ProHoster > Blog > yönetim > TS Toplam Görüş. Olay Toplama, Olay Analizi ve Tehdit Müdahale Otomasyon Aracı

TS Toplam Görüş. Olay Toplama, Olay Analizi ve Tehdit Müdahale Otomasyon Aracı

TS Toplam Görüş. Olay Toplama, Olay Analizi ve Tehdit Müdahale Otomasyon Aracı

İyi günler, önceki makalelerde ELK Stack'in çalışmasıyla tanışmıştık. Şimdi de bir bilgi güvenliği uzmanının bu sistemleri kullanarak gerçekleştirebileceği olasılıkları tartışacağız. Elasticsearch'e hangi günlükler eklenebilir ve eklenmelidir? Gösterge tabloları kurarak hangi istatistiklerin elde edilebileceğini ve bunda bir kâr olup olmadığını düşünelim. ELK yığınını kullanarak bilgi güvenliği süreçlerinin otomasyonunu nasıl uygulayabilirim. Sistemin mimarisini oluşturalım. Özetle, tüm işlevlerin uygulanması çok büyük ve zor bir iştir, bu nedenle çözüme ayrı bir ad verildi - TS Total Sight.

Şu anda, bilgi güvenliği olaylarını tek bir mantıksal yerde birleştiren ve analiz eden çözümler popülerlik kazanıyor, sonuç olarak bir uzman, bir kuruluştaki bilgi güvenliğinin durumunu iyileştirmek için istatistikler ve eylem cephesi alıyor. ELK yığınını kullanma konusunda kendimize böyle bir görev belirledik, sonuç olarak ana işlevselliği 4 bölümde seçtik:

  1. İstatistik ve görselleştirme;
  2. IS olay tespiti;
  3. Olayların önceliklendirilmesi;
  4. Bilgi güvenliği süreçlerinin otomasyonu.

Her birine daha ayrıntılı olarak daha yakından bakalım.

Bilgi güvenliği olay tespiti

Bizim durumumuzda elastik arama kullanmanın ana görevi, yalnızca bilgi güvenliği olaylarını toplamaktır. En azından bazı günlük aktarım modlarını destekliyorsa, herhangi bir koruma aracından bilgi güvenliği olaylarını toplayabilirsiniz, standart olan syslog veya scp'nin bir dosyaya kaydedilmesidir.

Koruma araçlarına standart örnekler verebilirsiniz ve yalnızca günlüklerin iletilmesini yapılandırmanız gereken yerden değil:

  1. Herhangi bir NGFW fonu (Check Point, Fortinet);
  2. Herhangi bir güvenlik açığı tarayıcısı (PT Tarayıcı, OpenVas);
  3. Web Uygulaması Güvenlik Duvarı (PTAF);
  4. Netflow analizörleri (Flowmon, Cisco StealthWatch);
  5. AD sunucusu.

Günlükleri ve yapılandırma dosyalarını göndermek için Logstash'i kurduktan sonra, çeşitli güvenlik araçlarından gelen olaylarla ilişkilendirebilir ve karşılaştırabilirsiniz. Bunu yapmak için, belirli bir cihazla ilgili tüm olayları saklayacağımız indeksleri kullanmak uygundur. Başka bir deyişle, bir dizin, bir cihaz için tüm olaylardır. Bu dağıtım iki şekilde uygulanabilir.

İlk seçenek Logstash yapılandırmasını yapılandırmak içindir. Bunu yapmak için, belirli alanlar için günlüğü farklı türde ayrı bir birime kopyalamanız gerekir. Ve daha sonra bu türü kullanın. Örnek klonlar, Check Point güvenlik duvarının IPS dikey penceresinden günlükleri kaydeder.

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

Bu tür olayları, örneğin saldırı imzasının Hedef IP'si gibi günlüklerin alanlarına bağlı olarak ayrı bir dizinde saklamak için. Benzer bir yapı kullanabilirsiniz:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

Ve bu şekilde, örneğin IP adresine veya makinenin etki alanı adına göre tüm olayları dizine kaydedebilirsiniz. Bu durumda, dizinde saklarız "akıllı savunma-%{dst}", imza hedefinin IP adresine göre.

Ancak, farklı ürünlerin farklı günlük alanları olacaktır, bu da kaosa ve boşa harcanan belleğe neden olur. Ve burada, Logstash yapılandırma ayarlarındaki alanları, aynı zamanda zor bir görev olan her tür olay için aynı olacak şekilde önceden tasarlanmış olanlarla dikkatlice değiştirmek gerekecektir.

İkinci uygulama seçeneği - bu, elastik tabana gerçek zamanlı olarak erişecek, gerekli olayları çıkaracak ve onları yeni bir dizine kaydedecek bir komut dosyası veya işlem yazmaktır, bu zor bir iştir, ancak günlüklerle istediğiniz gibi çalışmanıza olanak tanır. ve doğrudan diğer güvenlik araçlarından gelen olaylarla ilişkilendirin. Bu seçenek, günlüklerle çalışmayı maksimum esneklikle vakanız için mümkün olduğunca yararlı bir şekilde özelleştirmenize olanak tanır, ancak burada bunu uygulayabilecek bir uzman bulmakta bir sorun vardır.

Ve tabii ki en önemli soru Neler ilişkilendirilebilir ve tespit edilebilir??

Burada birkaç seçenek olabilir ve altyapınızda hangi güvenlik araçlarının kullanıldığına bağlı olarak birkaç örnek verilebilir:

  1. Bir NGFW çözümüne ve güvenlik açığı tarayıcısına sahip olanlar için en bariz ve benim açımdan en ilginç seçenek. Bu, IPS günlükleri ile güvenlik açığı taraması sonuçlarının bir karşılaştırmasıdır. IPS sistemi tarafından bir saldırı tespit edildiyse (engellenmediyse) ve bu güvenlik açığı tarama sonuçlarına göre son makinede kapatılmamışsa, güvenlik açığının büyük olasılıkla kapatılma olasılığı yüksek olduğundan tüm boruları patlatmak gerekir. sömürülen.
  2. Bir makineden farklı yerlere birçok oturum açma denemesi, kötü amaçlı etkinliği simgeleyebilir.
  3. Çok sayıda potansiyel olarak tehlikeli siteyi ziyaret etmesi nedeniyle kullanıcı tarafından virüs dosyalarının indirilmesi.

İstatistikler ve görselleştirme

ELK Stack'in en bariz ve anlaşılır amacı logların saklanması ve görselleştirilmesidir, geçmiş makalelerde Logstash kullanarak çeşitli cihazlardan logları nasıl alabileceğiniz gösterildi. Günlükler Elasticsearch'e gittikten sonra, yine bahsedilen panoları ayarlayabilirsiniz. geçmiş makalelerde, görselleştirme yoluyla ihtiyacınız olan bilgi ve istatistiklerle.

Örnekler:

  1. En kritik olayları içeren Tehdit Önleme olayları panosu. Burada hangi IPS imzalarının tespit edildiğini ve coğrafi olarak nereden geldiklerini yansıtabilirsiniz.

    TS Toplam Görüş. Olay Toplama, Olay Analizi ve Tehdit Müdahale Otomasyon Aracı

  2. Bilgilerin sızdırılabileceği en kritik uygulamaların kullanımına ilişkin pano.

    TS Toplam Görüş. Olay Toplama, Olay Analizi ve Tehdit Müdahale Otomasyon Aracı

  3. Herhangi bir güvenlik tarayıcısından sonuçları tarayın.

    TS Toplam Görüş. Olay Toplama, Olay Analizi ve Tehdit Müdahale Otomasyon Aracı

  4. Kullanıcılar tarafından Active Directory'den günlükler.

    TS Toplam Görüş. Olay Toplama, Olay Analizi ve Tehdit Müdahale Otomasyon Aracı

  5. VPN bağlantı panosu.

Bu durumda, panoları birkaç saniyede bir güncellenecek şekilde ayarlarsanız, olayları gerçek zamanlı olarak izlemek için oldukça uygun bir sistem elde edebilirsiniz; ayrı ekran.

Olay önceliklendirme

Büyük bir altyapı koşullarında, olay sayısı ölçeğin dışına çıkabilir ve uzmanların tüm olayları zamanında analiz etmek için zamanı olmayacaktır. Bu durumda, her şeyden önce, yalnızca büyük bir tehdit oluşturan olayları ayırmak gerekir. Bu nedenle sistem, olayları altyapınızla ilgili önem derecelerine göre önceliklendirmelidir. Bu olayların posta veya telgraflarında bir bildirim ayarlanması tavsiye edilir. Önceliklendirme, görselleştirme ayarlanarak normal Kibana araçları kullanılarak uygulanabilir. Ancak bir bildirimle daha zordur, varsayılan olarak bu işlevsellik Elasticsearch'ün temel sürümüne dahil değildir, yalnızca ücretli sürümde bulunur. Bu nedenle, ya ücretli bir sürüm satın alın ya da yine uzmanları gerçek zamanlı olarak posta veya telgrafla bilgilendirecek bir süreç yazın.

Bilgi güvenliği süreçlerinin otomasyonu

En ilginç kısımlardan biri de bilgi güvenliği olaylarına yönelik eylemlerin otomasyonu. Önceden, bu işlevi Splunk için uygulamıştık, bundan biraz daha fazlasını okuyabilirsiniz. Makale. Temel fikir, bazı durumlarda bilgi güvenliği süreçlerinin önemli bir parçası olmasına rağmen, IPS politikasının hiçbir zaman test edilmediği veya optimize edilmediğidir. Örneğin, NGFW'nin uygulanmasından ve IPS'yi optimize edecek eylemlerin olmamasından bir yıl sonra, Tespit eylemiyle engellenmeyecek çok sayıda imza biriktireceksiniz ve bu da kuruluştaki bilgi güvenliğinin durumunu büyük ölçüde azaltacaktır. Nelerin otomatikleştirilebileceğine dair bazı örnekler:

  1. IPS imzasını Algıla'dan Önle'ye geçirme. Önleme kritik imzalar üzerinde çalışmıyorsa, bu arızalı ve koruma sisteminde ciddi bir ihlaldir. Politikadaki eylemi bu tür imzalara değiştiriyoruz. Bu işlevsellik, NGFW cihazı REST API işlevine sahipse uygulanabilir. Bu ancak programlama becerileriniz varsa mümkündür, gerekli bilgileri Elastcisearch'ten çıkarmanız ve NGFW kontrol sunucusuna API isteklerini yürütmeniz gerekir.
  2. Ağ trafiğinde bir IP adresinden çok sayıda imza algılandıysa veya engellendiyse, Güvenlik Duvarı politikasında bu IP adresini bir süreliğine engellemek mantıklıdır. Uygulama ayrıca REST API'sinin kullanılmasını içerir.
  3. Bu ana bilgisayarın IPS veya diğer güvenlik araçları için çok sayıda imzası varsa, bir güvenlik açığı tarayıcısı ile bir ana bilgisayar taraması başlatın, OpenVas ise, ssh aracılığıyla güvenlik tarayıcısına bağlanacak bir komut dosyası yazabilir ve taramayı çalıştırabilirsiniz.

TS Toplam Görüş. Olay Toplama, Olay Analizi ve Tehdit Müdahale Otomasyon Aracı

TS Toplam Görüş

Özetle, tüm işlevlerin uygulanması çok büyük ve zor bir iştir. Programlama becerileri olmadan, verimlilikte kullanım için yeterli olabilecek minimum işlevselliği kurabilirsiniz. Ancak tüm işlevlerle ilgileniyorsanız, TS Total Sight'a dikkat edebilirsiniz. Daha fazla detayı sitemizde bulabilirsiniz. web sitesi. Sonuç olarak, tüm çalışma ve mimari şeması şöyle görünecektir:

TS Toplam Görüş. Olay Toplama, Olay Analizi ve Tehdit Müdahale Otomasyon Aracı

Sonuç

ELK Stack kullanılarak nelerin uygulanabileceğine baktık. Sonraki makalelerde, TS Total Sight'ın işlevselliğini daha ayrıntılı olarak ayrı ayrı ele alacağız!

Bizi izlemeye devam edin Telegram, Facebook, VK, TS Çözüm Günlüğü), Yandeks.Dzen.

Kaynak: habr.com

Yorum ekle