Дар мақолаҳои қаблӣ, мо каме бо стеки elk ва насб кардани файли конфигуратсияи Logstash барои таҳлилгари гузориш каме ошно шудем.Дар ин мақола мо ба чизи муҳимтарин аз нуқтаи назари таҳлилӣ мегузарем, ки шумо чӣ мехоҳед. аз система бубинед ва ҳама чиз барои чӣ офарида шудааст - инҳо графикҳо ва ҷадвалҳо мебошанд панелҳои идоракунӣ. Имрӯз мо системаи визуализатсияро бодиққат дида мебароем Кибана, мо тарзи сохтани графикҳо ва ҷадвалҳоро дида мебароем ва дар натиҷа мо панели оддиро дар асоси гузоришҳо аз девори Check Point месозем.
Қадами аввал дар кор бо кибана эҷод кардан аст намунаи индекс, мантиқан, ин як пойгоҳи индексҳо аз рӯи принсипи муайян муттаҳид шудаанд. Албатта, ин танҳо як танзимотест, ки Кибанаро дар як вақт ҷустуҷӯи маълумотро дар тамоми шохисҳо осонтар кунад. Он бо роҳи мувофиқ кардани сатр муқаррар карда мешавад, бигӯед "нуқтаи назорат-*" ва номи индекс. Масалан, "нуқтаи санҷиш-2019.12.05" ба намуна мувофиқат мекунад, аммо танҳо "нуқтаи назорат" дигар вуҷуд надорад. Бояд алоҳида қайд кард, ки ҳангоми ҷустуҷӯ дар як вақт ҷустуҷӯи маълумот дар бораи шаклҳои гуногуни индекс имконнопазир аст; каме дертар дар мақолаҳои минбаъда мо мебинем, ки дархостҳои API ё бо номи индекс ё танҳо аз ҷониби як. хати намуна, расмро клик кардан мумкин аст:
Пас аз ин, мо дар менюи Discover тафтиш мекунем, ки ҳамаи гузоришҳо индексатсия карда шудаанд ва таҳлилгари дуруст танзим карда шудааст. Агар ягон номувофиқатӣ пайдо шавад, масалан, тағир додани навъи маълумот аз сатр ба адад, шумо бояд файли конфигуратсияи Logstash-ро таҳрир кунед, дар натиҷа, гузоришҳои нав дуруст навишта мешаванд. Барои он ки гузоришҳои кӯҳна шакли дилхоҳро пеш аз тағирот гиранд, танҳо раванди реиндексизатсия кӯмак мекунад, дар мақолаҳои минбаъда ин амалиёт ба таври муфассал баррасӣ карда мешавад. Биёед боварӣ ҳосил кунем, ки ҳама чиз дуруст аст, тасвирро клик кардан мумкин аст:
Гузоришҳо дар ҷои худ ҳастанд, яъне мо метавонем ба сохтани панелҳои идоракунӣ шурӯъ кунем. Дар асоси таҳлили панелҳои назоратӣ аз маҳсулоти амниятӣ, шумо метавонед ҳолати амнияти иттилоотиро дар созмон фаҳмед, осебпазириро дар сиёсати ҷорӣ равшан бубинед ва минбаъд роҳҳои бартараф кардани онҳоро таҳия кунед. Биёед як панели хурдро бо истифода аз якчанд асбобҳои визуалӣ созем. Панели идоракунӣ аз 5 ҷузъ иборат хоҳад буд:
- ҷадвал барои ҳисоб кардани шумораи умумии гузоришҳо аз рӯи blades
- ҷадвал дар бораи имзоҳои муҳими IPS
- диаграммаи пирог барои рӯйдодҳои Пешгирии таҳдид
- ҷадвали сайтҳои машҳуртарини боздидшуда
- диаграмма оид ба истифодаи барномаҳои хатарноктарин
Барои сохтани рақамҳои визуалӣ, шумо бояд ба меню равед Тасаввур кунед, ва рақами дилхоҳеро, ки мо месозем, интихоб кунед! Биёед бо тартиб равем.
Ҷадвал барои ҳисоб кардани шумораи умумии гузоришҳо аз рӯи майса
Барои ин, тасвиреро интихоб кунед Ҷадвали маълумот, мо ба таҷҳизот барои сохтани графикҳо меафтем, дар тарафи чап танзимоти расм аст, дар тарафи рост он дар танзимоти ҷорӣ чӣ гуна хоҳад буд. Аввалан, ман нишон медиҳам, ки ҷадвали тайёр чӣ гуна хоҳад буд, пас аз он мо аз танзимот мегузарем, тасвирро клик кардан мумкин аст:
Танзимоти муфассали расм, тасвирро клик кардан мумкин аст:
Биёед ба танзимот назар андозем.
Дар аввал танзим карда шудааст метрикхо, ин арзишест, ки тавассути он ҳамаи майдонҳо ҷамъ карда мешаванд. Метрикҳо дар асоси арзишҳое, ки бо ин ё он роҳ аз ҳуҷҷатҳо гирифта шудаанд, ҳисоб карда мешаванд. Арзишҳо одатан аз он гирифта мешаванд киштзорхо ҳуҷҷат, балки инчунин метавонад бо истифода аз скриптҳо тавлид карда шавад. Дар ин ҳолат мо ворид мекунем Ҷамъоварӣ: Ҳисоб (шумораи умумии гузоришҳо).
Пас аз ин, мо ҷадвалро ба сегментҳо (майдонҳо) тақсим мекунем, ки тавассути онҳо метрика ҳисоб карда мешавад. Ин функсия аз ҷониби танзимоти Buckets иҷро карда мешавад, ки дар навбати худ аз 2 имконоти танзимот иборат аст:
- тақсим кардани сатрҳо - илова кардани сутунҳо ва баъдан тақсим кардани ҷадвал ба сатрҳо
- ҷадвали тақсимкунӣ - тақсимот ба якчанд ҷадвалҳо дар асоси арзишҳои майдони мушаххас.
В сатил шумо метавонед якчанд бахшҳоро барои сохтани якчанд сутунҳо ё ҷадвалҳо илова кунед, маҳдудиятҳо дар ин ҷо хеле мантиқӣ мебошанд. Дар ҷамъбаст, шумо метавонед интихоб кунед, ки кадом усул барои тақсим кардан ба сегментҳо истифода мешавад: диапазони ipv4, диапазони сана, шартҳо ва ғайра. Интихоби ҷолибтарин маҳз аст Шартҳои и Шартҳои муҳим, тақсимот ба сегментҳо мувофиқи арзишҳои майдони индекси мушаххас амалӣ карда мешавад, фарқияти байни онҳо дар шумораи арзишҳои баргардонидашуда ва намоиши онҳост. Азбаски мо мехоҳем ҷадвалро бо номи лавҳаҳо тақсим кунем, мо майдонро интихоб мекунем - маҳсулот.калимаи калидӣ ва андозаро ба 25 арзиши баргардонида таъин кунед.
Ба ҷои сатр, elasticsearch 2 намуди маълумотро истифода мебарад - матн и калимаи. Агар шумо хоҳед, ки ҷустуҷӯи пурраи матнро анҷом диҳед, шумо бояд намуди матнро истифода баред, ки ҳангоми навиштани хидмати ҷустуҷӯии худ чизи хеле қулай аст, масалан, ҷустуҷӯи зикри калима дар арзиши майдони мушаххас (матн). Агар шумо танҳо мувофиқати дақиқ дошта бошед, шумо бояд навъи калимаи калидиро истифода баред. Инчунин, калимаи калидии навъи маълумот бояд барои майдонҳое истифода шавад, ки ба навъбандӣ ё ҷамъкунӣ ниёз доранд, яъне дар ҳолати мо.
Дар натиҷа, Elasticsearch шумораи гузоришҳоро барои як муддати муайян ҳисоб мекунад, ки аз рӯи арзиш дар соҳаи маҳсулот ҷамъ карда мешавад. Дар тамғаи фармоишӣ, мо номи сутунеро, ки дар ҷадвал нишон дода мешавад, таъин мекунем, вақтеро, ки барои он гузоришҳо ҷамъоварӣ мекунем, оғоз мекунем - Кибана ба elasticsearch дархост мефиристад, посухро интизор мешавад ва сипас маълумоти гирифташударо визуалӣ мекунад. Ҷадвал тайёр аст!
Диаграммаи хурд барои рӯйдодҳои Пешгирии таҳдид
Маълумот дар бораи чанд реаксияҳо ҳамчун фоиз таваҷҷӯҳи махсус дорад ошкор кардан и Пешгирӣ кунед дар бораи ҳодисаҳои амнияти иттилоотӣ дар сиёсати кунунии амният. Диаграммаи пиронсолӣ барои ин вазъият хуб кор мекунад. Дар визуалӣ интихоб кунед - Диаграммаи қанд. Инчунин дар метрика мо ҷамъро аз рӯи шумораи гузоришҳо муқаррар мекунем. Дар сатилҳо мо Шартҳои => амалро мегузорем.
Ба назар чунин мерасад, ки ҳама чиз дуруст аст, аммо натиҷа арзишҳоро барои ҳама лейкҳо нишон медиҳад; шумо бояд танҳо аз рӯи он чӯбҳое, ки дар доираи Пешгирии таҳдид кор мекунанд, филтр кунед. Бинобар ин, мо онро бешубҳа муқаррар кардем фишоровар барои ҷустуҷӯи маълумот танҳо дар бораи лавҳаҳое, ки барои ҳодисаҳои амнияти иттилоотӣ масъуланд - маҳсулот: («Анти-бот» Ё «Антивируси нав» Ё «DDoS Protector» Ё «SmartDefense» Ё «Эмуляцияи таҳдид»). Тасвирро клик кардан мумкин аст:
Ва танзимоти муфассалтар, тасвирро клик кардан мумкин аст:
Ҷадвали рӯйдодҳои IPS
Минбаъд, аз нуқтаи назари амнияти иттилоотӣ дидан ва тафтиши рӯйдодҳо дар майса хеле муҳим аст. IPS и Имуляцияи таҳдид, которые баста нашудаанд сиёсати ҷорӣ, бо мақсади баъдан ё тағир додани имзо барои пешгирӣ, ё агар трафик дуруст бошад, имзоро тафтиш накунед. Мо ҷадвалро ба мисли мисоли аввал месозем, танҳо фарқияти он, ки мо якчанд сутунҳо месозем: protects.keyword, severity.keyword, product.keyword, originsicname.keyword. Боварӣ ҳосил кунед, ки филтрро барои ҷустуҷӯи маълумот танҳо дар бораи лавҳаҳое, ки барои ҳодисаҳои амнияти иттилоотӣ масъуланд, насб кунед - маҳсулот: (“SmartDefense” ё “Threat Emulation”). Тасвирро клик кардан мумкин аст:
Танзимоти муфассалтар, тасвирро клик кардан мумкин аст:
Диаграммаҳои сайтҳои машҳуртарини боздидшуда
Барои ин, як рақам эҷод кунед - Бари амудӣ. Мо инчунин ҳисобро (меҳвари Y) ҳамчун метрика истифода мебарем ва дар меҳвари X номи сайтҳои боздидшударо ҳамчун арзишҳо истифода хоҳем кард - "appi_name". Дар ин ҷо як ҳиллаи каме вуҷуд дорад: агар шумо танзимотро дар версияи ҷорӣ иҷро кунед, пас ҳама сайтҳо дар график бо як ранг нишон дода мешаванд, то онҳо гуногунранг шаванд, мо танзимоти иловагӣ - "силсилаи тақсим" -ро истифода мебарем. ки ба шумо имкон медиҳад, ки сутуни тайёрро вобаста ба майдони интихобшуда ба якчанд арзишҳои дигар тақсим кунед! Маҳз ҳамин тақсимотро метавон ҳамчун як сутуни гуногунранг мувофиқи арзишҳо дар ҳолати stacked ё дар реҷаи муқаррарӣ барои сохтани якчанд сутунҳо мувофиқи арзиши муайян дар меҳвари X истифода бурд.Дар ин ҳолат, мо дар ин ҷо арзиши якхелае, ки дар меҳвари X аст, ин имкон медиҳад, ки ҳамаи сутунҳо гуногунранг шаванд; онҳо бо рангҳо дар тарафи рости боло нишон дода мешаванд. Дар филтр, ки мо муқаррар кардем - маҳсулот: "Филти URL" барои дидани маълумот танҳо дар сайтҳои боздидшуда, тасвирро клик кардан мумкин аст:
Танзимот:
Диаграммаи истифодаи барномаҳои хатарноктарин
Барои ин, фигураро созед - Бари амудӣ. Мо инчунин ҳисобро (меҳвари Y) ҳамчун метрика истифода мебарем ва дар меҳвари X номи замимаҳои истифодашуда - "appi_name" -ро ҳамчун арзиш истифода мебарем. Муҳимтар аз ҳама танзимоти филтр аст - маҳсулот: "Назорати барнома" ВА app_risk: (4 Ё 5 Ё 3 ) ВА амал: "қабул кунед". Мо гузоришҳоро аз рӯи лавҳаи назорати барномаҳо филтр мекунем ва танҳо он сайтҳоеро, ки ба сайтҳои хатарнок, баланд ва миёна гурӯҳбандӣ шудаанд ва танҳо дар сурате, ки дастрасӣ ба ин сайтҳо иҷозат дода шудааст, мегирем. Тасвирро клик кардан мумкин аст:
Танзимот, кликшаванда:
Панели асбобҳо
Намоиш ва сохтани панелҳои идоракунӣ дар як ҷузъи алоҳидаи меню ҷойгир аст - панели. Дар ин ҷо ҳама чиз оддӣ аст, панели нав сохта мешавад, визуализатсия ба он илова карда мешавад, дар ҷои худ ҷойгир карда мешавад ва ҳамин тавр!
Мо панели идоракуниро эҷод карда истодаем, ки тавассути он шумо метавонед вазъияти асосии ҳолати амнияти иттилоотиро дар созмон фаҳмед, албатта, танҳо дар сатҳи Check Point, тасвирро клик кардан мумкин аст:
Дар асоси ин графикҳо, мо метавонем бифаҳмем, ки кадом имзоҳои муҳим дар брандмауэр баста нашудаанд, корбарон ба куҷо мераванд ва кадом барномаҳои хатарнокро истифода мебаранд.
хулоса
Мо имкониятҳои визуализатсияи асосиро дар Кибана дида баромадем ва панели идоракунӣ сохтем, аммо ин танҳо як қисми хурд аст. Минбаъд дар курс мо ба танзими харитаҳо, кор бо системаи elasticsearch, шиносоӣ бо дархостҳои API, автоматикунонӣ ва бисёр чизҳои дигарро дида мебароем!
Пас бохабар монед, , , ), .
Манбаъ: will.com