پرو ہوسٹر > بلاگ > انتظامیہ > 3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

پچھلے مضامین میں، ہم ایلک اسٹیک اور لاگ پارسر کے لیے Logstash کنفیگریشن فائل کو ترتیب دینے سے تھوڑا سا واقف ہوئے۔ اس مضمون میں، ہم تجزیاتی نقطہ نظر سے سب سے اہم چیز کی طرف بڑھیں گے، جو آپ چاہتے ہیں۔ سسٹم سے دیکھیں اور سب کچھ کس کے لیے بنایا گیا تھا - یہ گراف اور ٹیبلز ہیں جن میں ملایا گیا ہے۔ ڈیش بورڈز. آج ہم بصری نظام پر گہری نظر ڈالیں گے۔ کبانا، ہم دیکھیں گے کہ گراف اور میزیں کیسے بنائیں، اور اس کے نتیجے میں ہم چیک پوائنٹ فائر وال سے لاگز پر مبنی ایک سادہ ڈیش بورڈ بنائیں گے۔

کبانا کے ساتھ کام کرنے کا پہلا قدم تخلیق کرنا ہے۔ انڈیکس پیٹرن، منطقی طور پر، یہ ایک خاص اصول کے مطابق متحد اشاریہ جات کی بنیاد ہے۔ بلاشبہ، یہ خالصتاً ایک ترتیب ہے کہ کیبانا کو ایک ہی وقت میں تمام اشاریہ جات میں معلومات کو مزید آسانی سے تلاش کرنا۔ یہ ایک سٹرنگ کو ملا کر سیٹ کیا جاتا ہے، کہیے "چیک پوائنٹ-*" اور انڈیکس کا نام۔ مثال کے طور پر، "چیک پوائنٹ-2019.12.05" پیٹرن کے مطابق ہوگا، لیکن صرف "چیک پوائنٹ" اب موجود نہیں ہے۔ یہ الگ سے قابل ذکر ہے کہ تلاش میں ایک ہی وقت میں مختلف انڈیکس پیٹرن پر معلومات تلاش کرنا ناممکن ہے؛ تھوڑی دیر بعد اگلے مضامین میں ہم دیکھیں گے کہ API کی درخواستیں یا تو انڈیکس کے نام سے کی جاتی ہیں، یا صرف ایک پیٹرن کی لائن، تصویر قابل کلک ہے:

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

اس کے بعد، ہم دریافت مینو میں چیک کرتے ہیں کہ تمام لاگ انڈیکس کیے گئے ہیں اور درست پارسر کنفیگر ہو گیا ہے۔ اگر کوئی تضاد پایا جاتا ہے، مثال کے طور پر، ڈیٹا کی قسم کو سٹرنگ سے انٹیجر میں تبدیل کرنا، آپ کو Logstash کنفیگریشن فائل میں ترمیم کرنے کی ضرورت ہے، اس کے نتیجے میں، نئے لاگز درست طریقے سے لکھے جائیں گے۔ تبدیلی سے پہلے پرانے نوشتہ جات کو مطلوبہ شکل دینے کے لیے، صرف دوبارہ ترتیب دینے کا عمل مدد کرتا ہے؛ بعد کے مضامین میں اس آپریشن پر مزید تفصیل سے بات کی جائے گی۔ آئیے یقینی بنائیں کہ سب کچھ ترتیب میں ہے، تصویر قابل کلک ہے:

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

لاگ ان جگہ پر ہیں، جس کا مطلب ہے کہ ہم ڈیش بورڈ بنانا شروع کر سکتے ہیں۔ سیکیورٹی پروڈکٹس کے ڈیش بورڈز کے تجزیات کی بنیاد پر، آپ کسی تنظیم میں معلومات کی حفاظت کی حالت کو سمجھ سکتے ہیں، موجودہ پالیسی میں کمزوریوں کو واضح طور پر دیکھ سکتے ہیں، اور بعد میں انہیں ختم کرنے کے طریقے تیار کر سکتے ہیں۔ آئیے کئی ویژولائزیشن ٹولز کا استعمال کرتے ہوئے ایک چھوٹا ڈیش بورڈ بنائیں۔ ڈیش بورڈ 5 اجزاء پر مشتمل ہوگا:

  1. بلیڈ کے ذریعے لاگوں کی کل تعداد کا حساب لگانے کے لیے جدول
  2. اہم IPS دستخطوں پر ٹیبل
  3. خطرے سے بچاؤ کے واقعات کے لیے پائی چارٹ
  4. سب سے زیادہ مقبول ملاحظہ کردہ سائٹس کا چارٹ
  5. انتہائی خطرناک ایپلی کیشنز کے استعمال پر چارٹ

تصوراتی اعداد و شمار بنانے کے لیے، آپ کو مینو میں جانا ہوگا۔ بصیرت، اور مطلوبہ شخصیت کو منتخب کریں جسے ہم بنانا چاہتے ہیں! آئیے ترتیب سے چلتے ہیں۔

بلیڈ کے ذریعے لاگوں کی کل تعداد کا حساب لگانے کے لیے جدول

ایسا کرنے کے لئے، ایک اعداد و شمار کو منتخب کریں ڈیٹا ٹیبل، ہم گرافس بنانے کے آلات میں آتے ہیں، بائیں طرف فگر کی سیٹنگز ہے، دائیں طرف یہ ہے کہ موجودہ سیٹنگز میں یہ کیسا نظر آئے گا۔ سب سے پہلے، میں یہ ظاہر کروں گا کہ تیار شدہ میز کیسی ہوگی، اس کے بعد ہم ترتیبات پر جائیں گے، تصویر قابل کلک ہے:

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

اعداد و شمار کی مزید تفصیلی ترتیبات، تصویر قابل کلک ہے:

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

آئیے سیٹنگز کو دیکھتے ہیں۔

ابتدائی طور پر ترتیب دیا گیا ہے۔ میٹرکسیہ وہ قدر ہے جس کے ذریعے تمام فیلڈز کو جمع کیا جائے گا۔ میٹرکس کا حساب دستاویزات سے کسی نہ کسی طریقے سے نکالی گئی اقدار کی بنیاد پر کیا جاتا ہے۔ اقدار عام طور پر سے نکالی جاتی ہیں۔ کھیتوں دستاویز، لیکن اسکرپٹ کا استعمال کرتے ہوئے بھی تیار کیا جا سکتا ہے۔ اس معاملے میں ہم ڈالتے ہیں۔ جمع: شمار (نوشتہ جات کی کل تعداد)۔

اس کے بعد، ہم ٹیبل کو حصوں (فیلڈز) میں تقسیم کرتے ہیں جس کے ذریعے میٹرک کا حساب لگایا جائے گا۔ یہ فنکشن بکٹس کی ترتیب کے ذریعہ انجام دیا جاتا ہے، جو بدلے میں 2 ترتیبات کے اختیارات پر مشتمل ہوتا ہے:

  1. تقسیم قطاریں - کالم شامل کرنا اور اس کے بعد ٹیبل کو قطاروں میں تقسیم کرنا
  2. سپلٹ ٹیبل - ایک مخصوص فیلڈ کی اقدار کی بنیاد پر کئی ٹیبلز میں تقسیم۔

В بالٹی آپ کئی کالم یا ٹیبل بنانے کے لیے کئی ڈویژنز شامل کر سکتے ہیں، یہاں کی پابندیاں کافی منطقی ہیں۔ جمع میں، آپ منتخب کر سکتے ہیں کہ کون سا طریقہ استعمال کیا جائے گا حصوں میں تقسیم کرنے کے لیے: ipv4 رینج، تاریخ کی حد، شرائط، وغیرہ۔ سب سے زیادہ دلچسپ انتخاب عین مطابق ہے شرائط и اہم شرائط، حصوں میں تقسیم ایک مخصوص انڈیکس فیلڈ کی اقدار کے مطابق کی جاتی ہے، ان کے درمیان فرق لوٹی ہوئی اقدار کی تعداد اور ان کے ڈسپلے میں ہے۔ چونکہ ہم ٹیبل کو بلیڈ کے نام سے تقسیم کرنا چاہتے ہیں، ہم فیلڈ کو منتخب کرتے ہیں۔ product.keyword اور سائز کو 25 واپس آنے والی اقدار پر سیٹ کریں۔

اسٹرنگ کے بجائے، elasticsearch 2 ڈیٹا کی اقسام کا استعمال کرتا ہے - متن и مطلوبہ الفاظ. اگر آپ مکمل متن کی تلاش کرنا چاہتے ہیں، تو آپ کو اپنی تلاش کی خدمت کو لکھتے وقت متن کی قسم کا استعمال کرنا چاہیے، یہ ایک بہت ہی آسان چیز ہے، مثال کے طور پر، کسی مخصوص فیلڈ ویلیو (ٹیکسٹ) میں کسی لفظ کا ذکر تلاش کرنا۔ اگر آپ صرف ایک عین مطابق مماثلت چاہتے ہیں، تو آپ کو مطلوبہ الفاظ کی قسم استعمال کرنی چاہیے۔ نیز، مطلوبہ الفاظ کے ڈیٹا کی قسم کو ان فیلڈز کے لیے استعمال کیا جانا چاہیے جن کے لیے چھانٹی یا جمع کی ضرورت ہوتی ہے، یعنی ہمارے معاملے میں۔

نتیجے کے طور پر، Elasticsearch ایک مخصوص وقت کے لیے لاگز کی تعداد کو شمار کرتا ہے، جو پروڈکٹ فیلڈ میں قدر کے حساب سے جمع ہوتا ہے۔ کسٹم لیبل میں، ہم اس کالم کا نام سیٹ کرتے ہیں جو ٹیبل میں دکھایا جائے گا، وہ وقت مقرر کرتے ہیں جس کے لیے ہم لاگز جمع کرتے ہیں، رینڈرنگ شروع کرتے ہیں - کبانا لچکدار تلاش کے لیے ایک درخواست بھیجتا ہے، جواب کا انتظار کرتا ہے اور پھر موصولہ ڈیٹا کا تصور کرتا ہے۔ میز تیار ہے!

خطرے سے بچاؤ کے واقعات کے لیے پائی چارٹ

خاص دلچسپی یہ ہے کہ فی صد کے طور پر کتنے رد عمل ہوتے ہیں۔ کا پتہ لگانے کے и کی روک تھام موجودہ سیکیورٹی پالیسی میں انفارمیشن سیکیورٹی کے واقعات پر۔ ایک پائی چارٹ اس صورت حال کے لیے اچھا کام کرتا ہے۔ تصور میں منتخب کریں - پائی چارٹ. میٹرک میں بھی ہم نوشتہ جات کی تعداد کے حساب سے جمع کرتے ہیں۔ بالٹی میں ہم شرائط => ایکشن ڈالتے ہیں۔

سب کچھ درست معلوم ہوتا ہے، لیکن نتیجہ تمام بلیڈز کے لیے اقدار کو ظاہر کرتا ہے؛ آپ کو صرف ان بلیڈوں سے فلٹر کرنے کی ضرورت ہے جو خطرے کی روک تھام کے فریم ورک کے اندر کام کرتے ہیں۔ لہذا، ہم یقینی طور پر اسے قائم کرتے ہیں فلٹر معلومات کی حفاظت کے واقعات کے لیے ذمہ دار صرف بلیڈ پر معلومات تلاش کرنے کے لیے - پروڈکٹ: ("اینٹی بوٹ" یا "نیا اینٹی وائرس" یا "ڈی ڈی او ایس پروٹیکٹر" یا "سمارٹ ڈیفنس" یا "تھریٹ ایمولیشن")۔ تصویر قابل کلک ہے:

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

اور مزید تفصیلی ترتیبات، تصویر قابل کلک ہے:

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

آئی پی ایس ایونٹ ٹیبل

اگلا، معلوماتی حفاظتی نقطہ نظر سے بہت اہم چیز بلیڈ پر ہونے والے واقعات کو دیکھنا اور جانچنا ہے۔ آئی پی ایس и خطرہ ایمولیشنکہ بلاک نہیں ہیں موجودہ پالیسی، بعد میں یا تو دستخط کو روکنے کے لیے تبدیل کرنے کے لیے، یا اگر ٹریفک درست ہے، دستخط کو چیک نہ کریں۔ ہم ٹیبل کو اسی طرح بناتے ہیں جیسے پہلی مثال کے لیے، صرف فرق کے ساتھ ہم کئی کالم بناتے ہیں: protects.keyword، severity.keyword، product.keyword، originsicname.keyword۔ معلومات کی حفاظت کے واقعات کے لیے ذمہ دار صرف بلیڈ پر معلومات تلاش کرنے کے لیے ایک فلٹر ترتیب دینا یقینی بنائیں - پروڈکٹ: ("SmartDefense" یا "Threat Emulation")۔ تصویر قابل کلک ہے:

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

مزید تفصیلی ترتیبات، تصویر قابل کلک ہے:

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

سب سے زیادہ مقبول ملاحظہ کردہ سائٹس کے چارٹس

ایسا کرنے کے لئے، ایک شکل بنائیں - عمودی بار. ہم شمار (Y محور) کو بطور میٹرک بھی استعمال کرتے ہیں، اور X محور پر ہم وزٹ کی گئی سائٹس کے نام کو بطور قدر استعمال کریں گے - "appi_name"۔ یہاں ایک چھوٹی سی چال ہے: اگر آپ موجودہ ورژن میں ترتیبات کو چلاتے ہیں، تو تمام سائٹس کو چارٹ پر ایک ہی رنگ سے نشان زد کیا جائے گا، انہیں کثیر رنگی بنانے کے لیے ہم ایک اضافی ترتیب استعمال کرتے ہیں - "اسپلٹ سیریز"، جو آپ کو ایک ریڈی میڈ کالم کو کئی اور قدروں میں تقسیم کرنے کی اجازت دیتا ہے، یقیناً منتخب فیلڈ کے لحاظ سے! اس تقسیم کو یا تو اسٹیکڈ موڈ میں اقدار کے مطابق ایک کثیر رنگ کے کالم کے طور پر استعمال کیا جا سکتا ہے، یا X محور پر ایک خاص قدر کے مطابق کئی کالم بنانے کے لیے عام موڈ میں استعمال کیا جا سکتا ہے۔ اس صورت میں، ہم یہاں استعمال کرتے ہیں۔ ایکس محور کی طرح ایک ہی قدر، اس سے تمام کالموں کو ملٹی کلر بنانا ممکن ہو جاتا ہے؛ ان کو اوپر دائیں جانب رنگوں سے ظاہر کیا جائے گا۔ ہمارے سیٹ کردہ فلٹر میں - پروڈکٹ: "URL فلٹرنگ" صرف ملاحظہ کی گئی سائٹوں پر معلومات دیکھنے کے لیے، تصویر قابل کلک ہے:

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

ترتیبات:

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

انتہائی خطرناک ایپلی کیشنز کے استعمال پر خاکہ

ایسا کرنے کے لیے، ایک شکل بنائیں - عمودی بار. ہم شمار (Y محور) کو بطور میٹرک بھی استعمال کرتے ہیں، اور X محور پر ہم استعمال شدہ ایپلیکیشنز کا نام استعمال کریں گے - "appi_name" بطور قدر۔ سب سے اہم فلٹر سیٹنگ ہے - پروڈکٹ: "ایپلیکیشن کنٹرول" اور ایپ_رسک: (4 یا 5 یا 3) اور ایکشن: "قبول کریں"۔ ہم لاگز کو ایپلیکیشن کنٹرول بلیڈ کے ذریعے فلٹر کرتے ہیں، صرف ان سائٹس کو لیتے ہیں جن کی درجہ بندی کریٹیکل، ہائی، میڈیم رسک سائٹس کے طور پر کی جاتی ہے اور صرف اس صورت میں جب ان سائٹس تک رسائی کی اجازت ہو۔ تصویر قابل کلک ہے:

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

ترتیبات، قابل کلک:

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

ڈیش بورڈ

ڈیش بورڈز دیکھنا اور بنانا ایک علیحدہ مینو آئٹم میں ہے - ڈیش بورڈ. یہاں سب کچھ آسان ہے، ایک نیا ڈیش بورڈ بنایا گیا ہے، اس میں ویژولائزیشن شامل کی گئی ہے، اس کی جگہ رکھ دی گئی ہے اور بس!

ہم ایک ڈیش بورڈ بنا رہے ہیں جس کے ذریعے آپ کسی تنظیم میں انفارمیشن سیکیورٹی کی بنیادی صورتحال کو سمجھ سکتے ہیں، یقیناً، صرف چیک پوائنٹ کی سطح پر، تصویر قابل کلک ہے:

3. لچکدار اسٹیک: سیکیورٹی لاگز کا تجزیہ۔ ڈیش بورڈز

ان گرافس کی بنیاد پر، ہم سمجھ سکتے ہیں کہ کون سے اہم دستخط فائر وال پر مسدود نہیں ہیں، صارفین کہاں جاتے ہیں، اور وہ کون سی خطرناک ترین ایپلی کیشنز استعمال کرتے ہیں۔

حاصل يہ ہوا

ہم نے کبانا میں بنیادی تصور کی صلاحیتوں کو دیکھا اور ایک ڈیش بورڈ بنایا، لیکن یہ صرف ایک چھوٹا حصہ ہے۔ مزید کورس میں ہم الگ الگ نقشوں کو ترتیب دینے، لچکدار تلاش کے نظام کے ساتھ کام کرنے، API کی درخواستوں، آٹومیشن اور بہت کچھ سے واقفیت کو دیکھیں گے۔

تو دیکھتے رہیںتار, فیس بک, VK, ٹی ایس حل بلاگ), یینڈیکس زین۔.

ماخذ: www.habr.com

نیا تبصرہ شامل کریں