Как стать автором
Обновить

ELK, SIEM из OpenSource, Open Distro: Введение. Развертывание инфраструктуры и технологий для SOC как Service (SOCasS)

Время на прочтение6 мин
Количество просмотров19K
Автор оригинала: Ibrahim Ayadhi

ELK SIEM Open Distro: Введение. Развертывание инфраструктуры и технологий для SOC как Service (SOCasS)


За последние пару лет количество кибератак зашкаливает. Эти атаки нацелены не только на отдельных людей, но и на фирмы, правительства, критическую инфраструктуру и т. д. Традиционные решения, такие как антивирус, брандмауэр, NIDS и NIPS, больше не являются достаточными из-за сложности атак и их подавляющего количества.


Эта серия статей были задуманы как построение аналога SIEM на полном опенсорсе. Подробности будут представлены в следующих статьях.


Оглавление всех постов.



За последние пару лет количество кибератак зашкаливает. Эти атаки нацелены не только на отдельных людей, но и на фирмы, правительства, критическую инфраструктуру и т. д. Традиционные решения, такие как антивирус, брандмауэр, NIDS и NIPS, больше не являются достаточными из-за сложности атак и их подавляющего количества.


Крупные организации обычно интегрируют решения SIEM (Security Information and Event Management) в свою среду для приема и корреляции предупреждений и журналов, генерируемых сетевыми устройствами, устройствами безопасности и конечными точками. Однако это решение отнимает много времени и денег и требует наличия групп безопасности, выделенных для сортировки ложных срабатываний и расследования сложных случаев.


Это приводит к подходу центра операций безопасности, также известного как SOC, который считается новым подходом в мире кибербезопасности для смягчения последствий растущего числа атак в количестве и уровне сложности. SOC-это централизованное подразделение, состоящее из квалифицированных специалистов, процессов и технологий, работающих вместе для обеспечения сквозных возможностей безопасности. К ним относятся предотвращение, обнаружение и расследование угроз и инцидентов кибербезопасности, а также реагирование на них. Но это решение является привилегией только крупных фирм из-за дороговизны команды SOC.


Именно здесь вступает в игру подход оперативного центра безопасности как Службы. SOCaaS передает Центр операций по обеспечению безопасности на аутсорсинг третьей стороне. Это позволит организациям с ограниченными ресурсами повысить уровень своей безопасности и обеспечить более эффективный контроль над поверхностью атаки по более низкой цене, повысить эффективность и сократить время развертывания.


Используемые технологии и инструменты на 100% бесплатны и имеют открытый исходный код.


Детальная схема архитектуры нашего решения:



Это решение позволяет осуществлять хранение журналов, анализ, мониторинг, генерацию предупреждений, генерацию отчетов, обогащение МОК и управление реагированием на инциденты.


На рисунке выше мы собираем все различные типы журналов и событий от хостов, сетевых компонентов. Затем эти журналы поступают в Logstash через безопасный канал (VPN-туннель). Мы использовали ELK beats и wazuh-agent для сбора данных и журналов и отправляли их в ELK SIEM.


После агрегации и обработки данных с помощью Logstash. Elasticsearch будет обрабатывать индексацию данных для оптимизации процесса хранения и поиска данных. Затем данные передаются в Кибану, которая займется анализом и визуализацией сохраненных данных.


В то же время агент WAZUH HIDS отправляет данные обратно менеджеру Wazuh и Elasticsearch.


Оттуда ElastAlert будет следить за новыми интересными событиями и генерировать оповещения внутри улья.


Рабочий процесс затем обогатит дело дополнительными запросами от анализаторов коры головного мозга и MISP, что приведет либо к автоматическому закрытию дела, либо к эскалации к аналитику. Оповещения доступны для аналитиков, чтобы заявить и вызвать обогащение через Cortex и MISP.


Аппаратные и программные компоненты, используемые в этом развертывании:


Hardware:


Эта таблица представляет общую инфраструктуру, требования и услуги, развернутые в нашем проекте.


Кроме того, он может быть развернут в больших средах с правильными конфигурациями и масштабируемой инфраструктурой.


Для конечных точек можно подключить любое устройство, генерирующее журналы, к серверной машине (например, маршрутизаторы, коммутаторы и т. д.… )



Disclaimer :


  • Конечные устройства, показанные на диаграмме, не все были реализованы в этом проекте из-за контекста POC и ограниченных ресурсов.Поэтому брандмауэры и маршрутизаторы не будут охвачены этим POC.


  • Оборудование, которое мы выбрали для этого проекта, не подходит для производства. Рекомендуется выделять больше ресурсов аппаратных средств. Мы бы рекомендовали 8 Vcpu для каждого сервера, 32 ГБ оперативной памяти для первого сервера и 8 ГБ для второго.



Программные компоненты:


  • ELK stack: ELK stack-это аббревиатура, используемая для описания стека, состоящего из трех популярных проектов с открытым исходным кодом: Elasticsearch, Logstash и Kibana. Часто называемый Elasticsearch, стек ELK дает вам возможность агрегировать журналы из всех ваших систем и приложений, анализировать эти журналы и создавать визуализации для мониторинга приложений и инфраструктуры, быстрого устранения неполадок, аналитики безопасности и многого другого.


  • Beats: это легкие грузоотправители данных, которые вы устанавливаете на своих серверах для сбора всех видов операционных данных (например, журналов, метрик или сетевых пакетных данных). Beats отправляют операционные данные в Elasticsearch либо напрямую, либо через Logstash, чтобы их можно было визуализировать с помощью Kibana.


  • Elastalert: это простая структура для оповещения об аномалиях, спайках или других паттернах интереса из данных Elasticsearch. Он работает путем объединения Elasticsearch с двумя типами компонентов, типами правил и предупреждениями. Elasticsearch периодически запрашивается, и данные передаются в тип правила, который определяет, когда будет найдено совпадение. Когда происходит совпадение, оно передается одному или нескольким оповещениям, которые действуют в зависимости от совпадения.


  • Suricata: это механизм обнаружения угроз с открытым исходным кодом, разработанный Фондом открытой информационной безопасности (OISF). Suricata может выступать в качестве системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS), а также использоваться для мониторинга сетевой безопасности.


  • Open Distro для Elasticsearch:


    • Функция оповещения (Alerting): она предоставляет мощную, простую в использовании систему мониторинга событий и оповещения, позволяющую отслеживать Ваши данные и автоматически отправлять уведомления заинтересованным сторонам. Благодаря интуитивно понятному интерфейсу Kibana и мощному API легко настраивать оповещения и управлять ими.
    • Функция безопасности (Security): она включает в себя ряд параметров аутентификации (таких как Active Directory и OpenID), шифрование в полете, мелкозернистый контроль доступа, детальное ведение журнала аудита, расширенные функции соответствия требованиям и многое другое.

  • Praeco: это инструмент оповещения для Elasticsearch-графический интерфейс для ElastAlert, использующий API ElastAlert. С помощью Praeco вы можете интерактивно создавать оповещения для ваших данных Elasticsearch с помощью построителя запросов, отправлять уведомления в Slack, электронную почту, Telegram или конечную точку HTTP POST, а также многие другие функции, предоставляемые этим инструментом.


  • Wazuh: это бесплатная платформа с открытым исходным кодом для обнаружения угроз, мониторинга безопасности, реагирования на инциденты и соблюдения нормативных требований. Он может использоваться для мониторинга конечных точек, облачных сервисов и контейнеров, а также для агрегирования и анализа данных из внешних источников. Агенты Wazuh сканируют контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Они могут обнаруживать скрытые файлы, скрытые процессы или незарегистрированные сетевые прослушиватели, а также несоответствия в ответах на системные вызовы.


  • Nessus Essentials: это бесплатный сканер уязвимостей, который обеспечивает точку входа для оценки уязвимости. Он позволяет сканировать окружающую среду с той же высокой скоростью, углубленной оценкой и удобством безагентного сканирования.


  • TheHive: TheHive описывает себя как " масштабируемую, с открытым исходным кодом и свободную платформу реагирования на инциденты безопасности, предназначенную для облегчения жизни любого специалиста по информационной безопасности, имеющего дело с инцидентами безопасности, которые необходимо быстро расследовать и действовать”.


  • Cortex: Cortex-это еще один программный продукт от той же команды, что и TheHive, и дополняет этот продукт обогащением данных. Cortex позволяет использовать "анализаторы" для получения дополнительной информации о показателях, уже имеющихся в ваших журналах. Он позволяет запрашивать сторонние сервисы по таким индикаторам, как IP, URL и хэш файла, и помечает оповещение этой дополнительной информацией. Нет необходимости вручную отправлять хэш файла в VirusTotal, когда анализатор автоматически сделает это за вас и помечает предупреждение результатами.


  • MISP: Malware Information and Sharing Platform (MISP) — это платформа анализа угроз для обмена, хранения и корреляции показателей компрометации целевых атак, анализа угроз, информации о финансовом мошенничестве и т.д. MISP используется сегодня во многих организациях для хранения, обмена знаниями, совместной работы над показателями кибербезопасности, анализа вредоносных программ с целью обеспечения лучшей защиты безопасности.



Телеграм чат по Elasticsearch: https://t.me/elasticsearch_ru

Теги:
Хабы:
Если эта публикация вас вдохновила и вы хотите поддержать автора — не стесняйтесь нажать на кнопку
Всего голосов 9: ↑9 и ↓0+9
Комментарии19

Публикации

Истории

Работа

Ближайшие события

Конференция «IT IS CONF 2024»
Дата20 июня
Время09:00 – 19:00
Место
Екатеринбург
AdIndex City Conference 2024
Дата26 июня
Время09:30
Место
Москва
Summer Merge
Дата28 – 30 июня
Время11:00
Место
Ульяновская область