下午好,在之前的文章中我們了解了 ELK Stack 的工作。 現在讓我們討論資訊安全專家在使用這些系統時可以實現的可能性。 哪些日誌可以並且應該輸入到elasticsearch中。 讓我們來考慮一下,透過設定儀表板可以得到哪些統計數據,這有沒有利潤。 如何使用 ELK 堆疊實現資訊安全流程的自動化。 我們來畫一下系統的架構。 總的來說,所有功能的實現是一項非常龐大且困難的任務,因此該解決方案被賦予了一個單獨的名稱 - TS Total Sight。
目前,在一個邏輯位置整合和分析資訊安全事件的解決方案正在迅速流行,因此,專家可以獲得統計數據和行動前沿,以改善組織中的資訊安全狀態。 我們為自己設定了使用 ELK 堆疊的任務,因此我們將主要功能分為 4 個部分:
- 統計和可視化;
- 資訊安全事件檢測;
- 事件優先級;
- 資訊安全流程自動化。
接下來,我們將分別仔細研究每一個。
資訊安全事件偵測
在我們的案例中使用elasticsearch的主要任務是僅收集資訊安全事件。 您可以從任何安全手段收集資訊安全事件,只要它們至少支援某些發送日誌的方式,標準是syslog或scp保存到檔案。
您可以提供安全工具等的標準範例,您應該從中設定日誌轉送:
- 任何 NGFW 工具(Check Point、Fortinet);
- 任何漏洞掃描器(PT Scanner、OpenVas);
- Web 應用程式防火牆 (PT AF);
- 網路流分析器(Flowmon、Cisco StealthWatch);
- 廣告伺服器。
在 Logstash 中設定日誌和設定檔的傳送後,您可以將來自各種安全工具的事件進行關聯和比較。 為此,使用索引會很方便,我們將在其中儲存與特定設備相關的所有事件。 換句話說,索引是一台設備的所有事件。 這種分佈可以透過兩種方式實現。
第一例 這是配置 Logstash 配置。 為此,您需要將某些欄位的日誌複製到具有不同類型的單獨單元中。 然後以後就用這個類型。 在範例中,日誌是從 Check Point 防火牆的 IPS 刀片克隆的。
filter {
if [product] == "SmartDefense" {
clone {
clones => ["CloneSmartDefense"]
add_field => {"system" => "checkpoint"}
}
}
}
為了根據日誌欄位將此類事件儲存到單獨的索引中,例如目標IP攻擊簽章。 您可以使用類似的結構:
output {
if [type] == "CloneSmartDefense"{
{
elasticsearch {
hosts => [",<IP_address_elasticsearch>:9200"]
index => "smartdefense-%{dst}"
user => "admin"
password => "password"
}
}
}
透過這種方式,您可以將所有事件儲存到索引中,例如按IP位址或機器的網域名稱。 在本例中,我們將其保存到索引中 “smartdefense-%{dst}”,透過簽署目的地的 IP 位址。
但不同的產品會有不同的日誌字段,這會導致混亂和不必要的記憶體消耗。 在這裡,您必須小心地將 Logstash 配置設定中的字段替換為預先設計的字段,這對於所有類型的事件都是相同的,這也是一項艱鉅的任務。
第二種實施方案 - 這是編寫一個腳本或進程,它將即時存取彈性資料庫,提取必要的事件,並將它們保存到新索引中,這是一項艱鉅的任務,但它允許您隨心所欲地處理日誌,並與其他安全設備的事件直接相關。 此選項可讓您以最大的靈活性配置對您的案例最有用的日誌工作,但這裡出現了尋找可以實現此目的的專家的問題。
當然,最重要的問題是 以及什麼可以被關聯和檢測??
這裡可能有多個選項,這取決於您的基礎架構中使用的安全工具,以下是幾個範例:
- 對於擁有 NGFW 解決方案和漏洞掃描器的人來說,這是最明顯、也是最有趣的選擇。 這是 IPS 日誌和漏洞掃描結果的比較。 如果IPS系統偵測到(沒有攔截)攻擊,並且根據掃描結果在端機上沒有關閉漏洞,則有必要舉報,因為漏洞很有可能已被利用。
- 從一台電腦到不同位置的多次登入嘗試可能像徵著惡意活動。
- 使用者因造訪大量潛在危險網站而下載病毒檔案。
統計和可視化
需要ELK Stack最明顯、最容易理解的就是日誌的儲存和視覺化, 展示如何使用 Logstash 從各種裝置建立日誌。 日誌轉到Elasticsearch後,可以設定儀表板,也提到了 ,透過視覺化提供您所需的資訊和統計數據。
Примеры:
- 包含最關鍵事件的威脅防禦事件儀表板。 您可以在此處反映偵測到的 IPS 簽章以及它們的地理位置。
- 有關資訊可能洩露的最關鍵應用程式使用情況的儀表板。
- 來自任何安全掃描器的掃描結果。
- 按下使用者列出的 Active Directory 日誌。
- VPN 連接儀表板。
在這種情況下,如果將儀表板配置為每隔幾秒鐘更新一次,則可以獲得一個相當方便的系統來即時監控事件,如果將儀表板放置在單獨的系統上,則可以使用該系統以最快的速度回應資訊安全事件。螢幕。
事件優先級
在大型基礎設施的情況下,事件的數量可能會超出規模,專家將沒有時間及時處理所有事件。 在這種情況下,首先有必要只強調那些構成巨大威脅的事件。 因此,系統必須根據與基礎設施相關的嚴重性來確定事件的優先順序。 建議為這些事件設定電子郵件或電報警報。 可以使用標準 Kibana 工具透過設定視覺化來實現優先排序。 但對於通知來說就更困難了;預設情況下,此功能不包含在 Elasticsearch 的基本版本中,僅包含在付費版本中。 因此,要么購買付費版本,要么再次自己編寫一個流程,透過電子郵件或電報即時通知專家。
資訊安全流程自動化
最有趣的部分之一是資訊安全事件行動的自動化。 之前,我們為 Splunk 實現了此功能,您可以在此處閱讀更多內容 。 主要想法是,IPS 策略從未經過測試或優化,儘管在某些情況下它是資訊安全流程的關鍵部分。 例如,NGFW實施一年後,如果沒有優化IPS的行動,你會透過Detect行動累積大量簽名,而這些簽名不會被阻止,這大大降低了組織內的資訊安全狀態。 以下是一些可以自動化的範例:
- 將 IPS 簽章從偵測轉移到預防。 如果 Prevent 對關鍵簽名不起作用,則表示這是不正常的,且保護系統中存在嚴重漏洞。 我們將策略中的操作變更為此類簽章。 如果NGFW設備具有REST API功能,則可以實現此功能。 這只有在您具備程式設計技能的情況下才可能實現;您需要從 Elastcisearch 中提取必要的資訊並向 NGFW 管理伺服器發出 API 請求。
- 如果在來自一個 IP 位址的網路流量中偵測到或封鎖了多個簽名,則在防火牆策略中封鎖該 IP 位址一段時間是有意義的。 實作還包括使用 REST API。
- 使用漏洞掃描器執行主機掃描,如果該主機有大量 IPS 簽章或其他安全工具;如果是 OpenVas,那麼您可以編寫一個腳本,透過 ssh 連線到安全掃描器並執行掃描。
TS 全瞄準鏡
總的來說,所有功能的實現是一項非常龐大且艱鉅的任務。 無需具備程式設計技能,您就可以配置最少的功能,這可能足以在生產中使用。 但如果您對所有功能感興趣,可以關注 TS Total Sight。 您可以在我們的網站上找到更多詳細信息 。 整個運行方案和架構將如下所示:
結論
我們研究了使用 ELK Stack 可以實現什麼。 在後續文章中,我們將單獨更詳細地介紹 TS Total Sight 的功能!
所以請繼續關注(, , , ), .
來源: www.habr.com