זיהוי ניסיונות פריצה למארחים באמצעות ELK

מדריכים
ElasticSearch Kibana

מה זה SIEM?

SIEM מייצג Security Information and Event Management. זוהי פתרון תוכנה המספק ניתוח בזמן אמת של אזעקות אבטחה הנוצרות על ידי חומרה ויישומים רשת. SIEM אוסף נתוני יומן ממקורות רבים כגון מכשירים רשת, שרתים ויישומים, ואז מקבץ ומנתח את הנתונים האלה כדי לזהות איומים אבטחה.

SIEM יכול לעזור לארגונים לשפר את עמדת האבטחה שלהם על ידי מתן תצוגה מרכזית של אירועים אבטחה ברחבי הממשק IT כולו. זה מאפשר לאנליסטים אבטחה לזהות במהירות ולהגיב לאירועי אבטחה ומספק דוחות מפורטים למטרות תאימות.

חלק מהמאפיינים המרכזיים של פתרונות SIEM כוללים:

  1. איסוף וניתוח יומן
  2. קיבוץ אירועים והתראות בזמן אמת
  3. ניתוח התנהגות משתמשים וישויות
  4. שילוב תכסיס איומים
  5. דיווח תאימות

SIEM משמש לעתים קרובות בשילוב עם פתרונות אבטחה אחרים, כמו מגשרים, מערכות גילוי פלירות ותוכנה נגד וירוסים, כדי לספק פיקוד ותגובה מקיף לאירועים אבטחה.

מה זה ELK?

ELK היא ראשי תיבות לסט כלים תוכנה פתוחים המשמשים לניהול וניתוח יומנים: Elasticsearch, Logstash, ו-Kibana.

Elasticsearch היא מנוע חיפוש וניתוח מרובע המספק חיפוש מהיר ואחסון יעיל של כמויות גדולות של נתונים. הוא מיועד להיות מתקדם ויכול להתמודד עם מספר גדול של שאילות ופעולות אינדקסינג בזמן אמת.

Logstash הוא כלי איסוף ועיבוד נתונים המאפשר לך לאסוף יומנים ונתונים אחרים ממקורות רבים, כגון קבצי יומן, syslog ומקורות נתונים אחרים, ולהפוך ולהעשיר את הנתונים לפני שמשלח אותם ל-Elasticsearch.

Kibana היא ממשק משתמש באינטרנט המאפשר לך להמחיש ולנתח נתונים שמאוחסנים ב-Elasticsearch. היא מספקת טווח של ויזואליזציות אינטראקטיביות, כגון גרפים קוויים, טבלאות בר, ומפות חום, כמו גם תכונות כמו לוחות מחוונים ואזעקות.

ביחד, שלושת הכלים הללו יוצרים פלטפורמה חזקה לניהול וניתוח יומנים וסוגים אחרים של נתונים, המכונה בדרך כלל גרעין ELK או גרעין אלסטי. גרעין ELK משמש באופן נרחב בפעילויות ה-IT, מעקב אחר בטיחות, וניתוח עסקי כדי לקבל תובנות מכמויות גדולות של נתונים.

שיבוט נתוני SIEM לגרעין ELK

שיבוט נתוני SIEM לגרעין ELK יכול להיות שימושי עבור ארגונים שמעוניינים לשלב את יכולות ניהול אירועי בטיחות של SIEM עם תכונות ניהול יומן וניתוח של ELK.

הנה השלבים הראשיים לשיבוט נתוני SIEM לגרעין ELK:

  1. הגדר את SIEM לשלוח נתוני יומן ל-Logstash, שהוא חלק מגרעין ELK.
  2. צור קובץ תצורה של Logstash המגדיר את הקלט, הסנינים והפלט לנתוני SIEM.
  3. התחל את Logstash ווידא שהוא מקבל ומעבד נתוני SIEM באופן תקין.
  4. הגדר את Elasticsearch לקבל ולאחסן את נתוני SIEM.
  5. צור חיבורים ולוחות מחויכים ב-Kibana להצגת נתוני SIEM.

הנה דוגמה לקובץ תצורה של Logstash המקבל הודעות Syslog מ-SIEM ושולח אותם ל-Elasticsearch:

Python

  

	input {
	  syslog {
	    type => "syslog"
	    port => 5514
	  }
	}
	filter {
	  if [type] == "syslog" {
	    grok {
	      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
	      add_field => [ "received_at", "%{@timestamp}" ]
	      add_field => [ "received_from", "%{host}" ]
	    }
	  }
	}
	
	output {
	  elasticsearch {
	    hosts => ["localhost:9200"]
	    index => "siem"
	  }
}

ברגע שLogstash מוגדר ופועל, נתוני SIEM יושמעו לתוך Elasticsearch וניתן יהיה להציג ולנתח אותם ב-Kibana. חשוב לוודא שהגישות האבטחה המתאימות נמצאות במקום כדי להגן על הסביבות SIEM ו-ELK, ולפקח ולהתראות על כל אירועי אבטחה.

גילוי ניסיון פריצה למארח

גילוי ניסיונות פריצה למארחים באמצעות SIEM ב-ELK כרוך בניטור וניתוח יומני מערכת וזרם תקשורת כדי לזהות פעילות חשודה שעשויה להצביע על ניסיון פריצה. הנה צעדים רמה גבוהה להגדרת גילוי ניסיון פריצה למארחים באמצעות SIEM ב-ELK:

  • הגדר את המארחים לשלוח יומני מערכת וזרם תקשורת למערכת איסוף לוגים מרכזית.
  • הגדר את Logstash לקבל ולנתח את הנתונים של היומנים והזרם התקשורתי מהמארחים.
  • הגדר את Elasticsearch לאחסן את הנתונים היומניים הנתונים.
  • השתמש ב-Kibana לניתוח הנתונים היומניים ויצירת לוחות ואזהרות לזיהוי ניסיונות פריצה פוטנציאליים.

הנה כמה טכניקות ספציפיות שניתן להשתמש בהן לגילוי ניסיונות פריצה למארחים:

  • לפגום ניסיונות כניסה שנכשלו: חפש ניסיונות כניסה שנכשלו חוזרים מכתובת IP אחת, מה שעשוי להצביע על תקיפת כוח ברוט. השתמש ב-Logstash לעיבוד יומני המערכת לאירועים של כניסה שנכשלה ויצור מסך או אזהרה ב-Kibana לפיקוח על ניסיונות כניסה שנכשלו יתרה.
  • לפגום תעבורה רשת חשודה: חפש תעבורה רשת לכתובת IP או מתא רשומים רעים. השתמש ב-Logstash לעיבוד נתוני תעבורה רשת ויצור מסך או אזהרה ב-Kibana לפיקוח על דפוסי תעבורה חשודים.
  • לפגום שינויים במערכת הקבצים: חפש שינויים לא מורשים בקבצים או בהגדרות של המערכת. השתמש ב-Logstash לעיבוד אירועי שינוי במערכת הקבצים ויצור מסך או אזהרה ב-Kibana לפיקוח על שינויים לא מורשים.
  • לפגום פעילות תהליך חשודה: חפש תהליכים שמתנהלים עם זכותות מדורגות או שמבצעים פעולות מיוחדות. השתמש ב-Logstash לעיבוד אירועי תהליך ויצור מסך או אזהרה ב-Kibana לפיקוח על פעילות תהליך חשודה.

על ידי יישום טכניקות אלה ופיקוח רגיל על היומנים ותעבורת הרשת, ארגונים יכולים לשפר את יכולתם לגילוי ותגובה לניסיונות פיגועים במארחים באמצעות SIEM ב-ELK.

הגדרת אזהרה ב-ELK לגילוי פיגוע במארח

כדי להגדיר אזהרה ב-ELK לגילוי פיגוע במארח, אתה יכול לעקוב אחר שלבים כלליים אלה:

  • יצירת שאילתה חיפוש ב-Kibana המסננת יומנים לאירועי פיגוע במארח. לדוגמה, אתה יכול להשתמש בשאילתה הבאה לגילוי ניסיונות כניסה שנכשלו:
Python

  

from elasticsearch import Elasticsearch

es = Elasticsearch()

search_query = {
  "query": {
    "bool": {
      "must": [
        {
          "match": {
            "event.dataset": "auth"
          }
        },
        {
          "match": {
            "event.action": "failed_login"
          }
        }
      ]
    }
  }
}

res = es.search(index="siem", body=search_query)

for hit in res['hits']['hits']:
    print(hit['_source'])
  • ברגע שיצרת את שאילתת החיפוש, שמור אותה כחיפוש מורשה ב-Kibana.
  • היכנס לממשק של אזהרות ופעולות של Kibana ויצר מופע חדש. בחר את החיפוש המורכב שיצרת בשלב 2 כבסיס לאזהרה.
  • Graphical user interface, application Description automatically generated 
  • הגדר את האזהרה להתרעה כאשר מגיעים לסף מסוים. לדוגמה, תוכל להגדיר את האזהרה להתרע כאשר יש יותר מ-5 נסיונות כניסה נכשלים בטווח של 5 דקות.
  • הגדר את האזהרה לשלוח הודעה, כגון דואר אלקטרוני או הודעה ב-Slack, כשהיא מתרעה.
  • בדוק את האזהרה כדי לוודא שהיא פועלת כצפוי.

ברגע שהאזהרה מוגדרת, היא תתרע באופן אוטומטי כשהיא מז别ה אירוע ניסיון פריצה במארח, כגון ניסיון כניסה נכשל. זה יכול לעזור לארגונים לז别ות ולהגיב לאיומים באופן יעיל ויעיל. חשוב לבדוק ולעדכן את האזהרות בקביעות כדי לוודא שהן מז别ות את האירועים הבטיחותיים הרלוונטיים והחשובים ביותר.

סיכום

השימוש ב-ELK לז别ת ניסיונות פריצה במארח הוא גישה יעילה לשפר את עמדת הבטחון האבטחתית של ארגון. ELK מספק שילוב עוצמתי של איסוף יומנים, פיענוח, אחסון, ניתוח ויכולות של התראות, מה שמאפשר לארגונים לז别ות ולהגיב לניסיונות פריצה במארח בזמן אמת.

על ידי ניטור יומני המערכת והזרם הרשת, ובאמצעות שאילתות מתקדמות ומנגנוני התראה, ELK יכול לעזור לארגונים לז别ות מגוון רחב של ניסיונות פריצה במארח, כולל ניסיונות כניסה נכשלים, זרם רשת חשוד, שינויים במערכת הקבצים ופעילות תהליכים חשודה.

ביצוע אימפלמנט של אסטרטגיה חזקה לגילוי ניסיונות פיתול של מארחים באמצעות ELK דורש תכנון מדוקדק, תצורה ובדיקה. עם זאת, בידע וכלים הנכונים, ארגונים יכולים ליצור מערכת מעקב אבטחה מקיפה המספקת רגישות בזמן אמת לתוך הרשת שלהם, משפרת את זמני התגובה לאירועים ועוזרת למנוע פריצות אלימות לפניהן.

Source:
https://dzone.com/articles/host-hack-attempt-detection-using-elk