Trong các bài viết trước, chúng ta đã làm quen một chút với ngăn xếp elk và thiết lập tệp cấu hình Logstash cho trình phân tích cú pháp nhật ký. Trong bài viết này, chúng ta sẽ chuyển sang điều quan trọng nhất theo quan điểm phân tích, đó là điều bạn muốn xem từ hệ thống và mọi thứ được tạo ra để làm gì - đây là các biểu đồ và bảng được kết hợp thành bảng điều khiển. Hôm nay chúng ta sẽ xem xét kỹ hơn về hệ thống trực quan Kibana, chúng ta sẽ xem cách tạo biểu đồ và bảng và kết quả là chúng ta sẽ xây dựng một trang tổng quan đơn giản dựa trên nhật ký từ tường lửa Check Point.
Bước đầu tiên khi làm việc với kibana là tạo mẫu chỉ mục, về mặt logic, đây là cơ sở của các chỉ mục được thống nhất theo một nguyên tắc nhất định. Tất nhiên, đây hoàn toàn chỉ là một thiết lập giúp Kibana thuận tiện hơn trong việc tìm kiếm thông tin trên tất cả các chỉ mục cùng một lúc. Nó được thiết lập bằng cách khớp một chuỗi, chẳng hạn như “checkpoint-*” và tên của chỉ mục. Ví dụ: “điểm kiểm tra-2019.12.05” sẽ phù hợp với mẫu này, nhưng đơn giản là “điểm kiểm tra” không còn tồn tại. Điều đáng nói riêng là trong tìm kiếm không thể tìm kiếm thông tin về các mẫu chỉ mục khác nhau cùng một lúc; lát sau trong các bài viết tiếp theo, chúng ta sẽ thấy rằng các yêu cầu API được thực hiện theo tên của chỉ mục hoặc chỉ theo một dòng của mẫu, hình ảnh có thể nhấp được:
Sau đó, chúng tôi kiểm tra trong menu Khám phá xem tất cả nhật ký đã được lập chỉ mục và trình phân tích cú pháp chính xác đã được định cấu hình chưa. Nếu tìm thấy bất kỳ sự không nhất quán nào, chẳng hạn như thay đổi kiểu dữ liệu từ chuỗi thành số nguyên, bạn cần chỉnh sửa tệp cấu hình Logstash, kết quả là các nhật ký mới sẽ được ghi chính xác. Để các nhật ký cũ có được hình dạng mong muốn trước khi thay đổi, chỉ có quy trình lập chỉ mục lại mới giúp ích; trong các bài viết tiếp theo, thao tác này sẽ được thảo luận chi tiết hơn. Hãy đảm bảo rằng mọi thứ đều theo thứ tự, hình ảnh có thể nhấp được:
Nhật ký đã sẵn sàng, nghĩa là chúng ta có thể bắt đầu xây dựng trang tổng quan. Dựa trên phân tích bảng thông tin từ các sản phẩm bảo mật, bạn có thể hiểu trạng thái bảo mật thông tin trong một tổ chức, thấy rõ các lỗ hổng trong chính sách hiện tại và sau đó phát triển các cách để loại bỏ chúng. Hãy xây dựng một trang tổng quan nhỏ bằng cách sử dụng một số công cụ trực quan. Bảng điều khiển sẽ bao gồm 5 thành phần:
- bảng tính tổng số khúc gỗ theo lưỡi dao
- bảng về chữ ký IPS quan trọng
- biểu đồ hình tròn cho các sự kiện Phòng chống mối đe dọa
- biểu đồ các trang web được truy cập phổ biến nhất
- biểu đồ về việc sử dụng các ứng dụng nguy hiểm nhất
Để tạo số liệu trực quan, bạn cần vào menu Hình dungvà chọn hình mong muốn mà chúng tôi muốn xây dựng! Hãy đi theo thứ tự.
Bảng tính tổng số khúc gỗ theo lưỡi
Để thực hiện việc này, hãy chọn một hình Bảng dữ liệu, chúng ta rơi vào phần thiết bị tạo biểu đồ, bên trái là cài đặt của hình, bên phải là giao diện của nó trong cài đặt hiện tại. Đầu tiên, tôi sẽ minh họa bảng hoàn thiện sẽ trông như thế nào, sau đó chúng ta sẽ xem xét cài đặt, có thể nhấp vào hình ảnh:
Cài đặt chi tiết hơn của hình, hình ảnh có thể nhấp được:
Hãy nhìn vào các cài đặt.
Được cấu hình ban đầu số liệu, đây là giá trị mà tất cả các trường sẽ được tổng hợp. Số liệu được tính toán dựa trên các giá trị được trích xuất theo cách này hay cách khác từ tài liệu. Các giá trị thường được trích xuất từ của các lĩnh vực tài liệu, nhưng cũng có thể được tạo bằng tập lệnh. Trong trường hợp này chúng tôi đưa vào Tổng hợp: Đếm (tổng số nhật ký).
Sau đó, chúng tôi chia bảng thành các phân đoạn (trường) để tính số liệu. Chức năng này được thực hiện bằng cài đặt Nhóm, lần lượt bao gồm 2 tùy chọn cài đặt:
- chia hàng - thêm cột và sau đó chia bảng thành các hàng
- chia bảng - chia thành nhiều bảng dựa trên các giá trị của một trường cụ thể.
В Xô bạn có thể thêm một số phần để tạo một số cột hoặc bảng, các hạn chế ở đây khá logic. Khi tổng hợp, bạn có thể chọn phương pháp nào sẽ được sử dụng để chia thành các phân đoạn: phạm vi ipv4, phạm vi ngày, Điều khoản, v.v. Sự lựa chọn thú vị nhất chính xác là Các điều khoản и Điều khoản quan trọng, việc phân chia thành các phân đoạn được thực hiện theo các giá trị của một trường chỉ mục cụ thể, sự khác biệt giữa chúng nằm ở số lượng giá trị trả về và cách hiển thị của chúng. Vì chúng ta muốn chia bảng theo tên của các lưỡi dao, nên chúng ta chọn trường - sản phẩm.từ khóa và đặt kích thước thành 25 giá trị trả về.
Thay vì chuỗi, elaticsearch sử dụng 2 loại dữ liệu - văn bản и từ khóa. Nếu bạn muốn thực hiện tìm kiếm toàn văn bản, bạn nên sử dụng loại văn bản, một điều rất thuận tiện khi viết dịch vụ tìm kiếm của bạn, chẳng hạn như tìm kiếm đề cập đến một từ trong một giá trị trường cụ thể (văn bản). Nếu bạn chỉ muốn kết quả khớp chính xác, bạn nên sử dụng loại từ khóa. Ngoài ra, loại dữ liệu từ khóa nên được sử dụng cho các trường yêu cầu sắp xếp hoặc tổng hợp, nghĩa là trong trường hợp của chúng tôi.
Kết quả là Elaticsearch đếm số lượng nhật ký trong một thời gian nhất định, tổng hợp theo giá trị trong trường sản phẩm. Trong Nhãn tùy chỉnh, chúng tôi đặt tên của cột sẽ được hiển thị trong bảng, đặt thời gian chúng tôi thu thập nhật ký, bắt đầu hiển thị - Kibana gửi yêu cầu tới elaticsearch, chờ phản hồi và sau đó hiển thị dữ liệu nhận được. Bàn đã sẵn sàng!
Biểu đồ hình tròn cho các sự kiện Phòng chống mối đe dọa
Điều đặc biệt quan tâm là thông tin về số lượng phản ứng tính theo phần trăm phát hiện и ngăn chặn về các sự cố an toàn thông tin trong chính sách an ninh hiện hành. Biểu đồ hình tròn hoạt động tốt cho tình huống này. Chọn trong Trực quan hóa - Biểu đồ tròn. Ngoài ra trong số liệu chúng tôi đặt tổng hợp theo số lượng nhật ký. Trong nhóm, chúng tôi đặt Điều khoản => hành động.
Mọi thứ có vẻ đúng, nhưng kết quả hiển thị giá trị cho tất cả các lưỡi dao; bạn chỉ cần lọc theo những lưỡi dao hoạt động trong khuôn khổ Ngăn chặn mối đe dọa. Vì vậy, chúng tôi chắc chắn đã thiết lập nó lọc để chỉ tìm kiếm thông tin về các lưỡi dao chịu trách nhiệm về sự cố bảo mật thông tin - sản phẩm: ("Chống Bot" HOẶC "Chống vi-rút mới" HOẶC "Trình bảo vệ DDoS" HOẶC "SmartDefense" HOẶC "Mô phỏng mối đe dọa"). Hình ảnh có thể nhấp được:
Và cài đặt chi tiết hơn, hình ảnh có thể nhấp vào:
Bảng sự kiện IPS
Tiếp theo, điều rất quan trọng theo quan điểm bảo mật thông tin là xem và kiểm tra các sự kiện trên lưỡi dao. IPS и Giả lập Đe doạĐó không bị chặn chính sách hiện tại, để sau đó thay đổi chữ ký nhằm ngăn chặn hoặc nếu lưu lượng truy cập hợp lệ, đừng kiểm tra chữ ký. Chúng tôi tạo bảng theo cách tương tự như trong ví dụ đầu tiên, với điểm khác biệt duy nhất là chúng tôi tạo một số cột: Protections.keyword, mức độ nghiêm trọng.keyword, sản phẩm.keyword, Originicname.keyword. Đảm bảo thiết lập bộ lọc để chỉ tìm kiếm thông tin về các lưỡi chịu trách nhiệm về sự cố bảo mật thông tin - sản phẩm: (“SmartDefense” HOẶC “Mô phỏng mối đe dọa”). Hình ảnh có thể nhấp được:
Cài đặt chi tiết hơn, hình ảnh có thể nhấp vào:
Biểu đồ cho các trang web được truy cập phổ biến nhất
Để làm điều này, hãy tạo một hình - Thanh dọc. Chúng tôi cũng sử dụng số lượng (trục Y) làm số liệu và trên trục X, chúng tôi sẽ sử dụng tên của các trang web đã truy cập làm giá trị – “appi_name”. Có một mẹo nhỏ ở đây: nếu bạn chạy cài đặt trong phiên bản hiện tại thì tất cả các trang web sẽ được đánh dấu trên biểu đồ bằng cùng một màu, để làm cho chúng có nhiều màu, chúng tôi sử dụng một cài đặt bổ sung - “tách loạt”, cho phép bạn chia một cột tạo sẵn thành nhiều giá trị khác, tất nhiên tùy thuộc vào trường đã chọn! Chính sự phân chia này có thể được sử dụng làm một cột nhiều màu theo các giá trị ở chế độ xếp chồng hoặc ở chế độ bình thường để tạo một số cột theo một giá trị nhất định trên trục X. Trong trường hợp này, ở đây chúng tôi sử dụng cùng giá trị như trên trục X, điều này giúp có thể làm cho tất cả các cột có nhiều màu; chúng sẽ được biểu thị bằng màu ở trên cùng bên phải. Trong bộ lọc chúng tôi đặt - sản phẩm: “Lọc URL” để chỉ xem thông tin trên các trang web đã truy cập, có thể nhấp vào hình ảnh:
Cài đặt:
Sơ đồ sử dụng các ứng dụng nguy hiểm nhất
Để làm điều này, hãy tạo một hình - Thanh dọc. Chúng tôi cũng sử dụng số lượng (trục Y) làm số liệu và trên trục X, chúng tôi sẽ sử dụng tên của các ứng dụng được sử dụng - “appi_name” làm giá trị. Điều quan trọng nhất là cài đặt bộ lọc - sản phẩm: “Kiểm soát ứng dụng” VÀ app_risk: (4 HOẶC 5 HOẶC 3 ) VÀ hành động: “chấp nhận”. Chúng tôi lọc nhật ký theo lưỡi kiểm soát Ứng dụng, chỉ lấy những trang web được phân loại là trang web có mức độ rủi ro Quan trọng, Cao, Trung bình và chỉ khi quyền truy cập vào các trang web này được cho phép. Hình ảnh có thể nhấp được:
Cài đặt, có thể nhấp:
bảng điều khiển
Xem và tạo trang tổng quan nằm trong một mục menu riêng biệt - Bảng Điều Khiển (Dashboard). Ở đây mọi thứ đều đơn giản, một trang tổng quan mới được tạo, hình ảnh trực quan được thêm vào, đặt vào vị trí của nó và thế là xong!
Chúng tôi đang tạo một bảng điều khiển để bạn có thể hiểu được tình hình cơ bản về trạng thái bảo mật thông tin trong một tổ chức, tất nhiên, chỉ ở cấp độ Check Point, bạn mới có thể nhấp vào hình ảnh:
Dựa trên những biểu đồ này, chúng ta có thể hiểu những chữ ký quan trọng nào không bị chặn trên tường lửa, nơi người dùng đi và những ứng dụng nguy hiểm nhất mà họ sử dụng.
Kết luận
Chúng tôi đã xem xét khả năng trực quan hóa cơ bản trong Kibana và xây dựng trang tổng quan, nhưng đây chỉ là một phần nhỏ. Hơn nữa trong khóa học, chúng ta sẽ xem xét riêng cách thiết lập bản đồ, làm việc với hệ thống elaticsearch, làm quen với các yêu cầu API, tự động hóa và hơn thế nữa!
Vậy nên hãy chờ trong giây lát (, , , ), .
Nguồn: www.habr.com