Chào buổi chiều, ở bài viết trước chúng ta đã làm quen với công việc của ELK Stack. Bây giờ chúng ta hãy thảo luận về những khả năng mà một chuyên gia bảo mật thông tin có thể nhận ra khi sử dụng các hệ thống này. Những nhật ký nào có thể và nên được nhập vào elaticsearch. Hãy xem xét những số liệu thống kê nào có thể thu được bằng cách thiết lập trang tổng quan và liệu việc này có mang lại lợi nhuận hay không. Bạn có thể triển khai tự động hóa các quy trình bảo mật thông tin bằng cách sử dụng ngăn xếp ELK như thế nào. Hãy vẽ lên kiến trúc của hệ thống. Nhìn chung, việc triển khai tất cả các chức năng là một nhiệm vụ rất lớn và khó khăn, vì vậy giải pháp này đã được đặt một tên riêng - TS Total Sight.
Hiện tại, các giải pháp hợp nhất và phân tích sự cố bảo mật thông tin ở một nơi hợp lý đang nhanh chóng trở nên phổ biến, nhờ đó, chuyên gia nhận được số liệu thống kê và ranh giới hành động để cải thiện tình trạng bảo mật thông tin trong tổ chức. Chúng tôi đặt ra cho mình nhiệm vụ này khi sử dụng ngăn xếp ELK và kết quả là chúng tôi chia chức năng chính thành 4 phần:
- Thống kê và trực quan hóa;
- Phát hiện sự cố an toàn thông tin;
- Ưu tiên sự cố;
- Tự động hóa các quy trình bảo mật thông tin.
Tiếp theo, chúng ta sẽ xem xét kỹ hơn từng cái một.
Phát hiện sự cố an toàn thông tin
Nhiệm vụ chính của việc sử dụng elaticsearch trong trường hợp của chúng tôi là chỉ thu thập các sự cố bảo mật thông tin. Bạn có thể thu thập các sự cố bảo mật thông tin từ bất kỳ phương tiện bảo mật nào nếu chúng hỗ trợ ít nhất một số chế độ gửi nhật ký, tiêu chuẩn là lưu nhật ký hệ thống hoặc scp vào một tệp.
Bạn có thể đưa ra các ví dụ tiêu chuẩn về các công cụ bảo mật và hơn thế nữa, từ đó bạn nên định cấu hình chuyển tiếp nhật ký:
- Bất kỳ công cụ NGFW nào (Check Point, Fortinet);
- Bất kỳ trình quét lỗ hổng nào (PT Scanner, OpenVas);
- Tường lửa ứng dụng web (PT AF);
- máy phân tích luồng mạng (Flowmon, Cisco StealthWatch);
- máy chủ quảng cáo.
Khi đã định cấu hình gửi nhật ký và tệp cấu hình trong Logstash, bạn có thể đối chiếu và so sánh với các sự cố đến từ nhiều công cụ bảo mật khác nhau. Để làm điều này, sẽ thuận tiện khi sử dụng các chỉ mục trong đó chúng tôi sẽ lưu trữ tất cả các sự cố liên quan đến một thiết bị cụ thể. Nói cách khác, một chỉ mục là tất cả các sự cố xảy ra với một thiết bị. Việc phân phối này có thể được thực hiện theo 2 cách.
Các tùy chọn đầu tiên Đây là để cấu hình cấu hình Logstash. Để thực hiện việc này, bạn cần sao chép nhật ký của một số trường nhất định vào một đơn vị riêng biệt với loại khác. Và sau đó sử dụng loại này trong tương lai. Trong ví dụ này, nhật ký được sao chép từ phiến IPS của tường lửa Check Point.
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
Để lưu các sự kiện như vậy vào một chỉ mục riêng tùy thuộc vào các trường nhật ký, chẳng hạn như chữ ký tấn công IP đích. Bạn có thể sử dụng cách xây dựng tương tự:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
Và bằng cách này, bạn có thể lưu tất cả các sự cố vào một chỉ mục, chẳng hạn theo địa chỉ IP hoặc theo tên miền của máy. Trong trường hợp này, chúng tôi lưu nó vào chỉ mục "smartdefense-%{dst}", theo địa chỉ IP của đích chữ ký.
Tuy nhiên, các sản phẩm khác nhau sẽ có trường nhật ký khác nhau, điều này sẽ dẫn đến sự hỗn loạn và tiêu tốn bộ nhớ không cần thiết. Và ở đây, bạn sẽ phải thay thế cẩn thận các trường trong cài đặt cấu hình Logstash bằng những trường được thiết kế sẵn, điều này sẽ giống nhau đối với tất cả các loại sự cố, đây cũng là một nhiệm vụ khó khăn.
Tùy chọn triển khai thứ hai - đây là viết một tập lệnh hoặc quy trình sẽ truy cập cơ sở dữ liệu đàn hồi trong thời gian thực, loại bỏ các sự cố cần thiết và lưu chúng vào một chỉ mục mới, đây là một nhiệm vụ khó khăn nhưng nó cho phép bạn làm việc với nhật ký theo ý muốn, và tương quan trực tiếp với các sự cố từ các thiết bị an ninh khác. Tùy chọn này cho phép bạn định cấu hình công việc với nhật ký sao cho hữu ích nhất cho trường hợp của bạn với độ linh hoạt tối đa, nhưng ở đây vấn đề nảy sinh là tìm một chuyên gia có thể thực hiện việc này.
Và tất nhiên, câu hỏi quan trọng nhất, và những gì có thể được tương quan và phát hiện??
Có thể có một số tùy chọn ở đây và tùy thuộc vào công cụ bảo mật nào được sử dụng trong cơ sở hạ tầng của bạn, một số ví dụ:
- Theo quan điểm của tôi, tùy chọn rõ ràng nhất và thú vị nhất dành cho những người có giải pháp NGFW và trình quét lỗ hổng. Đây là sự so sánh giữa nhật ký IPS và kết quả quét lỗ hổng. Nếu một cuộc tấn công được phát hiện (không bị chặn) bởi hệ thống IPS và lỗ hổng này không được đóng trên máy cuối dựa trên kết quả quét thì cần phải tố cáo vì có khả năng cao là lỗ hổng đã bị khai thác. .
- Nhiều nỗ lực đăng nhập từ một máy đến những nơi khác nhau có thể tượng trưng cho hoạt động độc hại.
- Người dùng tải xuống các tập tin vi-rút do truy cập một số lượng lớn các trang web nguy hiểm tiềm tàng.
Thống kê và trực quan hóa
Điều rõ ràng và dễ hiểu nhất mà ELK Stack cần là việc lưu trữ và hiển thị nhật ký, nó đã chỉ ra cách bạn có thể tạo nhật ký từ nhiều thiết bị khác nhau bằng Logstash. Sau khi nhật ký truy cập Elaticsearch, bạn có thể thiết lập trang tổng quan cũng đã được đề cập , với thông tin và số liệu thống kê bạn cần thông qua trực quan hóa.
ví dụ:
- Bảng thông tin về các sự kiện Ngăn chặn mối đe dọa với các sự kiện quan trọng nhất. Tại đây bạn có thể phản ánh những chữ ký IPS nào đã được phát hiện và chúng đến từ đâu về mặt địa lý.
- Bảng điều khiển về việc sử dụng các ứng dụng quan trọng nhất mà thông tin có thể bị rò rỉ.
- Quét kết quả từ bất kỳ máy quét bảo mật nào.
- Nhật ký Active Directory theo người dùng.
- Bảng điều khiển kết nối VPN.
Trong trường hợp này, nếu bạn định cấu hình bảng thông tin để cập nhật vài giây một lần, bạn có thể có được một hệ thống khá thuận tiện để theo dõi các sự kiện trong thời gian thực, sau đó có thể sử dụng hệ thống này để phản hồi nhanh nhất các sự cố bảo mật thông tin nếu bạn đặt các bảng thông tin ở một nơi riêng biệt. màn hình.
Ưu tiên sự cố
Trong điều kiện cơ sở hạ tầng lớn, số lượng sự cố có thể tăng đột biến và các chuyên gia sẽ không có thời gian để xử lý kịp thời mọi sự cố. Trong trường hợp này, trước hết cần chỉ nêu bật những sự cố gây ra mối đe dọa lớn. Do đó, hệ thống phải ưu tiên các sự cố dựa trên mức độ nghiêm trọng của chúng liên quan đến cơ sở hạ tầng của bạn. Nên thiết lập cảnh báo qua email hoặc điện tín cho những sự kiện này. Ưu tiên có thể được thực hiện bằng cách sử dụng các công cụ Kibana tiêu chuẩn bằng cách thiết lập trực quan hóa. Nhưng với thông báo thì khó khăn hơn; theo mặc định, chức năng này không có trong phiên bản cơ bản của Elaticsearch mà chỉ có trong phiên bản trả phí. Do đó, hãy mua phiên bản trả phí hoặc tự viết lại quy trình để thông báo cho các chuyên gia trong thời gian thực qua email hoặc điện tín.
Tự động hóa các quy trình bảo mật thông tin
Và một trong những phần thú vị nhất là tự động hóa các hành động đối với các sự cố an toàn thông tin. Trước đây, chúng tôi đã triển khai chức năng này cho Splunk, bạn có thể đọc thêm một chút trong phần này . Ý tưởng chính là chính sách IPS không bao giờ được kiểm tra hoặc tối ưu hóa, mặc dù trong một số trường hợp, đây là một phần quan trọng của quy trình bảo mật thông tin. Ví dụ: một năm sau khi triển khai NGFW và không có hành động để tối ưu hóa IPS, bạn sẽ tích lũy một số lượng lớn chữ ký với hành động Phát hiện, hành động này sẽ không bị chặn, điều này làm giảm đáng kể tình trạng bảo mật thông tin trong tổ chức. Dưới đây là một số ví dụ về những gì có thể được tự động hóa:
- Chuyển chữ ký IPS từ Phát hiện sang Ngăn chặn. Nếu Ngăn chặn không hoạt động đối với các chữ ký quan trọng thì điều này không đúng trật tự và có lỗ hổng nghiêm trọng trong hệ thống bảo vệ. Chúng tôi thay đổi hành động trong chính sách thành những chữ ký như vậy. Chức năng này có thể được triển khai nếu thiết bị NGFW có chức năng REST API. Điều này chỉ có thể thực hiện được nếu bạn có kỹ năng lập trình, bạn cần trích xuất thông tin cần thiết từ Elastcisearch và thực hiện các yêu cầu API đến máy chủ quản lý NGFW.
- Nếu nhiều chữ ký được phát hiện hoặc bị chặn trong lưu lượng mạng từ một địa chỉ IP thì việc chặn địa chỉ IP này trong một thời gian trong chính sách Tường lửa là điều hợp lý. Việc triển khai cũng bao gồm việc sử dụng API REST.
- Chạy quét máy chủ bằng trình quét lỗ hổng, nếu máy chủ này có số lượng lớn chữ ký IPS hoặc các công cụ bảo mật khác; nếu là OpenVas, thì bạn có thể viết một tập lệnh sẽ kết nối qua ssh với trình quét bảo mật và chạy quét.
TS Tổng Tầm Nhìn
Nhìn chung, việc thực hiện tất cả các chức năng là một nhiệm vụ rất lớn và khó khăn. Nếu không có kỹ năng lập trình, bạn có thể định cấu hình chức năng tối thiểu có thể đủ để sử dụng trong sản xuất. Nhưng nếu bạn quan tâm đến tất cả các chức năng, bạn có thể chú ý đến TS Total Sight. Bạn có thể tìm thêm chi tiết về chúng tôi . Kết quả là toàn bộ sơ đồ và kiến trúc hoạt động sẽ như thế này:
Kết luận
Chúng tôi đã xem xét những gì có thể được triển khai bằng ELK Stack. Trong các bài viết tiếp theo, chúng tôi sẽ xem xét riêng chức năng của TS Total Sight chi tiết hơn!
Vậy nên hãy chờ trong giây lát (, , , ), .
Nguồn: www.habr.com