ProHoster > Blog > Pangangasiwa > TS Kabuuang Paningin. Pagkolekta ng Kaganapan, Pagsusuri ng Insidente, at Tool sa Automation ng Pagtugon sa Banta

TS Kabuuang Paningin. Pagkolekta ng Kaganapan, Pagsusuri ng Insidente, at Tool sa Automation ng Pagtugon sa Banta

TS Kabuuang Paningin. Pagkolekta ng Kaganapan, Pagsusuri ng Insidente, at Tool sa Automation ng Pagtugon sa Banta

Magandang hapon, sa mga nakaraang artikulo ay nakilala namin ang gawain ng ELK Stack. At ngayon ay tatalakayin natin ang mga posibilidad na maaaring maisakatuparan ng isang espesyalista sa seguridad ng impormasyon sa paggamit ng mga sistemang ito. Anong mga log ang maaari at dapat idagdag sa elasticsearch. Isaalang-alang natin kung anong mga istatistika ang maaaring makuha sa pamamagitan ng pag-set up ng mga dashboard at kung may tubo dito. Paano ko maipapatupad ang automation ng mga proseso ng seguridad ng impormasyon gamit ang ELK stack. Gawin natin ang arkitektura ng system. Sa kabuuan, ang pagpapatupad ng lahat ng pag-andar ay isang napakalaki at mahirap na gawain, kaya ang solusyon ay binigyan ng isang hiwalay na pangalan - TS Total Sight.

Sa kasalukuyan, ang mga solusyon na nagsasama-sama at nagsusuri ng mga insidente ng seguridad ng impormasyon sa isang lohikal na lugar ay nakakakuha ng katanyagan, bilang isang resulta, ang isang espesyalista ay tumatanggap ng mga istatistika at isang front para sa aksyon upang mapabuti ang estado ng seguridad ng impormasyon sa isang organisasyon. Itinakda namin ang aming sarili ng ganoong gawain sa paggamit ng ELK stack, bilang isang resulta, pinili namin ang pangunahing pag-andar sa 4 na seksyon:

  1. Mga istatistika at visualization;
  2. Ang pagtuklas ng insidente ng IS;
  3. Priyoridad ng mga insidente;
  4. Automation ng mga proseso ng seguridad ng impormasyon.

Tingnan natin ang bawat isa nang mas detalyado.

Pag-detect ng insidente sa seguridad ng impormasyon

Ang pangunahing gawain sa paggamit ng elasticsearch sa aming kaso ay upang mangolekta lamang ng mga insidente ng seguridad ng impormasyon. Maaari kang mangolekta ng mga insidente sa seguridad ng impormasyon mula sa anumang paraan ng proteksyon kung sinusuportahan ng mga ito ang hindi bababa sa ilang mga log transfer mode, ang karaniwang isa ay syslog o scp na nagse-save sa isang file.

Maaari kang magbigay ng mga karaniwang halimbawa ng mga tool sa proteksyon at hindi lamang mula sa kung saan mo dapat i-configure ang pagpapasa ng mga log:

  1. Anumang pondo ng NGFW (Check Point, Fortinet);
  2. Anumang mga scanner ng kahinaan (PT Scanner, OpenVas);
  3. Web Application Firewall (PTAF);
  4. Mga tagasuri ng Netflow (Flowmon, Cisco StealthWatch);
  5. AD server.

Kapag na-set up mo na ang Logstash upang magpadala ng mga log at configuration file, maaari mong iugnay at ihambing ang mga insidente na nagmumula sa iba't ibang tool sa seguridad. Upang gawin ito, maginhawang gumamit ng mga index, kung saan iimbak namin ang lahat ng mga insidente na may kaugnayan sa isang partikular na device. Sa madaling salita, ang isang index ay lahat ng insidente para sa isang device. Ang pamamahagi na ito ay maaaring ipatupad sa dalawang paraan.

Ang unang opsyon ay upang i-configure ang Logstash config. Upang gawin ito, kailangan mong i-duplicate ang log para sa ilang partikular na field sa isang hiwalay na unit na may ibang uri. At pagkatapos ay gamitin ang ganitong uri. Ang mga halimbawang clone ay nag-log mula sa IPS blade ng Check Point firewall.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Upang maimbak ang mga naturang kaganapan sa isang hiwalay na index depende sa mga field ng mga log, halimbawa, tulad ng Destination IP ng pirma ng pag-atake. Maaari kang gumamit ng katulad na konstruksyon:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

At sa ganitong paraan, maaari mong i-save ang lahat ng mga insidente sa index, halimbawa, sa pamamagitan ng IP address, o sa pamamagitan ng domain name ng makina. Sa kasong ito, nag-iimbak kami sa index "smartdefense-%{dst}", sa pamamagitan ng IP address ng patutunguhan ng lagda.

Gayunpaman, magkakaroon ng iba't ibang field ng log ang iba't ibang produkto, na magreresulta sa kaguluhan at nasayang na memorya. At dito kinakailangan na maingat na palitan ang mga patlang sa mga setting ng config ng Logstash ng mga paunang idinisenyo, na magiging pareho para sa lahat ng uri ng mga insidente, na mahirap ding gawain.

Pangalawang opsyon sa pagpapatupad - ito ay pagsulat ng isang script o proseso na maa-access ang elastic base sa real time, bunutin ang mga kinakailangang insidente, at i-save ang mga ito sa isang bagong index, ito ay isang mahirap na gawain, ngunit ito ay nagbibigay-daan sa iyo upang gumana sa mga log ayon sa gusto mo , at direktang nauugnay sa mga insidente mula sa iba pang mga tool sa seguridad. Ang pagpipiliang ito ay nagbibigay-daan sa iyo upang i-customize ang trabaho gamit ang mga log bilang kapaki-pakinabang hangga't maaari para sa iyong kaso na may pinakamataas na kakayahang umangkop, ngunit narito ang isang problema sa paghahanap ng isang espesyalista na maaaring ipatupad ito.

At, siyempre, ang pinakamahalagang tanong kung ano ang maaaring maiugnay at matukoy?

Maaaring may ilang mga opsyon dito, at depende sa kung anong mga tool sa seguridad ang ginagamit sa iyong imprastraktura, ilang halimbawa:

  1. Ang pinaka-halata at mula sa aking pananaw ang pinaka-kagiliw-giliw na opsyon para sa mga may NGFW na solusyon at isang vulnerability scanner. Ito ay isang paghahambing ng mga log ng IPS at mga resulta ng pag-scan ng kahinaan. Kung ang isang pag-atake ay napansin (hindi na-block) ng sistema ng IPS, at ang kahinaan na ito ay hindi sarado sa end machine batay sa mga resulta ng pag-scan, kinakailangang hipan ang lahat ng mga tubo, dahil may mataas na posibilidad na ang kahinaan ay pinagsamantalahan.
  2. Maraming mga pagtatangka sa pag-log in mula sa isang makina patungo sa iba't ibang lugar ay maaaring sumagisag sa malisyosong aktibidad.
  3. Pag-download ng mga virus file ng user dahil sa pagbisita sa isang malaking bilang ng mga potensyal na mapanganib na site.

Mga istatistika at visualization

Ang pinaka-halata at naiintindihan na layunin ng ELK Stack ay ang pag-iimbak at paggunita ng mga log, sa mga nakaraang artikulo ipinakita kung paano ka makakakuha ng mga log mula sa iba't ibang device gamit ang Logstash. Matapos ang mga log ay pumunta sa Elasticsearch, maaari kang mag-set up ng mga dashboard, na binanggit din sa mga nakaraang artikulo, kasama ang impormasyon at istatistika na kailangan mo sa pamamagitan ng visualization.

ΠŸΡ€ΠΈΠΌΠ΅Ρ€Ρ‹:

  1. Dashboard ng mga kaganapan sa Pag-iwas sa Banta na may pinakamahalagang kaganapan. Dito maaari mong ipakita kung aling mga lagda ng IPS ang nakita, kung saan nanggaling ang mga ito sa heograpiya.

    TS Kabuuang Paningin. Pagkolekta ng Kaganapan, Pagsusuri ng Insidente, at Tool sa Automation ng Pagtugon sa Banta

  2. Dashboard sa paggamit ng mga pinaka-kritikal na application kung saan maaaring ma-leak ang impormasyon.

    TS Kabuuang Paningin. Pagkolekta ng Kaganapan, Pagsusuri ng Insidente, at Tool sa Automation ng Pagtugon sa Banta

  3. I-scan ang mga resulta mula sa anumang security scanner.

    TS Kabuuang Paningin. Pagkolekta ng Kaganapan, Pagsusuri ng Insidente, at Tool sa Automation ng Pagtugon sa Banta

  4. Mga log mula sa Active Directory ng mga user.

    TS Kabuuang Paningin. Pagkolekta ng Kaganapan, Pagsusuri ng Insidente, at Tool sa Automation ng Pagtugon sa Banta

  5. Dashboard ng koneksyon sa VPN.

Sa kasong ito, kung magse-set up ka ng mga dashboard upang mag-update bawat ilang segundo, maaari kang makakuha ng medyo maginhawang sistema para sa pagsubaybay sa mga kaganapan sa real time, na pagkatapos ay magagamit upang tumugon sa mga insidente ng seguridad ng impormasyon sa lalong madaling panahon kung maglalagay ka ng mga dashboard sa isang hiwalay na screen.

Insidente Priyoridad

Sa mga kondisyon ng isang malaking imprastraktura, ang bilang ng mga insidente ay maaaring lumampas sa sukat, at ang mga espesyalista ay hindi magkakaroon ng oras upang suriin ang lahat ng mga insidente sa oras. Sa kasong ito, kinakailangan una sa lahat na iisa-isa lamang ang mga insidenteng nagdadala ng malaking banta. Samakatuwid, dapat unahin ng system ang mga insidente ayon sa kanilang kalubhaan kaugnay ng iyong imprastraktura. Maipapayo na mag-set up ng isang abiso sa koreo o mga telegrama ng mga kaganapang ito. Maaaring ipatupad ang priyoridad gamit ang mga regular na tool sa Kibana, sa pamamagitan ng pag-set up ng visualization. Ngunit sa isang abiso, mas mahirap, bilang default, ang pagpapaandar na ito ay hindi kasama sa pangunahing bersyon ng Elasticsearch, sa binabayaran lamang. Samakatuwid, alinman sa bumili ng isang bayad na bersyon, o, muli, sumulat ng isang proseso sa iyong sarili na aabisuhan ang mga espesyalista sa real time sa pamamagitan ng koreo o telegrama.

Automation ng mga proseso ng seguridad ng impormasyon

At isa sa mga pinaka-kagiliw-giliw na bahagi ay ang automation ng mga aksyon para sa mga insidente ng seguridad ng impormasyon. Noong nakaraan, ipinatupad namin ang pagpapaandar na ito para sa Splunk, maaari kang magbasa ng kaunti pa dito Artikulo. Ang pangunahing ideya ay ang patakaran ng IPS ay hindi kailanman nasubok o na-optimize, bagaman sa ilang mga kaso ito ay isang mahalagang bahagi ng mga proseso ng seguridad ng impormasyon. Halimbawa, isang taon pagkatapos ng pagpapatupad ng NGFW at ang kawalan ng mga aksyon upang ma-optimize ang IPS, makakaipon ka ng isang malaking bilang ng mga lagda na may pagkilos na Detect na hindi mai-block, na lubos na binabawasan ang estado ng seguridad ng impormasyon sa organisasyon. Narito ang ilang mga halimbawa ng kung ano ang maaaring awtomatiko:

  1. Paglipat ng IPS signature mula sa Detect to Prevent. Kung ang Prevent ay hindi gumagana sa mga kritikal na lagda, ito ay wala sa kaayusan, at isang malubhang paglabag sa sistema ng proteksyon. Binago namin ang pagkilos sa patakaran sa mga naturang lagda. Maaaring ipatupad ang functionality na ito kung ang NGFW device ay may REST API functionality. Posible lamang ito kung mayroon kang mga kasanayan sa programming, kailangan mong ilabas ang kinakailangang impormasyon mula sa Elastcisearch at isagawa ang mga kahilingan sa API sa NGFW control server.
  2. Kung maraming lagda ang nakita o na-block sa trapiko ng network mula sa isang IP address, makatuwirang harangan ang IP address na ito nang ilang panahon sa patakaran ng Firewall. Ang pagpapatupad ay binubuo din ng paggamit ng REST API.
  3. Ilunsad ang isang host scan na may isang vulnerability scanner kung ang host na ito ay may malaking bilang ng mga lagda para sa IPS o iba pang mga tool sa seguridad, kung ito ay OpenVas, pagkatapos ay maaari kang magsulat ng isang script na magkokonekta sa pamamagitan ng ssh sa security scanner at patakbuhin ang pag-scan.

TS Kabuuang Paningin. Pagkolekta ng Kaganapan, Pagsusuri ng Insidente, at Tool sa Automation ng Pagtugon sa Banta

TS Kabuuang Paningin

Sa kabuuan, ang pagpapatupad ng lahat ng pag-andar ay isang napakalaki at mahirap na gawain. Kung walang mga kasanayan sa programming, maaari mong i-set up ang pinakamababang functionality, na maaaring sapat para magamit sa pagiging produktibo. Ngunit kung interesado ka sa lahat ng pag-andar, maaari mong bigyang pansin ang TS Total Sight. Makakahanap ka ng higit pang mga detalye sa aming Online. Bilang resulta, ang buong scheme ng trabaho at arkitektura ay magiging ganito:

TS Kabuuang Paningin. Pagkolekta ng Kaganapan, Pagsusuri ng Insidente, at Tool sa Automation ng Pagtugon sa Banta

Konklusyon

Tiningnan namin kung ano ang maaaring ipatupad gamit ang ELK Stack. Sa mga susunod na artikulo, hiwalay naming isasaalang-alang nang mas detalyado ang pag-andar ng TS Total Sight!

Kaya manatiling nakatutokTelegrama, Facebook, VK, TS Solution Blog), Yandex Zen.

Pinagmulan: www.habr.com

Magdagdag ng komento