Oldingi maqolalarda biz elk stack bilan biroz tanishdik va jurnalni tahlil qilish uchun Logstash konfiguratsiya faylini o'rnatdik.Ushbu maqolada biz analitik nuqtai nazardan eng muhim narsaga o'tamiz, siz nima qilishni xohlaysiz? Tizimdan va hamma narsa nima uchun yaratilganini ko'ring - bu grafiklar va jadvallar birlashtirilgan asboblar paneli. Bugun biz vizualizatsiya tizimini batafsil ko'rib chiqamiz kibana, biz grafik va jadvallarni qanday yaratishni ko'rib chiqamiz va natijada biz Check Point xavfsizlik devoridan jurnallar asosida oddiy asboblar panelini quramiz.
Kibana bilan ishlashda birinchi qadam yaratishdir indeks namunasi, mantiqan, bu ma'lum bir printsipga muvofiq birlashtirilgan indekslar bazasi. Albatta, bu Kibana bir vaqtning o'zida barcha indekslar bo'yicha ma'lumotni yanada qulayroq qidirish uchun sozlama. U satrni moslashtirish orqali o'rnatiladi, "nazorat nuqtasi-*" va indeks nomini ayting. Masalan, βtekshirish punkti-2019.12.05β naqshga mos keladi, lekin oddiygina βnazorat punktiβ endi mavjud emas. Shuni alohida ta'kidlash kerakki, qidiruvda bir vaqtning o'zida turli xil indeks naqshlari bo'yicha ma'lumot izlash mumkin emas; birozdan keyin keyingi maqolalarda biz API so'rovlari indeks nomi bilan yoki faqat bitta tomonidan amalga oshirilishini ko'ramiz. naqsh chizig'i, rasmni bosish mumkin:
Shundan so'ng, biz Discover menyusida barcha jurnallar indekslanganligini va to'g'ri tahlilchi sozlanganligini tekshiramiz. Agar biron-bir nomuvofiqliklar aniqlansa, masalan, ma'lumotlar turini satrdan butun songa o'zgartirish, siz Logstash konfiguratsiya faylini tahrirlashingiz kerak, natijada yangi jurnallar to'g'ri yoziladi. O'zgartirishdan oldin eski jurnallar kerakli shaklga ega bo'lishi uchun faqat qayta indekslash jarayoni yordam beradi, keyingi maqolalarda bu operatsiya batafsilroq ko'rib chiqiladi. Keling, hamma narsa tartibda ekanligiga ishonch hosil qilaylik, rasmni bosish mumkin:
Jurnallar joyida, ya'ni asboblar panelini qurishni boshlashimiz mumkin. Xavfsizlik mahsulotlarining asboblar paneli tahliliga asoslanib, siz tashkilotdagi axborot xavfsizligi holatini tushunishingiz, joriy siyosatdagi zaifliklarni aniq ko'rishingiz va keyinchalik ularni yo'q qilish usullarini ishlab chiqishingiz mumkin. Keling, bir nechta vizualizatsiya vositalaridan foydalangan holda kichik asboblar panelini yarataylik. Boshqaruv paneli 5 ta komponentdan iborat bo'ladi:
- pichoqlar bo'yicha loglarning umumiy sonini hisoblash uchun jadval
- muhim IPS imzolari jadvali
- Tahdidlarni oldini olish hodisalari uchun dumaloq diagramma
- eng mashhur tashrif buyurilgan saytlar jadvali
- eng xavfli ilovalardan foydalanish jadvali
Vizualizatsiya raqamlarini yaratish uchun siz menyuga o'tishingiz kerak Tasavvur qiling, va biz qurmoqchi bo'lgan kerakli figurani tanlang! Keling, tartibda boraylik.
Pichoq bo'yicha loglarning umumiy sonini hisoblash uchun jadval
Buning uchun raqamni tanlang Ma'lumotlar jadvali, biz grafiklarni yaratish uchun uskunaga tushamiz, chap tomonda raqam sozlamalari, o'ngda esa joriy sozlamalarda qanday ko'rinishi. Birinchidan, men tayyor jadval qanday ko'rinishini ko'rsataman, shundan so'ng biz sozlamalarni ko'rib chiqamiz, rasmni bosish mumkin:
Shaklning batafsil sozlamalari, rasmni bosish mumkin:
Keling, sozlamalarni ko'rib chiqaylik.
Dastlab sozlangan ko'rsatkichlar, bu barcha maydonlar birlashtiriladigan qiymatdir. Ko'rsatkichlar hujjatlardan u yoki bu tarzda olingan qiymatlar asosida hisoblanadi. Qiymatlar odatda dan olinadi joylar hujjat, lekin skriptlar yordamida ham yaratilishi mumkin. Bunday holda biz kiritamiz Birlashtirish: hisoblash (jurnallarning umumiy soni).
Shundan so'ng biz jadvalni metrikani hisoblab chiqadigan segmentlarga (maydonlarga) ajratamiz. Bu funktsiyani Buckets sozlamasi amalga oshiradi, bu esa o'z navbatida 2 sozlash variantidan iborat:
- qatorlarni ajratish - ustunlar qo'shish va keyinchalik jadvalni qatorlarga bo'lish
- bo'lingan jadval - ma'lum bir maydon qiymatlari asosida bir nechta jadvallarga bo'linish.
Π chelaklar bir nechta ustunlar yoki jadvallar yaratish uchun bir nechta bo'limlarni qo'shishingiz mumkin, bu erda cheklovlar juda mantiqiy. Birlashtirishda siz segmentlarga bo'lish uchun qaysi usuldan foydalanishni tanlashingiz mumkin: ipv4 diapazoni, sana oralig'i, Shartlar va boshqalar. Eng qiziqarli tanlov - bu aniq shartlari ΠΈ Muhim shartlar, segmentlarga bo'linish ma'lum bir indeks maydonining qiymatlariga ko'ra amalga oshiriladi, ularning orasidagi farq qaytarilgan qiymatlar soni va ularning ko'rinishida bo'ladi. Jadvalni pichoqlar nomi bilan ajratmoqchi bo'lganimiz sababli, biz maydonni tanlaymiz - mahsulot.kalit so'z va hajmini 25 qaytarilgan qiymatga o'rnating.
Satrlar o'rniga elasticsearch 2 ma'lumot turidan foydalanadi - matn ΠΈ kalit so'z. Agar siz to'liq matnli qidiruvni amalga oshirmoqchi bo'lsangiz, qidiruv xizmatini yozishda juda qulay bo'lgan matn turidan foydalanishingiz kerak, masalan, ma'lum bir maydon qiymatida (matn) so'zni eslatish uchun. Agar siz faqat aniq moslikni xohlasangiz, kalit so'z turidan foydalaning. Shuningdek, ma'lumotlar turi kalit so'zi saralashni yoki yig'ishni talab qiladigan maydonlar uchun ishlatilishi kerak, ya'ni bizning holatlarimizda.
Natijada, Elasticsearch mahsulot maydonidagi qiymat bo'yicha jamlangan ma'lum vaqt uchun jurnallar sonini hisoblaydi. Custom Label-da biz jadvalda ko'rsatiladigan ustun nomini o'rnatamiz, jurnallarni yig'ish vaqtini belgilaymiz, ko'rsatishni boshlaymiz - Kibana elasticsearch-ga so'rov yuboradi, javobni kutadi va keyin olingan ma'lumotlarni ingl. Jadval tayyor!
Tahdidlarni oldini olish hodisalari uchun dumaloq diagramma
Protsentda qancha reaksiya borligi haqidagi ma'lumotlar alohida qiziqish uyg'otadi Aniqlash ΠΈ oldini olish joriy xavfsizlik siyosatida axborot xavfsizligi hodisalari bo'yicha. Bunday vaziyatda dumaloq diagramma yaxshi ishlaydi. Vizualizatsiyada tanlang - Pirog jadvali. Shuningdek, metrikada biz jurnallar soni bo'yicha yig'ilishni o'rnatamiz. Chelaklarda biz Shartlar => harakatni qo'yamiz.
Hammasi to'g'ri ko'rinadi, ammo natija barcha pichoqlar uchun qiymatlarni ko'rsatadi, siz faqat tahdidlarning oldini olish doirasida ishlaydigan pichoqlar bo'yicha filtrlashingiz kerak. Shuning uchun, biz uni albatta o'rnatdik sΓΌzgeci faqat axborot xavfsizligi hodisalari uchun mas'ul bo'lgan pichoqlar haqida ma'lumot qidirish uchun - mahsulot: ("Anti-Bot" YOKI "Yangi Anti-Virus" YOKI "DDoS Protector" YOKI "SmartDefense" Yoki "Threat Emulation"). Rasmni bosish mumkin:
Va batafsilroq sozlamalar, rasmni bosish mumkin:
IPS voqealar jadvali
Keyinchalik, axborot xavfsizligi nuqtai nazaridan, pichoqdagi voqealarni ko'rish va tekshirish juda muhimdir. IPS ΠΈ Tahdid emulyatsiyasi, kotory bloklanmagan joriy siyosat, keyinchalik yo oldini olish uchun imzoni o'zgartirish uchun yoki agar trafik haqiqiy bo'lsa, imzoni tekshirmang. Biz jadvalni birinchi misoldagi kabi yaratamiz, yagona farq shundaki, biz bir nechta ustunlarni yaratamiz: protects.keyword, severity.keyword, product.keyword, originsicname.keyword. Faqat axborot xavfsizligi hodisalari uchun mas'ul bo'lgan pichoqlar haqida ma'lumot qidirish uchun filtrni o'rnatganingizga ishonch hosil qiling - mahsulot: (βSmartDefenseβ YOKI βThreat Emulationβ). Rasmni bosish mumkin:
Batafsil sozlamalar, rasmni bosish mumkin:
Eng mashhur tashrif buyurilgan saytlar uchun jadvallar
Buning uchun raqam yarating - Vertikal bar. Ko'rsatkich sifatida biz count (Y o'qi) dan foydalanamiz va X o'qida biz tashrif buyurilgan saytlar nomini qiymat sifatida ishlatamiz - "appi_name". Bu erda ozgina hiyla bor: agar siz sozlamalarni joriy versiyada ishga tushirsangiz, barcha saytlar grafikda bir xil rang bilan belgilanadi, ularni ko'p rangli qilish uchun biz qo'shimcha sozlamadan foydalanamiz - "bo'lingan seriyalar", albatta tanlangan maydonga qarab tayyor ustunni yana bir nechta qiymatlarga bo'lish imkonini beradi! Aynan shu bo'linma stacked rejimidagi qiymatlarga ko'ra bitta ko'p rangli ustun sifatida yoki X o'qida ma'lum bir qiymatga ko'ra bir nechta ustunlar yaratish uchun oddiy rejimda ishlatilishi mumkin.Bu holda, biz bu erda foydalanamiz X o'qidagi qiymat bilan bir xil bo'lsa, bu barcha ustunlarni ko'p rangli qilish imkonini beradi, ular yuqori o'ngda ranglar bilan ko'rsatiladi. Filtrda biz o'rnatdik - mahsulot: "URL filtrlash" faqat tashrif buyurilgan saytlardagi ma'lumotlarni ko'rish uchun rasmni bosish mumkin:
Sozlamalar:
Eng xavfli ilovalardan foydalanish diagrammasi
Buning uchun figurani yarating - Vertical Bar. Ko'rsatkich sifatida biz count (Y o'qi) dan foydalanamiz va X o'qida biz foydalanilgan ilovalar nomidan foydalanamiz - "appi_name" qiymat sifatida. Eng muhimi, filtr sozlamalari - mahsulot: "Ilovalarni boshqarish" VA ilova_xavfi: (4 YOKI 5 OR 3 ) VA amal: "qabul qilish". Biz jurnallarni Ilovani boshqarish paneli bo'yicha filtrlaymiz, faqat muhim, yuqori va o'rtacha xavfli saytlar deb tasniflangan saytlarni va faqat ushbu saytlarga kirishga ruxsat berilgan taqdirda. Rasmni bosish mumkin:
Sozlamalar, bosish mumkin:
Boshqaruv paneli
Boshqaruv panellarini ko'rish va yaratish alohida menyu bandida - Dashboard. Bu erda hamma narsa oddiy, yangi asboblar paneli yaratiladi, unga vizualizatsiya qo'shiladi, o'z o'rniga joylashtiriladi va tamom!
Biz asboblar panelini yaratmoqdamiz, uning yordamida siz tashkilotdagi axborot xavfsizligi holatining asosiy holatini tushunishingiz mumkin, albatta, faqat Check Point darajasida rasmni bosish mumkin:
Ushbu grafiklarga asoslanib, biz xavfsizlik devorida qaysi muhim imzolar bloklanmaganligini, foydalanuvchilar qayerga borishini va ular qanday eng xavfli ilovalardan foydalanishini tushunishimiz mumkin.
xulosa
Biz Kibana-da asosiy vizualizatsiya imkoniyatlarini ko'rib chiqdik va asboblar panelini qurdik, ammo bu faqat kichik bir qism. Keyinchalik kursda biz xaritalarni o'rnatish, elasticsearch tizimi bilan ishlash, API so'rovlari bilan tanishish, avtomatlashtirish va boshqalarni alohida ko'rib chiqamiz!
Shuning uchun bizni kuzatib boring, , , ), .
Manba: www.habr.com