[IT-инфраструктура, NoSQL, Серверное администрирование, Big Data, Визуализация данных] ELK SIEM Open Distro: Введение. Развертывание инфраструктуры и технологий для SOC как Service (SOCasS) (перевод)
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
ELK SIEM Open Distro: Введение. Развертывание инфраструктуры и технологий для SOC как Service (SOCasS)
За последние пару лет количество кибератак зашкаливает. Эти атаки нацелены не только на отдельных людей, но и на фирмы, правительства, критическую инфраструктуру и т. д. Традиционные решения, такие как антивирус, брандмауэр, NIDS и NIPS, больше не являются достаточными из-за сложности атак и их подавляющего количества.
Эта первая статья была задумана как введение в нашу работу. Подробности будут представлены в следующих статьях.
Оглавление всех постов.
- Введение. Развертывание инфраструктуры и технологий для SOC как Service (SOCasS)
- ELK stack: данные по установке и доставке
- Open Distro для Elasticsearch
- Визуализация Dashboards и ELK SIEM
- Интеграция с WAZUH
- Оповещение (Alerting)
- Отчетность
- Case Management
За последние пару лет количество кибератак зашкаливает. Эти атаки нацелены не только на отдельных людей, но и на фирмы, правительства, критическую инфраструктуру и т. д. Традиционные решения, такие как антивирус, брандмауэр, NIDS и NIPS, больше не являются достаточными из-за сложности атак и их подавляющего количества.
Крупные организации обычно интегрируют решения SIEM (Security Information and Event Management) в свою среду для приема и корреляции предупреждений и журналов, генерируемых сетевыми устройствами, устройствами безопасности и конечными точками. Однако это решение отнимает много времени и денег и требует наличия групп безопасности, выделенных для сортировки ложных срабатываний и расследования сложных случаев.
Это приводит к подходу центра операций безопасности, также известного как SOC, который считается новым подходом в мире кибербезопасности для смягчения последствий растущего числа атак в количестве и уровне сложности. SOC-это централизованное подразделение, состоящее из квалифицированных специалистов, процессов и технологий, работающих вместе для обеспечения сквозных возможностей безопасности. К ним относятся предотвращение, обнаружение и расследование угроз и инцидентов кибербезопасности, а также реагирование на них. Но это решение является привилегией только крупных фирм из-за дороговизны команды SOC.
Именно здесь вступает в игру подход оперативного центра безопасности как Службы. SOCaaS передает Центр операций по обеспечению безопасности на аутсорсинг третьей стороне. Это позволит организациям с ограниченными ресурсами повысить уровень своей безопасности и обеспечить более эффективный контроль над поверхностью атаки по более низкой цене, повысить эффективность и сократить время развертывания.
Используемые технологии и инструменты на 100% бесплатны и имеют открытый исходный код.
Детальная схема архитектуры нашего решения:
Это решение позволяет осуществлять хранение журналов, анализ, мониторинг, генерацию предупреждений, генерацию отчетов, обогащение МОК и управление реагированием на инциденты.
На рисунке выше мы собираем все различные типы журналов и событий от хостов, сетевых компонентов. Затем эти журналы поступают в Logstash через безопасный канал (VPN-туннель). Мы использовали ELK beats и wazuh-agent для сбора данных и журналов и отправляли их в ELK SIEM.
После агрегации и обработки данных с помощью Logstash. Elasticsearch будет обрабатывать индексацию данных для оптимизации процесса хранения и поиска данных. Затем данные передаются в Кибану, которая займется анализом и визуализацией сохраненных данных.
В то же время агент WAZUH HIDS отправляет данные обратно менеджеру Wazuh и Elasticsearch.
Оттуда ElastAlert будет следить за новыми интересными событиями и генерировать оповещения внутри улья.
Рабочий процесс затем обогатит дело дополнительными запросами от анализаторов коры головного мозга и MISP, что приведет либо к автоматическому закрытию дела, либо к эскалации к аналитику. Оповещения доступны для аналитиков, чтобы заявить и вызвать обогащение через Cortex и MISP.
Аппаратные и программные компоненты, используемые в этом развертывании:
Hardware:
Эта таблица представляет общую инфраструктуру, требования и услуги, развернутые в нашем проекте.
Кроме того, он может быть развернут в больших средах с правильными конфигурациями и масштабируемой инфраструктурой.
Для конечных точек можно подключить любое устройство, генерирующее журналы, к серверной машине (например, маршрутизаторы, коммутаторы и т. д.… )
Disclaimer :
- Конечные устройства, показанные на диаграмме, не все были реализованы в этом проекте из-за контекста POC и ограниченных ресурсов.Поэтому брандмауэры и маршрутизаторы не будут охвачены этим POC.
- Оборудование, которое мы выбрали для этого проекта, не подходит для производства. Рекомендуется выделять больше ресурсов аппаратных средств. Мы бы рекомендовали 8 Vcpu для каждого сервера, 32 ГБ оперативной памяти для первого сервера и 8 ГБ для второго.
Программные компоненты:
- ELK stack: ELK stack-это аббревиатура, используемая для описания стека, состоящего из трех популярных проектов с открытым исходным кодом: Elasticsearch, Logstash и Kibana. Часто называемый Elasticsearch, стек ELK дает вам возможность агрегировать журналы из всех ваших систем и приложений, анализировать эти журналы и создавать визуализации для мониторинга приложений и инфраструктуры, быстрого устранения неполадок, аналитики безопасности и многого другого.
- Beats: это легкие грузоотправители данных, которые вы устанавливаете на своих серверах для сбора всех видов операционных данных (например, журналов, метрик или сетевых пакетных данных). Beats отправляют операционные данные в Elasticsearch либо напрямую, либо через Logstash, чтобы их можно было визуализировать с помощью Kibana.
- Elastalert: это простая структура для оповещения об аномалиях, спайках или других паттернах интереса из данных Elasticsearch. Он работает путем объединения Elasticsearch с двумя типами компонентов, типами правил и предупреждениями. Elasticsearch периодически запрашивается, и данные передаются в тип правила, который определяет, когда будет найдено совпадение. Когда происходит совпадение, оно передается одному или нескольким оповещениям, которые действуют в зависимости от совпадения.
- Suricata: это механизм обнаружения угроз с открытым исходным кодом, разработанный Фондом открытой информационной безопасности (OISF). Suricata может выступать в качестве системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS), а также использоваться для мониторинга сетевой безопасности.
- Open Distro для Elasticsearch:
- Функция оповещения (Alerting): она предоставляет мощную, простую в использовании систему мониторинга событий и оповещения, позволяющую отслеживать Ваши данные и автоматически отправлять уведомления заинтересованным сторонам. Благодаря интуитивно понятному интерфейсу Kibana и мощному API легко настраивать оповещения и управлять ими.
- Функция безопасности (Security): она включает в себя ряд параметров аутентификации (таких как Active Directory и OpenID), шифрование в полете, мелкозернистый контроль доступа, детальное ведение журнала аудита, расширенные функции соответствия требованиям и многое другое.
- Praeco: это инструмент оповещения для Elasticsearch-графический интерфейс для ElastAlert, использующий API ElastAlert. С помощью Praeco вы можете интерактивно создавать оповещения для ваших данных Elasticsearch с помощью построителя запросов, отправлять уведомления в Slack, электронную почту, Telegram или конечную точку HTTP POST, а также многие другие функции, предоставляемые этим инструментом.
- Wazuh: это бесплатная платформа с открытым исходным кодом для обнаружения угроз, мониторинга безопасности, реагирования на инциденты и соблюдения нормативных требований. Он может использоваться для мониторинга конечных точек, облачных сервисов и контейнеров, а также для агрегирования и анализа данных из внешних источников. Агенты Wazuh сканируют контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Они могут обнаруживать скрытые файлы, скрытые процессы или незарегистрированные сетевые прослушиватели, а также несоответствия в ответах на системные вызовы.
- Nessus Essentials: это бесплатный сканер уязвимостей, который обеспечивает точку входа для оценки уязвимости. Он позволяет сканировать окружающую среду с той же высокой скоростью, углубленной оценкой и удобством безагентного сканирования.
- TheHive: TheHive описывает себя как " масштабируемую, с открытым исходным кодом и свободную платформу реагирования на инциденты безопасности, предназначенную для облегчения жизни любого специалиста по информационной безопасности, имеющего дело с инцидентами безопасности, которые необходимо быстро расследовать и действовать”.
- Cortex: Cortex-это еще один программный продукт от той же команды, что и TheHive, и дополняет этот продукт обогащением данных. Cortex позволяет использовать "анализаторы" для получения дополнительной информации о показателях, уже имеющихся в ваших журналах. Он позволяет запрашивать сторонние сервисы по таким индикаторам, как IP, URL и хэш файла, и помечает оповещение этой дополнительной информацией. Нет необходимости вручную отправлять хэш файла в VirusTotal, когда анализатор автоматически сделает это за вас и помечает предупреждение результатами.
- MISP: Malware Information and Sharing Platform (MISP) — это платформа анализа угроз для обмена, хранения и корреляции показателей компрометации целевых атак, анализа угроз, информации о финансовом мошенничестве и т.д. MISP используется сегодня во многих организациях для хранения, обмена знаниями, совместной работы над показателями кибербезопасности, анализа вредоносных программ с целью обеспечения лучшей защиты безопасности.
===========
Источник:
habr.com
===========
===========
Автор оригинала: Ibrahim Ayadhi
===========Похожие новости:
- [Информационная безопасность, Системное администрирование, IT-инфраструктура, Сетевое оборудование] Эшелонированная защита. Fortinet & Flowmon Networks
- [Data Mining, Big Data, Открытые данные, Визуализация данных] Аномалии голосования по поправкам к Конституции России. Часть 2
- [Big Data, Машинное обучение] Разворачиваем модель машинного обучения с Docker – Часть 2 (перевод)
- [PHP, IT-инфраструктура, Сетевые технологии, API, Облачные сервисы] Synology SSO Server – управление авторизацией и доступ к сервисам с сайта
- [NoSQL, Администрирование баз данных] Riak Cloud Storage. Часть 3. Stanchion, Proxy и балансировка нагрузки, клиент S3
- [Delphi, IT-инфраструктура] Как я сделал электронную очередь за 0 рублей на чистом энтузиазме, чего это стоило и что из этого вышло
- [IT-инфраструктура, ERP-системы, CRM-системы, Управление проектами, Управление продуктом] Новый формат отдела разработки ПО
- [Системное администрирование, Сетевые технологии, Серверное администрирование] Что происходит, когда вы обновляете свой DNS (перевод)
- [Системное администрирование, Серверное администрирование, DevOps, Kubernetes] Представляем Contour: направляем трафик к приложениям в Kubernetes (перевод)
- [Python, Яндекс API, Визуализация данных, Контекстная реклама] Визуализация статистики Яндекс Директ своими руками. От API до Data Studio
Теги для поиска: #_itinfrastruktura (IT-инфраструктура), #_nosql, #_servernoe_administrirovanie (Серверное администрирование), #_big_data, #_vizualizatsija_dannyh (Визуализация данных), #_elk, #_siem, #_open_distro, #_nessus, #_wazuh, #_elastalert, #_itinfrastruktura (
IT-инфраструктура
), #_nosql, #_servernoe_administrirovanie (
Серверное администрирование
), #_big_data, #_vizualizatsija_dannyh (
Визуализация данных
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 10:01
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
ELK SIEM Open Distro: Введение. Развертывание инфраструктуры и технологий для SOC как Service (SOCasS) За последние пару лет количество кибератак зашкаливает. Эти атаки нацелены не только на отдельных людей, но и на фирмы, правительства, критическую инфраструктуру и т. д. Традиционные решения, такие как антивирус, брандмауэр, NIDS и NIPS, больше не являются достаточными из-за сложности атак и их подавляющего количества. Эта первая статья была задумана как введение в нашу работу. Подробности будут представлены в следующих статьях. Оглавление всех постов.
За последние пару лет количество кибератак зашкаливает. Эти атаки нацелены не только на отдельных людей, но и на фирмы, правительства, критическую инфраструктуру и т. д. Традиционные решения, такие как антивирус, брандмауэр, NIDS и NIPS, больше не являются достаточными из-за сложности атак и их подавляющего количества. Крупные организации обычно интегрируют решения SIEM (Security Information and Event Management) в свою среду для приема и корреляции предупреждений и журналов, генерируемых сетевыми устройствами, устройствами безопасности и конечными точками. Однако это решение отнимает много времени и денег и требует наличия групп безопасности, выделенных для сортировки ложных срабатываний и расследования сложных случаев. Это приводит к подходу центра операций безопасности, также известного как SOC, который считается новым подходом в мире кибербезопасности для смягчения последствий растущего числа атак в количестве и уровне сложности. SOC-это централизованное подразделение, состоящее из квалифицированных специалистов, процессов и технологий, работающих вместе для обеспечения сквозных возможностей безопасности. К ним относятся предотвращение, обнаружение и расследование угроз и инцидентов кибербезопасности, а также реагирование на них. Но это решение является привилегией только крупных фирм из-за дороговизны команды SOC. Именно здесь вступает в игру подход оперативного центра безопасности как Службы. SOCaaS передает Центр операций по обеспечению безопасности на аутсорсинг третьей стороне. Это позволит организациям с ограниченными ресурсами повысить уровень своей безопасности и обеспечить более эффективный контроль над поверхностью атаки по более низкой цене, повысить эффективность и сократить время развертывания. Используемые технологии и инструменты на 100% бесплатны и имеют открытый исходный код. Детальная схема архитектуры нашего решения: Это решение позволяет осуществлять хранение журналов, анализ, мониторинг, генерацию предупреждений, генерацию отчетов, обогащение МОК и управление реагированием на инциденты. На рисунке выше мы собираем все различные типы журналов и событий от хостов, сетевых компонентов. Затем эти журналы поступают в Logstash через безопасный канал (VPN-туннель). Мы использовали ELK beats и wazuh-agent для сбора данных и журналов и отправляли их в ELK SIEM. После агрегации и обработки данных с помощью Logstash. Elasticsearch будет обрабатывать индексацию данных для оптимизации процесса хранения и поиска данных. Затем данные передаются в Кибану, которая займется анализом и визуализацией сохраненных данных. В то же время агент WAZUH HIDS отправляет данные обратно менеджеру Wazuh и Elasticsearch. Оттуда ElastAlert будет следить за новыми интересными событиями и генерировать оповещения внутри улья. Рабочий процесс затем обогатит дело дополнительными запросами от анализаторов коры головного мозга и MISP, что приведет либо к автоматическому закрытию дела, либо к эскалации к аналитику. Оповещения доступны для аналитиков, чтобы заявить и вызвать обогащение через Cortex и MISP. Аппаратные и программные компоненты, используемые в этом развертывании: Hardware: Эта таблица представляет общую инфраструктуру, требования и услуги, развернутые в нашем проекте. Кроме того, он может быть развернут в больших средах с правильными конфигурациями и масштабируемой инфраструктурой. Для конечных точек можно подключить любое устройство, генерирующее журналы, к серверной машине (например, маршрутизаторы, коммутаторы и т. д.… ) Disclaimer :
Программные компоненты:
=========== Источник: habr.com =========== =========== Автор оригинала: Ibrahim Ayadhi ===========Похожие новости:
IT-инфраструктура ), #_nosql, #_servernoe_administrirovanie ( Серверное администрирование ), #_big_data, #_vizualizatsija_dannyh ( Визуализация данных ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 10:01
Часовой пояс: UTC + 5