پرو ہوسٹر > بلاگ > انتظامیہ > TS کل نظر ایونٹ کلیکشن، واقعہ کا تجزیہ، اور تھریٹ ریسپانس آٹومیشن ٹول

TS کل نظر ایونٹ کلیکشن، واقعہ کا تجزیہ، اور تھریٹ ریسپانس آٹومیشن ٹول

TS کل نظر ایونٹ کلیکشن، واقعہ کا تجزیہ، اور تھریٹ ریسپانس آٹومیشن ٹول

صبح بخیر، پچھلے مضامین میں ہم ELK Stack کے کام سے واقف ہوئے۔ اور اب ہم ان امکانات پر تبادلہ خیال کریں گے جو ان سسٹمز کو استعمال کرنے میں انفارمیشن سیکیورٹی ماہر کے ذریعے حاصل کیا جا سکتا ہے۔ elasticsearch میں کون سے لاگز شامل کیے جا سکتے ہیں اور کیا جانا چاہیے۔ آئیے غور کرتے ہیں کہ ڈیش بورڈ لگا کر کیا اعدادوشمار حاصل کیے جاسکتے ہیں اور کیا اس میں کوئی منافع ہے؟ میں ELK اسٹیک کا استعمال کرتے ہوئے انفارمیشن سیکیورٹی کے عمل کی آٹومیشن کو کیسے نافذ کرسکتا ہوں۔ آئیے سسٹم کا فن تعمیر بنائیں۔ خلاصہ یہ کہ تمام فنکشنلٹی کا نفاذ ایک بہت بڑا اور مشکل کام ہے، اس لیے اس حل کو الگ نام دیا گیا - TS ٹوٹل سائٹ۔

فی الحال، ایک منطقی جگہ پر انفارمیشن سیکیورٹی کے واقعات کو یکجا کرنے اور ان کا تجزیہ کرنے والے حل مقبولیت حاصل کر رہے ہیں، جس کے نتیجے میں، ایک ماہر کو اعداد و شمار ملتے ہیں اور کسی تنظیم میں معلومات کی حفاظت کی حالت کو بہتر بنانے کے لیے کارروائی کے لیے ایک محاذ۔ ہم نے خود کو ELK اسٹیک استعمال کرنے میں ایک ایسا کام مقرر کیا، جس کے نتیجے میں، ہم نے 4 حصوں میں اہم فعالیت کو الگ کیا:

  1. اعداد و شمار اور تصور؛
  2. IS واقعے کا پتہ لگانا؛
  3. واقعات کی ترجیح؛
  4. معلومات کی حفاظت کے عمل کا آٹومیشن۔

آئیے مزید تفصیل سے ہر ایک کو قریب سے دیکھیں۔

انفارمیشن سیکیورٹی واقعے کا پتہ لگانا

ہمارے معاملے میں لچکدار تلاش کا استعمال کرنے کا بنیادی کام صرف معلومات کی حفاظت کے واقعات کو جمع کرنا ہے۔ آپ معلومات کے حفاظتی واقعات کو تحفظ کے کسی بھی ذریعہ سے جمع کر سکتے ہیں اگر وہ کم از کم لاگ منتقلی کے کچھ طریقوں کی حمایت کرتے ہیں، معیاری ایک فائل میں syslog یا scp محفوظ کرنا ہے۔

آپ پروٹیکشن ٹولز کی معیاری مثالیں دے سکتے ہیں اور نہ صرف جہاں سے آپ کو لاگز کی فارورڈنگ کو کنفیگر کرنا چاہیے:

  1. کوئی این جی ایف ڈبلیو فنڈز (چیک پوائنٹ، فورٹینیٹ)؛
  2. کسی بھی خطرے کے اسکینرز (PT سکینر، OpenVas)؛
  3. ویب ایپلیکیشن فائر وال (PTAF)؛
  4. نیٹ فلو تجزیہ کار (فلومون، سسکو اسٹیلتھ واچ)؛
  5. AD سرور۔

ایک بار جب آپ لاگ اسٹاش کو لاگز اور کنفیگریشن فائلیں بھیجنے کے لیے ترتیب دے دیتے ہیں، تو آپ مختلف سیکیورٹی ٹولز سے آنے والے واقعات سے آپس میں تعلق اور موازنہ کر سکتے ہیں۔ ایسا کرنے کے لیے، اشاریہ جات کا استعمال کرنا آسان ہے، جس میں ہم کسی خاص ڈیوائس سے متعلق تمام واقعات کو محفوظ کریں گے۔ دوسرے الفاظ میں، ایک انڈیکس ایک ڈیوائس کے تمام واقعات ہیں۔ اس تقسیم کو دو طریقوں سے نافذ کیا جا سکتا ہے۔

پہلا آپشن Logstash config کو ترتیب دینا ہے۔ ایسا کرنے کے لیے، آپ کو مخصوص فیلڈز کے لاگ کو مختلف قسم کے ساتھ الگ یونٹ میں نقل کرنے کی ضرورت ہے۔ اور پھر بعد میں اس قسم کا استعمال کریں۔ مثال کے طور پر چیک پوائنٹ فائر وال کے IPS بلیڈ سے لاگ کلون کرتا ہے۔

filter {
    if [product] == "SmartDefense" {
        clone {
	    clones => ["CloneSmartDefense"]
	    add_field => {"system" => "checkpoint"}
	}
    }
}

اس طرح کے واقعات کو لاگز کے شعبوں کے لحاظ سے ایک الگ انڈیکس میں ذخیرہ کرنے کے لیے، مثال کے طور پر، جیسے کہ حملے کے دستخط کی منزل آئی پی۔ آپ اسی طرح کی تعمیر کا استعمال کرسکتے ہیں:

output {
    if [type] == "CloneSmartDefense"{
    {
         elasticsearch {
    	 hosts => [",<IP_address_elasticsearch>:9200"]
    	 index => "smartdefense-%{dst}"
    	 user => "admin"
    	 password => "password"
  	 }
    }
}

اور اس طرح، آپ تمام واقعات کو انڈیکس میں محفوظ کر سکتے ہیں، مثال کے طور پر، آئی پی ایڈریس کے ذریعے، یا مشین کے ڈومین نام کے ذریعے۔ اس صورت میں، ہم انڈیکس میں ذخیرہ کرتے ہیں "smartdefense-%{dst}"، دستخط کی منزل کے IP پتے کے ذریعہ۔

تاہم، مختلف پروڈکٹس میں مختلف لاگ فیلڈز ہوں گے، جس کے نتیجے میں افراتفری اور یادداشت ضائع ہوگی۔ اور یہاں یہ ضروری ہو گا کہ لاگ سٹیش کنفیگریشن سیٹنگز میں فیلڈز کو احتیاط سے پہلے سے ڈیزائن کردہ سے تبدیل کیا جائے، جو کہ تمام قسم کے واقعات کے لیے یکساں ہو گا، جو کہ ایک مشکل کام بھی ہے۔

دوسرا نفاذ کا اختیار - یہ ایک اسکرپٹ یا عمل لکھ رہا ہے جو حقیقی وقت میں لچکدار بنیاد تک رسائی حاصل کرے گا، ضروری واقعات کو نکالے گا، اور انہیں ایک نئے انڈیکس میں محفوظ کرے گا، یہ ایک مشکل کام ہے، لیکن یہ آپ کو لاگز کے ساتھ اپنی مرضی کے مطابق کام کرنے کی اجازت دیتا ہے۔ ، اور دوسروں کے حفاظتی ٹولز کے واقعات سے براہ راست تعلق رکھتے ہیں۔ یہ آپشن آپ کو زیادہ سے زیادہ لچک کے ساتھ اپنے کیس کے لیے ممکنہ حد تک مفید لاگز کے ساتھ کام کو اپنی مرضی کے مطابق کرنے کی اجازت دیتا ہے، لیکن یہاں ایک ایسے ماہر کی تلاش میں مسئلہ ہے جو اس پر عمل درآمد کر سکے۔

اور، یقینا، سب سے اہم سوال جس کا تعلق اور پتہ لگایا جا سکتا ہے۔?

یہاں کئی اختیارات ہوسکتے ہیں، اور اس بات پر منحصر ہے کہ آپ کے بنیادی ڈھانچے میں کون سے حفاظتی ٹولز استعمال کیے جاتے ہیں، چند مثالیں:

  1. سب سے واضح اور میرے نقطہ نظر سے ان لوگوں کے لیے سب سے دلچسپ آپشن جن کے پاس NGFW حل اور ایک کمزوری اسکینر ہے۔ یہ IPS لاگز اور کمزوری اسکین کے نتائج کا موازنہ ہے۔ اگر آئی پی ایس سسٹم کے ذریعے کسی حملے کا پتہ چلا (بلاک نہیں کیا گیا)، اور اسکین کے نتائج کی بنیاد پر اس خطرے کو اینڈ مشین پر بند نہیں کیا گیا ہے، تو تمام پائپوں کو اڑا دینا ضروری ہے، کیونکہ اس بات کا بہت زیادہ امکان ہے کہ یہ خطرہ استحصال
  2. ایک مشین سے مختلف جگہوں پر لاگ ان کرنے کی بہت سی کوششیں بدنیتی پر مبنی سرگرمی کی علامت ہوسکتی ہیں۔
  3. ممکنہ طور پر خطرناک سائٹس کی ایک بڑی تعداد میں جانے کی وجہ سے صارف کی طرف سے وائرس فائلوں کو ڈاؤن لوڈ کرنا۔

شماریات اور تصور

ELK اسٹیک کا سب سے واضح اور قابل فہم مقصد لاگز کا ذخیرہ اور تصور ہے، گزشتہ مضامین میں یہ دکھایا گیا کہ آپ Logstash کا استعمال کرتے ہوئے مختلف آلات سے لاگ کیسے حاصل کر سکتے ہیں۔ لاگز کے Elasticsearch پر جانے کے بعد، آپ ڈیش بورڈز ترتیب دے سکتے ہیں، جن کا ذکر بھی کیا گیا تھا۔ گزشتہ مضامین میں، ان معلومات اور اعدادوشمار کے ساتھ جن کی آپ کو تصور کے ذریعے ضرورت ہے۔

مثالیں:

  1. انتہائی نازک واقعات کے ساتھ خطرے سے بچاؤ کے واقعات کا ڈیش بورڈ۔ یہاں آپ عکاسی کر سکتے ہیں کہ کون سے IPS دستخطوں کا پتہ چلا، وہ جغرافیائی طور پر کہاں سے آتے ہیں۔

    TS کل نظر ایونٹ کلیکشن، واقعہ کا تجزیہ، اور تھریٹ ریسپانس آٹومیشن ٹول

  2. انتہائی اہم ایپلی کیشنز کے استعمال پر ڈیش بورڈ جس کے لیے معلومات کو لیک کیا جا سکتا ہے۔

    TS کل نظر ایونٹ کلیکشن، واقعہ کا تجزیہ، اور تھریٹ ریسپانس آٹومیشن ٹول

  3. کسی بھی سیکیورٹی اسکینر سے نتائج اسکین کریں۔

    TS کل نظر ایونٹ کلیکشن، واقعہ کا تجزیہ، اور تھریٹ ریسپانس آٹومیشن ٹول

  4. صارفین کے ذریعہ ایکٹو ڈائریکٹری سے لاگز۔

    TS کل نظر ایونٹ کلیکشن، واقعہ کا تجزیہ، اور تھریٹ ریسپانس آٹومیشن ٹول

  5. وی پی این کنکشن ڈیش بورڈ۔

اس صورت میں، اگر آپ ہر چند سیکنڈ میں اپ ڈیٹ کرنے کے لیے ڈیش بورڈز ترتیب دیتے ہیں، تو آپ کو حقیقی وقت میں واقعات کی نگرانی کے لیے کافی آسان نظام مل سکتا ہے، جس کے بعد اگر آپ ڈیش بورڈز کو ڈیش بورڈز پر لگاتے ہیں تو انفارمیشن سیکیورٹی کے واقعات کا جلد از جلد جواب دینے کے لیے استعمال کیا جا سکتا ہے۔ علیحدہ سکرین.

واقعہ کی ترجیح

ایک بڑے انفراسٹرکچر کے حالات میں، واقعات کی تعداد کم ہو سکتی ہے، اور ماہرین کے پاس تمام واقعات کا بروقت تجزیہ کرنے کا وقت نہیں ہوگا۔ اس معاملے میں سب سے پہلے ضروری ہے کہ صرف ان واقعات کو اکٹھا کیا جائے جن سے بڑا خطرہ ہو۔ لہذا، نظام کو آپ کے بنیادی ڈھانچے کے سلسلے میں واقعات کو ان کی شدت کے مطابق ترجیح دینی چاہیے۔ ان تقریبات کی میل یا ٹیلی گرام میں نوٹیفکیشن ترتیب دینے کا مشورہ دیا جاتا ہے۔ ویژولائزیشن ترتیب دے کر، باقاعدہ کبانہ ٹولز کا استعمال کرتے ہوئے ترجیح کو لاگو کیا جا سکتا ہے۔ لیکن نوٹیفکیشن کے ساتھ یہ مشکل ہے، ڈیفالٹ کے طور پر یہ فعالیت Elasticsearch کے بنیادی ورژن میں شامل نہیں ہے، صرف ادا شدہ ورژن میں۔ اس لیے، یا تو ایک ادا شدہ ورژن خریدیں، یا پھر، خود ایک ایسا عمل لکھیں جو ماہرین کو بذریعہ ڈاک یا ٹیلیگرام حقیقی وقت میں مطلع کرے۔

معلومات کی حفاظت کے عمل کا آٹومیشن

اور سب سے دلچسپ حصوں میں سے ایک معلومات کی حفاظت کے واقعات کے لئے کارروائیوں کا آٹومیشن ہے۔ پہلے، ہم نے اس فعالیت کو اسپلنک کے لیے لاگو کیا تھا، آپ اس میں کچھ اور پڑھ سکتے ہیں۔ آرٹیکل. بنیادی خیال یہ ہے کہ IPS پالیسی کا کبھی تجربہ یا اصلاح نہیں کی جاتی ہے، حالانکہ بعض صورتوں میں یہ معلومات کی حفاظت کے عمل کا ایک لازمی حصہ ہے۔ مثال کے طور پر، NGFW کے نفاذ کے ایک سال بعد اور IPS کو بہتر بنانے کی کارروائیوں کی عدم موجودگی کے بعد، آپ ڈیٹیکٹ ایکشن کے ساتھ بڑی تعداد میں دستخط جمع کریں گے جنہیں بلاک نہیں کیا جائے گا، جس سے تنظیم میں معلومات کی حفاظت کی حالت بہت کم ہو جاتی ہے۔ یہاں کچھ مثالیں ہیں جو خود کار طریقے سے ہوسکتی ہیں:

  1. آئی پی ایس دستخط کو ڈیٹیکٹ سے روکنا پر تبدیل کرنا۔ اگر Prevent اہم دستخطوں پر کام نہیں کرتا ہے، تو یہ حکم سے باہر ہے، اور تحفظ کے نظام میں سنگین خلاف ورزی ہے۔ ہم پالیسی میں کارروائی کو ایسے دستخطوں میں تبدیل کر دیتے ہیں۔ اس فعالیت کو لاگو کیا جا سکتا ہے اگر NGFW ڈیوائس میں REST API کی فعالیت ہو۔ یہ صرف اس صورت میں ممکن ہے جب آپ کے پاس پروگرامنگ کی مہارت ہو، آپ کو Elastcisearch سے ضروری معلومات نکالنے اور NGFW کنٹرول سرور پر API کی درخواستوں پر عمل درآمد کرنے کی ضرورت ہے۔
  2. اگر ایک IP ایڈریس سے نیٹ ورک ٹریفک میں بہت سارے دستخطوں کا پتہ چلا یا بلاک کر دیا گیا، تو فائر وال پالیسی میں اس IP ایڈریس کو کچھ وقت کے لیے بلاک کرنا سمجھ میں آتا ہے۔ نفاذ میں REST API کا استعمال بھی شامل ہے۔
  3. کمزوری اسکینر کے ساتھ ایک ہوسٹ اسکین شروع کریں اگر اس میزبان کے پاس IPS یا دیگر سیکیورٹی ٹولز کے لیے بڑی تعداد میں دستخط ہیں، اگر یہ OpenVas ہے، تو آپ ایک اسکرپٹ لکھ سکتے ہیں جو ssh کے ذریعے سیکیورٹی اسکینر سے جڑے گا اور اسکین کو چلائے گا۔

TS کل نظر ایونٹ کلیکشن، واقعہ کا تجزیہ، اور تھریٹ ریسپانس آٹومیشن ٹول

TS کل نظر

خلاصہ یہ کہ تمام فنکشنلٹی کا نفاذ ایک بہت بڑا اور مشکل کام ہے۔ پروگرامنگ کی مہارتوں کے بغیر، آپ کم از کم فعالیت کو ترتیب دے سکتے ہیں، جو پیداواری صلاحیت میں استعمال کے لیے کافی ہو سکتی ہے۔ لیکن اگر آپ تمام فعالیت میں دلچسپی رکھتے ہیں، تو آپ TS Total Sight پر توجہ دے سکتے ہیں۔ آپ ہمارے پر مزید تفصیلات حاصل کر سکتے ہیں۔ ڈاؤن لوڈ، اتارنا. نتیجے کے طور پر، کام اور فن تعمیر کی پوری اسکیم اس طرح نظر آئے گی:

TS کل نظر ایونٹ کلیکشن، واقعہ کا تجزیہ، اور تھریٹ ریسپانس آٹومیشن ٹول

حاصل يہ ہوا

ہم نے دیکھا کہ ELK اسٹیک کا استعمال کرتے ہوئے کیا لاگو کیا جا سکتا ہے۔ اس کے بعد کے مضامین میں، ہم TS Total Sight کی فعالیت پر الگ سے مزید تفصیل سے غور کریں گے!

تو دیکھتے رہیںتار, فیس بک, VK, ٹی ایس حل بلاگ), یینڈیکس زین۔.

ماخذ: www.habr.com

نیا تبصرہ شامل کریں