في المقالات السابقة ، تعرفنا قليلاً على مكدس الأيائل وإعداد ملف تكوين Logstash لمحلل السجل ، في هذه المقالة سوف ننتقل إلى الأكثر أهمية من وجهة نظر التحليلات ، ما تريد رؤيته من النظام ولما تم إنشاء كل شيء - فهذه رسومات بيانية وجداول تم دمجها في
لوحات المعلومات . اليوم ، سوف نلقي نظرة فاحصة على
نظام التصور
Kibana ،
وسننظر في كيفية إنشاء الرسوم البيانية والجداول ، ونتيجة لذلك ، بناء لوحة معلومات بسيطة تستند إلى سجلات من جدار الحماية Check Point.
الخطوة الأولى في العمل مع kibana هي إنشاء
نمط فهرس ، منطقياً ، هذه قاعدة بيانات للمؤشرات الموحدة وفقًا لمبدأ معين. بالطبع ، هذا ليس سوى إعداد بحيث يبحث Kibana بسهولة أكبر عن المعلومات الموجودة في جميع المؤشرات في نفس الوقت. يتم تحديده عن طريق مطابقة السلسلة ، على سبيل المثال ، "checkpoint- *" واسم الفهرس. على سبيل المثال ، "checkpoint-2019.12.05" سوف يتناسب مع النمط ، ولكن لم يعد هناك "checkpoint" فقط. تجدر الإشارة بشكل منفصل إلى أنه من المستحيل البحث عن معلومات حول أنماط فهرس مختلفة في نفس الوقت ، وبعد ذلك بقليل في المقالات اللاحقة سنرى أن طلبات واجهة برمجة التطبيقات تتم إما باسم الفهرس أو فقط بسطر واحد من النموذج ، تكون الصورة قابلة للنقر:
بعد ذلك ، نتحقق من قائمة الاكتشاف التي مفهرسة جميع السجلات ، ويتم تكوين المحلل اللغوي الصحيح. إذا تم العثور على أي تضارب ، على سبيل المثال ، تغيير نوع البيانات من سلسلة إلى عدد صحيح ، فأنت بحاجة إلى تحرير ملف تكوين Logstash ، ونتيجة لذلك ، سيتم تسجيل سجلات جديدة بشكل صحيح. من أجل أن تأخذ السجلات القديمة الشكل المطلوب قبل التغيير ، فإن عملية إعادة الفهرسة هي فقط المساعدة ، في المقالات اللاحقة سيتم النظر في هذه العملية بمزيد من التفصيل. تأكد من أن كل شيء على ما يرام ، فإن الصورة قابلة للنقر:
كانت السجلات في مكانها ، مما يعني أنه يمكنك البدء في بناء لوحات المعلومات. استنادًا إلى تحليلات لوحة أجهزة القياس من منتجات الأمان ، يمكنك فهم حالة أمان المعلومات في أي مؤسسة ، ورؤية مواطن الضعف في السياسة الحالية بوضوح ، ومواصلة تطوير طرق للقضاء عليها. دعونا نبني لوحة معلومات صغيرة باستخدام العديد من أدوات التصور. ستتألف لوحة القيادة من 5 مكونات:
- جدول لحساب العدد الإجمالي للسجلات بواسطة الشفرات
- IPS جدول التوقيعات الحرجة
- منع خطر الحدث الرسم البياني
- مخطط معظم المواقع التي تمت زيارتها
- رسم تخطيطي لاستخدام التطبيقات الأكثر خطورة
لإنشاء أشكال التصور ، تحتاج إلى الانتقال إلى قائمة
التصور ، وتحديد الشكل المطلوب الذي نريد بناءه! دعنا نذهب في النظام.
جدول لحساب العدد الإجمالي للسجلات حسب الشفرات
للقيام بذلك ، حدد شكل "
جدول البيانات" ، وقم بإسقاط الأداة الإضافية لإنشاء الرسوم البيانية ، ووضع إعدادات الشكل على اليسار ، وعلى اليمين كيف سيبدو في الإعدادات الحالية. أولاً ، سأوضح كيف سيبدو الجدول النهائي ، وبعد ذلك سننتقل إلى الإعدادات ، تكون الصورة قابلة للنقر:
إعدادات شكل أكثر تفصيلاً ، الصورة قابلة للنقر:
دعنا نحلل الإعدادات.
تم تكوين
المقياس مبدئيًا ، هذه هي القيمة التي سيتم بها تجميع جميع الحقول. يتم حساب المقاييس بناءً على القيم المستخرجة بطريقة أو بأخرى من المستندات. عادةً ما يتم استخراج القيم من
حقول المستند ، ولكن يمكن أيضًا إنشاؤها باستخدام البرامج النصية. في هذه الحالة ، ضع في
التجميع: العد (العدد الإجمالي للسجلات).
بعد ذلك ، نقسم الجدول إلى شرائح (حقول) يتم من خلالها النظر في القياس. يؤدي ضبط الجرافات هذه الوظيفة ، والتي تتكون بدورها من خيارين للضبط:
- تقسيم الصفوف - قم بإضافة أعمدة ثم قسّم الجدول لاحقًا إلى صفوف
- انقسام الجدول - تقسيم إلى عدة جداول وفقا لقيم حقل معين.
في
المجموعات ، يمكنك إضافة عدة أقسام لإنشاء عدة أعمدة أو جداول ، ومن المحتمل أن تكون القيود هنا منطقية. في التجميع ، يمكنك الاختيار حسب طريقة تجزئة الطريقة: نطاق ipv4 ، النطاق الزمني ، الشروط ، إلخ. الخيار الأكثر إمتاعًا هو
الشروط والشروط الهامة ، ويتم تنفيذ التقسيم إلى أجزاء وفقًا لقيم حقل فهرس معين ، والفرق بينهما هو عدد القيم التي يتم إرجاعها وعرضها. نظرًا لأننا نريد تقسيم الجدول حسب اسم الشفرات ، حدد الحقل -
product.keyword وقم بتعيين الحجم بمقدار 25 قيمة تم إرجاعها.
بدلاً من الأوتار ، يستخدم elasticsearch نوعين من البيانات -
النص والكلمة الرئيسية . إذا كنت تريد إجراء بحث عن النص الكامل ، فيجب عليك استخدام نوع النص ، وهو أمر مناسب للغاية عند كتابة خدمة البحث ، على سبيل المثال ، كنت تبحث عن ذكر كلمة في قيمة حقل محددة (نص). إذا كنت ترغب فقط في تطابق تام ، فيجب عليك استخدام نوع الكلمة الرئيسية. أيضًا ، يجب استخدام نوع بيانات الكلمات الرئيسية للحقول التي تتطلب الفرز أو التجميع ، أي في حالتنا.
نتيجة لذلك ، يحسب Elasticsearch عدد السجلات لفترة معينة مع التجميع حسب القيمة في حقل المنتج. في Custom Label ، قمنا بتعيين اسم العمود الذي سيتم عرضه في الجدول ، وحدد الوقت الذي نجمع فيه السجلات ، ونبدأ في الرسم - ترسل Kibana طلبًا إلى elasticsearch ، وتنتظر استجابة ، ثم تصور البيانات المستلمة. الجدول جاهز!
منع خطر الحدث الرسم البياني
تكتسي المعلومات أهمية خاصة ، وعددهم عمومًا في النسبة المئوية
للكشف عن ردود الفعل على حوادث أمان المعلومات
ومنعها في سياسة الأمان الحالية. لهذه الحالة ، مخطط دائري مناسب تمامًا. حدد في تصور -
مخطط دائري . أيضا في المقياس وضعنا التجميع بعدد السجلات. في المجموعات ، اضبط Terms => action.
يبدو أن كل شيء على ما يرام ، ولكن نتيجة لذلك ، يتم عرض قيم جميع الشفرات ، تحتاج إلى التصفية فقط لتلك الشفرات التي تعمل تحت Threat Prevention. لذلك ، يجب علينا تكوين
المرشح من أجل البحث عن المعلومات فقط على الشفرات المسؤولة عن حوادث أمن المعلومات - المنتج: ("Anti-Bot" أو "New Anti-Virus" أو "DDoS Protector" أو "SmartDefense" أو "Threat Emulation"). الصورة قابلة للنقر:
وإعدادات أكثر تفصيلاً ، تكون الصورة قابلة للنقر:
جدول أحداث IPS
علاوة على ذلك ، من المهم للغاية من وجهة نظر أمن المعلومات عرض والتحقق من الأحداث على شفرات
IPS و
Threat Emulation ، والتي
لا تمنعها السياسة الحالية ، من أجل إما تبديل التوقيع لمنع أو عدم التحقق من صحة التوقيع في وقت لاحق. نقوم بإنشاء الجدول كما هو موضح في المثال الأول ، فقط مع اختلاف إنشاء الأعمدة العديدة: protections.keyword ، severity.keyword ، product.keyword ، originsicname.keyword. تأكد من تكوين المرشح من أجل البحث عن المعلومات فقط على الشفرات المسؤولة عن حوادث أمان المعلومات - المنتج: ("SmartDefense" أو "محاكاة التهديدات"). الصورة قابلة للنقر:
إعدادات أكثر تفصيلاً ، الصورة قابلة للنقر:
الرسوم البيانية للمواقع الأكثر شعبية التي تمت زيارتها
للقيام بذلك ، قم بإنشاء شكل -
شريط عمودي . نستخدم أيضًا عدد المقاييس (المحور ص) ، وعلى المحور س ، سنستخدم اسم المواقع التي تمت زيارتها كاسم appi_name كقيم. هناك خدعة بسيطة هنا ، إذا قمت بتشغيل الإعدادات في الإصدار الحالي ، فسيتم وضع علامة على جميع المواقع على الرسم البياني بلون واحد ، ولجعلها ملونة ، نستخدم الإعداد الإضافي - "تقسيم السلسلة" ، الذي يسمح لك بتقسيم العمود النهائي إلى عدد قليل من القيم ، وفقًا من الحقل المحدد بالطبع! يمكن استخدام هذا القسم إما كعمود واحد متعدد الألوان وفقًا للقيم في الوضع المكدس أو في الوضع العادي لإنشاء عدة أعمدة وفقًا لقيمة معينة من المحور X. وفي هذه الحالة ، نستخدم نفس القيمة مثل المحور X ، وهذا يجعل من الممكن جعل جميع الأعمدة متعددة الألوان ، من أعلى اليمين سيتم الإشارة إليها بالألوان. في الفلتر الذي قمنا بتعيينه - المنتج: "تصفية URL" من أجل رؤية المعلومات فقط على المواقع التي تمت زيارتها ، تكون الصورة قابلة للنقر:
الإعدادات:
الرسم البياني لاستخدام التطبيقات الأكثر خطورة
للقيام بذلك ، قم بإنشاء شكل - شريط عمودي. نستخدم أيضًا العد المتري (المحور ص) ، وعلى المحور س ، سنستخدم اسم التطبيقات المستخدمة ، "appi_name" ، كقيم. الأهم هو عامل التصفية - المنتج: "التحكم في التطبيق" AND app_risk: (4 أو 5 أو 3) AND الإجراء: "قبول". نقوم بتصفية السجلات من خلال شفرة التحكم في التطبيق ، ونحن نأخذ فقط تلك المواقع التي يتم تصنيفها كمواقع ذات خطورة حرجة وعالية ومتوسطة وفقط إذا تم السماح بالوصول إلى هذه المواقع. الصورة قابلة للنقر:
الإعدادات ، قابلة للنقر:
لوحات
عرض وإنشاء لوحات المعلومات في عنصر قائمة منفصل -
لوحة القيادة . كل شيء بسيط هنا ، يتم إنشاء لوحة معلومات جديدة ، يتم إضافة التصور إليها ، يتم وضع كل شيء في مكانه!
نقوم بإنشاء لوحة معلومات ، وفقًا لذلك سيكون من الممكن فهم الوضع الأساسي لحالة أمان المعلومات في المؤسسة ، بالطبع ، فقط عند مستوى نقطة التفتيش ، تكون الصورة قابلة للنقر:
استنادًا إلى هذه الرسوم البيانية ، يمكننا أن نفهم ما هي التوقيعات الهامة التي لا يتم حظرها على جدار الحماية ، حيث يذهب المستخدمون ، ما هي أخطر التطبيقات التي يستخدمونها.
استنتاج
لقد درسنا إمكانيات التصور الأساسي في Kibana وقمنا ببناء لوحة معلومات ، ولكن هذا ليس سوى جزء صغير. علاوة على ذلك ، سوف ندرس بشكل منفصل تكوين الخرائط ، والعمل مع نظام elasticsearch ، والتعرف على طلبات API ، والتشغيل الآلي ، وأكثر من ذلك بكثير!
لذا ترقبوا (
Telegram ،
Facebook ،
VK ،
TS Solution Blog )،
Yandex.Zen .