สวัสดีตอนบ่าย ในบทความก่อนหน้านี้เราได้ทำความคุ้นเคยกับการทำงานของ ELK Stack และตอนนี้เราจะหารือเกี่ยวกับความเป็นไปได้ที่ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลสามารถรับรู้ได้ในการใช้ระบบเหล่านี้ บันทึกใดที่สามารถและควรเพิ่มใน elasticsearch ลองพิจารณาว่าสามารถรับสถิติใดได้บ้างโดยการตั้งค่าแดชบอร์ดและดูว่ามีกำไรหรือไม่ ฉันจะใช้ระบบอัตโนมัติของกระบวนการรักษาความปลอดภัยข้อมูลโดยใช้ ELK stack ได้อย่างไร มาสร้างสถาปัตยกรรมของระบบกันเถอะ สรุปแล้ว การนำฟังก์ชันทั้งหมดไปใช้เป็นงานที่ใหญ่และยากมาก ดังนั้นโซลูชันจึงได้รับชื่อแยกต่างหาก - TS Total Sight
ปัจจุบัน โซลูชันที่รวมและวิเคราะห์เหตุการณ์ด้านความปลอดภัยของข้อมูลไว้ในที่เดียวกำลังได้รับความนิยม ส่งผลให้ผู้เชี่ยวชาญได้รับสถิติและการดำเนินการเพื่อปรับปรุงสถานะความปลอดภัยของข้อมูลในองค์กร เรากำหนดให้ตัวเองทำงานดังกล่าวโดยใช้สแต็ก ELK ด้วยเหตุนี้ เราจึงแยกฟังก์ชันการทำงานหลักออกเป็น 4 ส่วน:
- สถิติและการสร้างภาพ
- การตรวจจับเหตุการณ์ IS;
- การจัดลำดับความสำคัญของเหตุการณ์
- ระบบอัตโนมัติของกระบวนการรักษาความปลอดภัยข้อมูล
เรามาดูรายละเอียดแต่ละอย่างให้ละเอียดยิ่งขึ้น
การตรวจจับเหตุการณ์ความปลอดภัยของข้อมูล
งานหลักในการใช้ elasticsearch ในกรณีของเราคือการรวบรวมเฉพาะเหตุการณ์ด้านความปลอดภัยของข้อมูล คุณสามารถรวบรวมเหตุการณ์ด้านความปลอดภัยของข้อมูลจากวิธีการป้องกันใดๆ ก็ได้ หากพวกเขาสนับสนุนโหมดการถ่ายโอนบันทึกบางโหมดเป็นอย่างน้อย โหมดมาตรฐานคือบันทึก syslog หรือ scp ลงในไฟล์
คุณสามารถให้ตัวอย่างมาตรฐานของเครื่องมือป้องกันและไม่เพียง แต่ควรกำหนดค่าการส่งต่อบันทึกจากที่ใด:
- กองทุน NGFW ใด ๆ (Check Point, Fortinet);
- เครื่องสแกนช่องโหว่ใด ๆ (PT Scanner, OpenVas);
- ไฟร์วอลล์สำหรับเว็บแอปพลิเคชัน (PTAF);
- เครื่องวิเคราะห์ Netflow (Flowmon, Cisco StealthWatch);
- เซิร์ฟเวอร์โฆษณา
เมื่อคุณตั้งค่า Logstash เพื่อส่งบันทึกและไฟล์การกำหนดค่าแล้ว คุณสามารถเชื่อมโยงและเปรียบเทียบกับเหตุการณ์ที่มาจากเครื่องมือรักษาความปลอดภัยต่างๆ ได้ ในการทำเช่นนี้จะสะดวกในการใช้ดัชนีซึ่งเราจะจัดเก็บเหตุการณ์ทั้งหมดที่เกี่ยวข้องกับอุปกรณ์เฉพาะ กล่าวอีกนัยหนึ่ง หนึ่งดัชนีคือเหตุการณ์ทั้งหมดสำหรับอุปกรณ์หนึ่งเครื่อง การกระจายนี้สามารถทำได้สองวิธี
ตัวเลือกแรก คือการกำหนดค่า Logstash config ในการทำเช่นนี้ คุณต้องทำซ้ำบันทึกสำหรับบางฟิลด์เป็นหน่วยแยกต่างหากที่มีประเภทอื่น แล้วค่อยมาใช้แบบนี้ ตัวอย่างนี้โคลนบันทึกจากเบลด IPS ของไฟร์วอลล์ Check Point
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
เพื่อจัดเก็บเหตุการณ์ดังกล่าวในดัชนีแยกต่างหากโดยขึ้นอยู่กับฟิลด์ของบันทึก ตัวอย่างเช่น IP ปลายทางของลายเซ็นการโจมตี คุณสามารถใช้โครงสร้างที่คล้ายกัน:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
และด้วยวิธีนี้ คุณสามารถบันทึกเหตุการณ์ทั้งหมดลงในดัชนีได้ เช่น ตามที่อยู่ IP หรือตามชื่อโดเมนของเครื่อง ในกรณีนี้ เราเก็บไว้ในดัชนี "smartdefense-%{dst}"ตามที่อยู่ IP ของปลายทางลายเซ็น
อย่างไรก็ตาม ผลิตภัณฑ์ที่แตกต่างกันจะมีฟิลด์บันทึกที่แตกต่างกัน ส่งผลให้เกิดความสับสนวุ่นวายและเปลืองหน่วยความจำ และที่นี่จำเป็นต้องแทนที่ฟิลด์อย่างระมัดระวังในการตั้งค่าการกำหนดค่า Logstash ด้วยฟิลด์ที่ออกแบบไว้ล่วงหน้าซึ่งจะเหมือนกันสำหรับเหตุการณ์ทุกประเภทซึ่งเป็นงานที่ยากเช่นกัน
ตัวเลือกการใช้งานที่สอง - นี่คือการเขียนสคริปต์หรือกระบวนการที่จะเข้าถึงฐานยืดหยุ่นตามเวลาจริง ดึงเหตุการณ์ที่จำเป็นออกมา และบันทึกลงในดัชนีใหม่ นี่เป็นงานที่ยาก แต่ช่วยให้คุณทำงานกับบันทึกได้ตามต้องการ และสัมพันธ์โดยตรงกับเหตุการณ์จากเครื่องมือรักษาความปลอดภัยอื่นๆ ตัวเลือกนี้ทำให้คุณสามารถปรับแต่งงานกับบันทึกให้มีประโยชน์มากที่สุดเท่าที่จะเป็นไปได้สำหรับกรณีของคุณด้วยความยืดหยุ่นสูงสุด แต่ที่นี่มีปัญหาในการหาผู้เชี่ยวชาญที่สามารถนำสิ่งนี้ไปใช้ได้
และแน่นอน คำถามที่สำคัญที่สุด สิ่งที่สามารถสัมพันธ์และตรวจพบได้?
อาจมีหลายตัวเลือกที่นี่ และขึ้นอยู่กับเครื่องมือความปลอดภัยที่ใช้ในโครงสร้างพื้นฐานของคุณ ตัวอย่างสองสามตัวอย่าง:
- ตัวเลือกที่ชัดเจนที่สุดและจากมุมมองของฉันคือตัวเลือกที่น่าสนใจที่สุดสำหรับผู้ที่มีโซลูชัน NGFW และเครื่องสแกนช่องโหว่ นี่คือการเปรียบเทียบบันทึก IPS และผลการสแกนช่องโหว่ หากตรวจพบการโจมตี (ไม่ถูกบล็อก) โดยระบบ IPS และช่องโหว่นี้ไม่ได้ถูกปิดบนเครื่องปลายทางตามผลการสแกน จำเป็นต้องระเบิดท่อทั้งหมดเนื่องจากมีความเป็นไปได้สูงที่ช่องโหว่ดังกล่าว ถูกเอาเปรียบ
- ความพยายามในการเข้าสู่ระบบหลายครั้งจากเครื่องหนึ่งไปยังที่ต่างๆ อาจเป็นสัญลักษณ์ของกิจกรรมที่เป็นอันตราย
- ผู้ใช้ดาวน์โหลดไฟล์ไวรัสเนื่องจากการเข้าชมไซต์ที่อาจเป็นอันตรายจำนวนมาก
สถิติและการแสดงภาพ
วัตถุประสงค์ที่ชัดเจนและเข้าใจได้ที่สุดของ ELK Stack คือการจัดเก็บและการแสดงภาพของบันทึก
Примеры:
- แดชบอร์ดของกิจกรรมการป้องกันภัยคุกคามพร้อมเหตุการณ์ที่สำคัญที่สุด ที่นี่ คุณสามารถสะท้อนว่าลายเซ็น IPS ใดถูกตรวจพบ ซึ่งมาจากตำแหน่งทางภูมิศาสตร์
- แดชบอร์ดเกี่ยวกับการใช้แอปพลิเคชันที่สำคัญที่สุดซึ่งข้อมูลสามารถรั่วไหลได้
- ผลการสแกนจากเครื่องสแกนความปลอดภัยใดๆ
- บันทึกจาก Active Directory โดยผู้ใช้
- แดชบอร์ดการเชื่อมต่อ VPN
ในกรณีนี้ หากคุณตั้งค่าแดชบอร์ดให้อัปเดตทุกๆ XNUMX-XNUMX วินาที คุณจะได้รับระบบที่สะดวกพอสมควรสำหรับการตรวจสอบเหตุการณ์แบบเรียลไทม์ ซึ่งสามารถใช้เพื่อตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของข้อมูลได้โดยเร็วที่สุด หากคุณใส่แดชบอร์ดบน หน้าจอแยกต่างหาก
การจัดลำดับความสำคัญของเหตุการณ์
ในเงื่อนไขของโครงสร้างพื้นฐานขนาดใหญ่ จำนวนเหตุการณ์อาจลดขนาดลง และผู้เชี่ยวชาญจะไม่มีเวลาวิเคราะห์เหตุการณ์ทั้งหมดได้ทันเวลา ในกรณีนี้ ก่อนอื่นจำเป็นต้องแยกแยะเฉพาะเหตุการณ์ที่เป็นภัยคุกคามใหญ่หลวงเท่านั้น ดังนั้น ระบบจะต้องจัดลำดับความสำคัญของเหตุการณ์ตามความรุนแรงที่เกี่ยวข้องกับโครงสร้างพื้นฐานของคุณ ขอแนะนำให้ตั้งค่าการแจ้งเตือนทางไปรษณีย์หรือโทรเลขของเหตุการณ์เหล่านี้ การจัดลำดับความสำคัญสามารถทำได้โดยใช้เครื่องมือ Kibana ปกติ โดยการตั้งค่าการแสดงภาพ แต่ด้วยการแจ้งเตือนนั้นยากขึ้น โดยค่าเริ่มต้นแล้ว ฟังก์ชันนี้จะไม่รวมอยู่ใน Elasticsearch เวอร์ชันพื้นฐาน เฉพาะในเวอร์ชันที่ต้องชำระเงินเท่านั้น ดังนั้นให้ซื้อเวอร์ชันที่ต้องชำระเงินหรือเขียนกระบวนการด้วยตัวคุณเองอีกครั้งซึ่งจะแจ้งให้ผู้เชี่ยวชาญทราบแบบเรียลไทม์ทางไปรษณีย์หรือโทรเลข
ระบบอัตโนมัติของกระบวนการรักษาความปลอดภัยข้อมูล
และหนึ่งในส่วนที่น่าสนใจที่สุดคือระบบอัตโนมัติของการดำเนินการสำหรับเหตุการณ์ด้านความปลอดภัยข้อมูล ก่อนหน้านี้เราได้ใช้ฟังก์ชันนี้สำหรับ Splunk คุณสามารถอ่านเพิ่มเติมได้ในส่วนนี้
- การสลับลายเซ็น IPS จากตรวจหาเป็นป้องกัน หาก "ป้องกัน" ใช้ไม่ได้กับลายเซ็นที่สำคัญ แสดงว่าไม่เป็นระเบียบและเป็นการละเมิดระบบการป้องกันอย่างร้ายแรง เราเปลี่ยนการดำเนินการในนโยบายเป็นลายเซ็นดังกล่าว สามารถใช้ฟังก์ชันนี้ได้หากอุปกรณ์ NGFW มีฟังก์ชัน REST API สิ่งนี้จะเป็นไปได้ก็ต่อเมื่อคุณมีทักษะในการเขียนโปรแกรม คุณต้องดึงข้อมูลที่จำเป็นจาก Elastcisearch และดำเนินการคำขอ API ไปยังเซิร์ฟเวอร์ควบคุม NGFW
- หากตรวจพบหรือบล็อกลายเซ็นจำนวนมากในการรับส่งข้อมูลเครือข่ายจากที่อยู่ IP เดียว การบล็อกที่อยู่ IP นี้เป็นระยะเวลาหนึ่งตามนโยบายไฟร์วอลล์เป็นสิ่งที่สมเหตุสมผล การใช้งานยังประกอบด้วยการใช้ REST API
- เปิดใช้การสแกนโฮสต์ด้วยเครื่องสแกนช่องโหว่ หากโฮสต์นี้มีลายเซ็นจำนวนมากสำหรับ IPS หรือเครื่องมือรักษาความปลอดภัยอื่นๆ หากเป็น OpenVas คุณสามารถเขียนสคริปต์ที่จะเชื่อมต่อผ่าน ssh ไปยังเครื่องสแกนความปลอดภัยและเรียกใช้การสแกน
TS รวมสายตา
สรุปแล้ว การนำฟังก์ชันทั้งหมดไปใช้เป็นงานที่ใหญ่และยากมาก หากไม่มีทักษะในการเขียนโปรแกรม คุณสามารถตั้งค่าฟังก์ชันการทำงานขั้นต่ำได้ ซึ่งอาจเพียงพอสำหรับการใช้งานในการผลิต แต่ถ้าคุณสนใจฟังก์ชั่นทั้งหมด คุณสามารถสนใจ TS Total Sight ได้ คุณสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับเรา
ข้อสรุป
เราดูสิ่งที่สามารถนำไปใช้ได้โดยใช้ ELK Stack ในบทความต่อๆ ไป เราจะพิจารณารายละเอียดเพิ่มเติมเกี่ยวกับฟังก์ชันการทำงานของ TS Total Sight!
ดังนั้นคอยติดตาม
ที่มา: will.com