్ధమే. అమలులో REST APIని ఉపయోగించడం కూడా ఉంటుంది.
- ఈ హోస్ట్లో పెద్ద సంఖ్యలో IPS సంతకాలు లేదా ఇతర భద్రతా సాధనాలు ఉంటే, వల్నరబిలిటీ స్కానర్తో హోస్ట్ స్కాన్ను అమలు చేయండి; అది OpenVas అయితే, మీరు ssh ద్వారా సెక్యూరిటీ స్కానర్కి కనెక్ట్ అయ్యే స్క్రిప్ట్ను వ్రాయవచ్చు మరియు స్కాన్ను అమలు చేయవచ్చు.
TS మొత్తం చూపు
మొత్తంగా, అన్ని కార్యాచరణల అమలు చాలా పెద్ద మరియు కష్టమైన పని. ప్రోగ్రామింగ్ నైపుణ్యాలు లేకుండా, మీరు కనీస కార్యాచరణను కాన్ఫిగర్ చేయవచ్చు, ఇది ఉత్పత్తిలో ఉపయోగం కోసం సరిపోతుంది. కానీ మీరు అన్ని కార్యాచరణలపై ఆసక్తి కలిగి ఉంటే, మీరు TS టోటల్ సైట్కు శ్రద్ధ వహించవచ్చు. మీరు మాలో మరిన్ని వివరాలను కనుగొనవచ్చు
తీర్మానం
ELK స్టాక్ని ఉపయోగించి ఏమి అమలు చేయవచ్చో మేము చూశాము. తదుపరి కథనాలలో, మేము TS టోటల్ సైట్ యొక్క కార్యాచరణను మరింత వివరంగా పరిశీలిస్తాము!
కాబట్టి చూస్తూ ఉండండి
మూలం: www.habr.com