下午好,在之前的文章中我们了解了 ELK Stack 的工作。 现在让我们讨论信息安全专家在使用这些系统时可以实现的可能性。 哪些日志可以并且应该输入到elasticsearch中。 我们来考虑一下,通过设置仪表板可以得到哪些统计数据,这有没有利润。 如何使用 ELK 堆栈实现信息安全流程的自动化。 我们来画一下系统的架构。 总的来说,所有功能的实现是一项非常庞大且困难的任务,因此该解决方案被赋予了一个单独的名称 - TS Total Sight。
目前,在一个逻辑位置整合和分析信息安全事件的解决方案正在迅速流行,因此,专家可以获得统计数据和行动前沿,以改善组织中的信息安全状态。 我们为自己设定了使用 ELK 堆栈的任务,因此我们将主要功能分为 4 个部分:
- 统计和可视化;
- 信息安全事件检测;
- 事件优先级;
- 信息安全流程自动化。
接下来,我们将分别仔细研究每一个。
信息安全事件检测
在我们的案例中使用elasticsearch的主要任务是仅收集信息安全事件。 您可以从任何安全手段收集信息安全事件,只要它们至少支持某些发送日志的方式,标准是syslog或scp保存到文件。
您可以提供安全工具等的标准示例,您应该从中配置日志转发:
- 任何 NGFW 工具(Check Point、Fortinet);
- 任何漏洞扫描器(PT Scanner、OpenVas);
- Web 应用程序防火墙 (PT AF);
- 网络流分析器(Flowmon、Cisco StealthWatch);
- 广告服务器。
在 Logstash 中配置日志和配置文件的发送后,您可以将来自各种安全工具的事件进行关联和比较。 为此,使用索引会很方便,我们将在其中存储与特定设备相关的所有事件。 换句话说,一个索引是一台设备的所有事件。 这种分布可以通过两种方式实现。
第一个实施例 这是配置 Logstash 配置。 为此,您需要将某些字段的日志复制到具有不同类型的单独单元中。 然后以后就用这个类型。 在示例中,日志是从 Check Point 防火墙的 IPS 刀片克隆的。
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
为了根据日志字段将此类事件保存到单独的索引中,例如目标IP攻击签名。 您可以使用类似的结构:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
通过这种方式,您可以将所有事件保存到索引中,例如按IP地址或机器的域名。 在本例中,我们将其保存到索引中 “smartdefense-%{dst}”,通过签名目的地的 IP 地址。
但不同的产品会有不同的日志字段,这会导致混乱和不必要的内存消耗。 在这里,您要么必须小心地将 Logstash 配置设置中的字段替换为预先设计的字段,这对于所有类型的事件都是相同的,这也是一项艰巨的任务。
第二种实施方案 - 这是编写一个脚本或进程,它将实时访问弹性数据库,提取必要的事件,并将它们保存到新索引中,这是一项艰巨的任务,但它允许您随心所欲地处理日志,并与其他安全设备的事件直接相关。 此选项允许您以最大的灵活性配置对您的案例最有用的日志工作,但这里出现了寻找可以实现此目的的专家的问题。
当然,最重要的问题是 以及什么可以被关联和检测??
这里可能有多个选项,这取决于您的基础设施中使用的安全工具,以下是几个示例:
- 对于那些拥有 NGFW 解决方案和漏洞扫描器的人来说,这是最明显、也是最有趣的选择。 这是 IPS 日志和漏洞扫描结果的比较。 如果IPS系统检测到(没有拦截)攻击,并且根据扫描结果在端机上没有关闭该漏洞,则有必要举报,因为该漏洞很有可能已被利用。
- 从一台计算机到不同位置的多次登录尝试可能象征着恶意活动。
- 用户因访问大量潜在危险网站而下载病毒文件。
统计和可视化
需要ELK Stack最明显、最容易理解的就是日志的存储和可视化, 展示了如何使用 Logstash 从各种设备创建日志。 日志转到Elasticsearch后,可以设置仪表板,这也提到了 ,通过可视化提供您所需的信息和统计数据。
Примеры:
- 包含最关键事件的威胁防御事件仪表板。 您可以在此处反映检测到的 IPS 签名以及它们的地理位置。
- 有关信息可能泄露的最关键应用程序使用情况的仪表板。
- 来自任何安全扫描仪的扫描结果。
- 按用户从 Active Directory 记录日志。
- VPN 连接仪表板。
在这种情况下,如果将仪表板配置为每隔几秒更新一次,则可以获得一个相当方便的系统来实时监控事件,如果将仪表板放置在单独的系统上,则可以使用该系统以最快的速度响应信息安全事件。屏幕。
事件优先级
在大型基础设施的情况下,事件的数量可能会超出规模,专家将没有时间及时处理所有事件。 在这种情况下,首先有必要仅强调那些构成巨大威胁的事件。 因此,系统必须根据与基础设施相关的严重性来确定事件的优先级。 建议为这些事件设置电子邮件或电报警报。 可以使用标准 Kibana 工具通过设置可视化来实现优先级排序。 但对于通知来说就更困难了;默认情况下,此功能不包含在 Elasticsearch 的基本版本中,仅包含在付费版本中。 因此,要么购买付费版本,要么再次自己编写一个流程,通过电子邮件或电报实时通知专家。
信息安全流程自动化
最有趣的部分之一是信息安全事件行动的自动化。 之前,我们为 Splunk 实现了此功能,您可以在此处阅读更多内容 。 主要思想是,IPS 策略从未经过测试或优化,尽管在某些情况下它是信息安全流程的关键部分。 例如,NGFW实施一年后,如果没有优化IPS的行动,你会通过Detect行动积累大量签名,而这些签名不会被阻止,这大大降低了组织内的信息安全状态。 以下是一些可以自动化的示例:
- 将 IPS 签名从检测转移到预防。 如果 Prevent 对关键签名不起作用,则说明这是不正常的,并且保护系统中存在严重漏洞。 我们将策略中的操作更改为此类签名。 如果NGFW设备具有REST API功能,则可以实现此功能。 这只有在您具备编程技能的情况下才可能实现;您需要从 Elastcisearch 中提取必要的信息并向 NGFW 管理服务器发出 API 请求。
- 如果在来自一个 IP 地址的网络流量中检测到或阻止了多个签名,则在防火墙策略中阻止该 IP 地址一段时间是有意义的。 该实现还包括使用 REST API。
- 使用漏洞扫描器运行主机扫描,如果该主机有大量 IPS 签名或其他安全工具;如果是 OpenVas,那么您可以编写一个脚本,通过 ssh 连接到安全扫描器并运行扫描。
TS 全瞄准镜
总的来说,所有功能的实现是一项非常庞大且艰巨的任务。 无需具备编程技能,您就可以配置最少的功能,这可能足以在生产中使用。 但如果您对所有功能感兴趣,可以关注 TS Total Sight。 您可以在我们的网站上找到更多详细信息 。 整个运行方案和架构将如下所示:
结论
我们研究了使用 ELK Stack 可以实现什么。 在后续文章中,我们将单独更详细地介绍 TS Total Sight 的功能!
敬请期待, , , ), .
来源: habr.com