ในบทความก่อนหน้านี้ เราคุ้นเคยกันเล็กน้อยกับ elk stack และการตั้งค่าไฟล์การกำหนดค่า Logstash สำหรับ log parser ในบทความนี้ เราจะพูดถึงสิ่งที่สำคัญที่สุดจากมุมมองเชิงวิเคราะห์ สิ่งที่คุณต้องการ ดูจากระบบและทุกสิ่งถูกสร้างขึ้นเพื่ออะไร - นี่คือกราฟและตารางที่รวมกัน แดชบอร์ด. วันนี้เราจะมาดูระบบการแสดงภาพให้ละเอียดยิ่งขึ้น Kibanaเราจะดูวิธีสร้างกราฟและตาราง และด้วยเหตุนี้ เราจะสร้างแดชบอร์ดแบบง่ายๆ โดยอิงตามบันทึกจากไฟร์วอลล์ Check Point
ขั้นตอนแรกในการทำงานกับคิบานะคือการสร้างสรรค์ รูปแบบดัชนีตามหลักตรรกะ นี่คือฐานของดัชนีที่รวมกันตามหลักการบางอย่าง แน่นอนว่านี่เป็นการตั้งค่าเพียงอย่างเดียวที่ทำให้ Kibana ค้นหาข้อมูลในทุกดัชนีได้สะดวกยิ่งขึ้นในเวลาเดียวกัน กำหนดโดยจับคู่สตริง เช่น “checkpoint-*” และชื่อของดัชนี ตัวอย่างเช่น "จุดตรวจ-2019.12.05" จะพอดีกับรูปแบบ แต่ "จุดตรวจ" จะไม่มีอยู่แล้ว เป็นมูลค่าการกล่าวแยกกันว่าในการค้นหาเป็นไปไม่ได้ที่จะค้นหาข้อมูลเกี่ยวกับรูปแบบดัชนีที่แตกต่างกันในเวลาเดียวกัน หลังจากนั้นเล็กน้อยในบทความต่อ ๆ ไปเราจะเห็นว่าคำขอ API ถูกสร้างขึ้นโดยใช้ชื่อของดัชนีหรือเพียงรายการเดียว เส้นของลวดลาย รูปภาพสามารถคลิกได้:
หลังจากนี้ เราจะตรวจสอบในเมนู Discover ว่าบันทึกทั้งหมดได้รับการจัดทำดัชนีและมีการกำหนดค่า parser ที่ถูกต้อง หากพบความไม่สอดคล้องกัน เช่น การเปลี่ยนประเภทข้อมูลจากสตริงเป็นจำนวนเต็ม คุณจะต้องแก้ไขไฟล์การกำหนดค่า Logstash ส่งผลให้บันทึกใหม่จะถูกเขียนอย่างถูกต้อง เพื่อให้บันทึกเก่าอยู่ในรูปแบบที่ต้องการก่อนการเปลี่ยนแปลง เฉพาะกระบวนการจัดทำดัชนีใหม่เท่านั้นที่ช่วยได้ ในบทความต่อๆ ไป การดำเนินการนี้จะกล่าวถึงในรายละเอียดเพิ่มเติม ตรวจสอบให้แน่ใจว่าทุกอย่างเป็นไปตามลำดับรูปภาพสามารถคลิกได้:
บันทึกอยู่ในสถานที่แล้ว ซึ่งหมายความว่าเราสามารถเริ่มสร้างแดชบอร์ดได้ จากการวิเคราะห์แดชบอร์ดจากผลิตภัณฑ์ด้านความปลอดภัย คุณสามารถเข้าใจสถานะของความปลอดภัยของข้อมูลในองค์กร เห็นช่องโหว่ในนโยบายปัจจุบันได้อย่างชัดเจน และพัฒนาวิธีการกำจัดช่องโหว่เหล่านั้นในภายหลัง มาสร้างแดชบอร์ดขนาดเล็กโดยใช้เครื่องมือสร้างภาพข้อมูลต่างๆ กัน แดชบอร์ดจะประกอบด้วย 5 องค์ประกอบ:
- ตารางคำนวณจำนวนบันทึกทั้งหมดตามใบมีด
- ตารางเกี่ยวกับลายเซ็น IPS ที่สำคัญ
- แผนภูมิวงกลมสำหรับกิจกรรมการป้องกันภัยคุกคาม
- แผนภูมิไซต์ที่เข้าชมบ่อยที่สุด
- แผนภูมิการใช้แอปพลิเคชันที่อันตรายที่สุด
หากต้องการสร้างภาพข้อมูล คุณต้องไปที่เมนู จินตนาการแล้วเลือกฟิกเกอร์ที่ต้องการที่เราต้องการสร้าง! ไปตามลำดับกันเลย
ตารางคำนวณจำนวนบันทึกทั้งหมดตามเบลด
เมื่อต้องการทำเช่นนี้ ให้เลือกรูปภาพ ตารางข้อมูลเราเข้าข่ายอุปกรณ์สำหรับสร้างกราฟ ด้านซ้ายคือ การตั้งค่าของฟิกเกอร์ ด้านขวาคือลักษณะที่จะดูในการตั้งค่าปัจจุบัน ก่อนอื่น ฉันจะแสดงให้เห็นว่าตารางที่เสร็จแล้วจะมีลักษณะอย่างไร หลังจากนั้นเราจะผ่านการตั้งค่าต่างๆ รูปภาพสามารถคลิกได้:
การตั้งค่ารายละเอียดเพิ่มเติมของรูปภาพ รูปภาพสามารถคลิกได้:
มาดูการตั้งค่ากัน
กำหนดค่าเบื้องต้นแล้ว เมตริกนี่คือค่าที่จะใช้รวมทุกช่อง เมตริกคำนวณตามค่าที่แยกออกมาไม่ทางใดก็ทางหนึ่งจากเอกสาร โดยปกติแล้วค่าต่างๆ จะถูกดึงมาจาก ฟิลด์ เอกสาร แต่ยังสามารถสร้างได้โดยใช้สคริปต์ ในกรณีนี้เราใส่เข้าไป การรวมกลุ่ม: นับ (จำนวนบันทึกทั้งหมด)
หลังจากนั้นเราจะแบ่งตารางออกเป็นส่วน ๆ (ฟิลด์) ที่จะคำนวณเมตริก ฟังก์ชันนี้ดำเนินการโดยการตั้งค่า Buckets ซึ่งจะประกอบด้วย 2 ตัวเลือกการตั้งค่า:
- แยกแถว - เพิ่มคอลัมน์แล้วแบ่งตารางออกเป็นแถว
- ตารางแยก - แบ่งออกเป็นหลายตารางตามค่าของฟิลด์เฉพาะ
В บุ้งกี๋ คุณสามารถเพิ่มหลายส่วนเพื่อสร้างคอลัมน์หรือตารางได้หลายรายการ ข้อจำกัดที่นี่ค่อนข้างสมเหตุสมผล ในการรวมกลุ่ม คุณสามารถเลือกวิธีการที่จะใช้เพื่อแบ่งออกเป็นกลุ่มต่างๆ ได้ เช่น ช่วง ipv4, ช่วงวันที่, ข้อกำหนด ฯลฯ ตัวเลือกที่น่าสนใจที่สุดคืออย่างแม่นยำ ข้อตกลงและเงื่อนไข и ข้อกำหนดที่สำคัญการแบ่งส่วนออกเป็นส่วน ๆ จะดำเนินการตามค่าของฟิลด์ดัชนีเฉพาะความแตกต่างระหว่างค่าเหล่านั้นอยู่ที่จำนวนค่าที่ส่งคืนและการแสดงผล เนื่องจากเราต้องการแบ่งตารางตามชื่อของเบลด เราจึงเลือกฟิลด์ - สินค้า.คำสำคัญ และกำหนดขนาดเป็นค่าที่ส่งคืน 25 ค่า
แทนที่จะเป็นสตริง elasticsearch ใช้ข้อมูล 2 ประเภท - ข้อความ и คีย์เวิร์ด. หากคุณต้องการค้นหาข้อความแบบเต็ม คุณควรใช้ประเภทข้อความซึ่งสะดวกมากเมื่อเขียนบริการค้นหาของคุณ เช่น ค้นหาคำที่กล่าวถึงในค่าฟิลด์เฉพาะ (ข้อความ) หากคุณต้องการเพียงการทำงานแบบตรงทั้งหมด คุณควรใช้ประเภทคำหลัก นอกจากนี้ ควรใช้ประเภทข้อมูลคำหลักสำหรับฟิลด์ที่ต้องมีการเรียงลำดับหรือการรวมกลุ่ม ซึ่งก็คือในกรณีของเรา
ด้วยเหตุนี้ Elasticsearch จึงนับจำนวนบันทึกในช่วงเวลาหนึ่ง ซึ่งรวมตามค่าในช่องผลิตภัณฑ์ ในป้ายกำกับที่กำหนดเอง เราตั้งชื่อคอลัมน์ที่จะแสดงในตาราง กำหนดเวลาที่เรารวบรวมบันทึก เริ่มการเรนเดอร์ - Kibana ส่งคำขอไปยัง elasticsearch รอการตอบกลับ จากนั้นแสดงภาพข้อมูลที่ได้รับ โต๊ะพร้อมแล้ว!
แผนภูมิวงกลมสำหรับเหตุการณ์การป้องกันภัยคุกคาม
สิ่งที่น่าสนใจเป็นพิเศษคือข้อมูลเกี่ยวกับจำนวนปฏิกิริยาที่มีเป็นเปอร์เซ็นต์ ตรวจจับ и ป้องกัน เกี่ยวกับเหตุการณ์ความปลอดภัยของข้อมูลในนโยบายความปลอดภัยในปัจจุบัน แผนภูมิวงกลมทำงานได้ดีสำหรับสถานการณ์นี้ เลือกในการแสดงภาพ - แผนภูมิวงกลม. นอกจากนี้ในตัวชี้วัดเรายังตั้งค่าการรวมตามจำนวนบันทึก ในที่เก็บข้อมูลเราใส่เงื่อนไข => การกระทำ
ดูเหมือนว่าทุกอย่างจะถูกต้อง แต่ผลลัพธ์แสดงค่าสำหรับเบลดทั้งหมด คุณต้องกรองเฉพาะเบลดที่ทำงานภายในกรอบการป้องกันภัยคุกคาม ดังนั้นเราจึงกำหนดไว้อย่างแน่นอน กรอง เพื่อค้นหาข้อมูลเฉพาะบนเบลดที่รับผิดชอบเหตุการณ์ความปลอดภัยของข้อมูล - ผลิตภัณฑ์: (“Anti-Bot” หรือ “Anti-Virus ใหม่” หรือ “DDoS Protector” หรือ “SmartDefense” หรือ “Threat Emulation”) รูปภาพสามารถคลิกได้:
และการตั้งค่าแบบละเอียดเพิ่มเติมสามารถคลิกรูปภาพได้:
ตารางเหตุการณ์ IPS
ถัดไป สิ่งที่สำคัญมากจากมุมมองความปลอดภัยของข้อมูลคือการดูและตรวจสอบเหตุการณ์บนเบลด IPS и การจำลองภัยคุกคาม, которые ไม่ได้ถูกปิดกั้น นโยบายปัจจุบัน เพื่อที่จะเปลี่ยนลายเซ็นในภายหลังเพื่อป้องกัน หรือหากการรับส่งข้อมูลถูกต้อง อย่าตรวจสอบลายเซ็น เราสร้างตารางในลักษณะเดียวกับตัวอย่างแรก โดยมีความแตกต่างเพียงอย่างเดียวที่เราสร้างหลายคอลัมน์: Protections.keyword, severity.keyword, product.keyword, originsicname.keyword อย่าลืมตั้งค่าตัวกรองเพื่อค้นหาข้อมูลเฉพาะเบลดที่รับผิดชอบเหตุการณ์ความปลอดภัยของข้อมูล - ผลิตภัณฑ์: (“SmartDefense” หรือ “การจำลองภัยคุกคาม”) รูปภาพสามารถคลิกได้:
การตั้งค่าโดยละเอียดเพิ่มเติม สามารถคลิกรูปภาพได้:
แผนภูมิสำหรับไซต์ที่เข้าชมบ่อยที่สุด
เมื่อต้องการทำเช่นนี้ ให้สร้างรูป - แถบแนวตั้ง. นอกจากนี้เรายังใช้การนับ (แกน Y) เป็นหน่วยเมตริก และบนแกน X เราจะใช้ชื่อของไซต์ที่เยี่ยมชมเป็นค่า “appi_name” มีเคล็ดลับเล็กน้อยที่นี่: หากคุณเรียกใช้การตั้งค่าในเวอร์ชันปัจจุบัน ไซต์ทั้งหมดจะถูกทำเครื่องหมายบนกราฟด้วยสีเดียวกัน เพื่อให้มีหลายสี เราใช้การตั้งค่าเพิ่มเติม - "แยกชุด" ซึ่งช่วยให้คุณสามารถแบ่งคอลัมน์สำเร็จรูปออกเป็นค่าต่างๆ ได้หลายค่า ขึ้นอยู่กับฟิลด์ที่เลือกแน่นอน! การแบ่งส่วนนี้สามารถใช้เป็นคอลัมน์หลายสีเดียวตามค่าในโหมดสแต็กหรือในโหมดปกติเพื่อสร้างหลายคอลัมน์ตามค่าที่กำหนดบนแกน X ในกรณีนี้ เราใช้ที่นี่ ค่าเดียวกับบนแกน X ทำให้สามารถทำให้คอลัมน์ทั้งหมดมีหลายสีได้ โดยจะมีการระบุด้วยสีที่มุมขวาบน ในตัวกรองที่เราตั้งค่า - ผลิตภัณฑ์: "การกรอง URL" เพื่อดูข้อมูลเฉพาะไซต์ที่เยี่ยมชมเท่านั้น รูปภาพสามารถคลิกได้:
การตั้งค่า:
แผนภาพแสดงการใช้งานแอพพลิเคชั่นที่อันตรายที่สุด
เมื่อต้องการทำเช่นนี้ ให้สร้างรูป - แถบแนวตั้ง นอกจากนี้ เรายังใช้การนับ (แกน Y) เป็นหน่วยเมตริก และบนแกน X เราจะใช้ชื่อของแอปพลิเคชันที่ใช้ - “appi_name” เป็นค่า สิ่งที่สำคัญที่สุดคือการตั้งค่าตัวกรอง - ผลิตภัณฑ์: “Application Control” และ app_risk: (4 หรือ 5 หรือ 3 ) และการกระทำ: “ยอมรับ” เรากรองบันทึกตามเบลดควบคุมแอปพลิเคชัน โดยนำเฉพาะไซต์ที่ได้รับการจัดประเภทเป็นไซต์ที่มีความเสี่ยงสูง วิกฤต ปานกลาง และเฉพาะในกรณีที่อนุญาตให้เข้าถึงไซต์เหล่านี้ได้ รูปภาพสามารถคลิกได้:
การตั้งค่า คลิกได้:
แผงควบคุม
การดูและสร้างแดชบอร์ดอยู่ในรายการเมนูแยกต่างหาก - Dashboard. ที่นี่ทุกอย่างเรียบง่าย มีการสร้างแดชบอร์ดใหม่ มีการเพิ่มการแสดงภาพ วางไว้ที่เดิม เท่านี้ก็เรียบร้อย!
เรากำลังสร้างแดชบอร์ดที่คุณสามารถเข้าใจสถานการณ์พื้นฐานของสถานะความปลอดภัยของข้อมูลในองค์กรได้ แน่นอนว่าเฉพาะในระดับ Check Point เท่านั้นที่สามารถคลิกรูปภาพได้:
จากกราฟเหล่านี้ เราสามารถเข้าใจได้ว่าลายเซ็นที่สำคัญรายการใดไม่ถูกบล็อกบนไฟร์วอลล์ ผู้ใช้ไปที่ไหน และแอปพลิเคชันใดที่อันตรายที่สุดที่พวกเขาใช้
ข้อสรุป
เราพิจารณาความสามารถของการแสดงภาพขั้นพื้นฐานใน Kibana และสร้างแดชบอร์ดขึ้นมา แต่นี่เป็นเพียงส่วนเล็กๆ เท่านั้น นอกจากนี้ในหลักสูตรนี้ เราจะแยกดูการตั้งค่าแผนที่ การทำงานกับระบบการค้นหาแบบยืดหยุ่น การทำความคุ้นเคยกับคำขอ API ระบบอัตโนมัติ และอื่นๆ อีกมากมาย!
ดังนั้นคอยติดตาม, , , ), .
ที่มา: will.com