Какво представлява ELK Stack и как да го приложим за сигурността на информацията

Написано от Яд Хамдух и Исмаел Буарфа.

Сигурността на информационната инфраструктура не е свързана само с разполагането на твърди защитни инструменти около активите. Става въпрос повече за предотвратяване и откриване на някаква аномалия. Това изисква подход за мониторинг и много инструменти, свързани с тази дейност. Мониторингът е свързан с капацитета за събиране на събития за сигурност и превръщането им в действия (повишаване на сигнали) и информация (KPI).

Не всяка компания може да си позволи масово внедряване. Въпреки това има значение за проследяване на случващото се в ИТ дейността и за повишаване на алармите, когато нещо се обърка. Мониторингът на резултатите и аномалиите е съществена стъпка при осигуряване на инфраструктурата на компанията.

Цялото ИТ оборудване произвежда дневници. Това са компилации от всяко събитие, което се случва (опити за връзка, време, начало, местоназначение…). Като цяло в ИТ екосистемите се занимаваме с оперативни и защитни дневници. Тези различни регистрационни файлове идват от нашата хардуерна и софтуерна инфраструктура (рутери, комутатори, приложения, бази данни, сървъри ...). Анализът на такива регистрационни файлове може да ни позволи да имаме общ поглед върху дейността, да разследваме инцидент, да открием подозрителни дейности ...

Предвид предишния контекст екипите за сигурност търсят решение за управление и визуализиране на тази дейност. Стекът ELK е комбинация от три инструмента с отворен код (ElasticSearch, Logstach и Kibana), който ви позволява да съхранявате голямо количество трупи, за да ги визуализирате по-лесно.

чрез https://www.elastic.co

ElasticSearch е разпределена машина за търсене и анализ на RESTful, която ни позволява да съхраняваме големи количества информация във формат JSON в мощна машина за индексиране. Всъщност ElasticSearch може да се разглежда като търсачка, която използва Lucence (библиотека Apache) за индексиране на съдържанието.

Logstash е събирач на данни и процесор на данни, базиран на набор от различни приставки. Тези приставки ви позволяват лесно да конфигурирате инструмента за събиране, зареждане и прехвърляне на данни в редица различни архитектури и да ги изпращате до ElasticSearch.

Kibana предоставя потребителския интерфейс, достъпен от уеб браузъра, за да запитвате ElasticSearch. Този инструмент ни позволява да имаме няколко различни визуализации като хистограми, линейни графики, диаграми на пай, слънчеви изблици и други. Можете също да използвате езика на Вега, за да проектирате свои собствени визуализации. Ще забележите, че няма да се нуждаете от усъвършенствани знания, за да разберете как да заявите ElasticSearch от Кибана.

Настройката на стека ELK изисква известни технически познания, особено за конфигурирането на Logstash, но предимствата са многобройни:

  • Адаптируема архитектура: Тъй като всеки елемент от стека може да работи независимо и може да бъде разгърнат на различни устройства или области от архитектурата.
  • Бързо търсене, почти в реално време: ElasticSearch, според теоремата на CAP, е в двойката AP (Availability-Partition Tolerance), която се стреми да осигури рекордно време за реакция, докато разпространява данните.
  • Open Source: Нови функции и плъгини за откриване на аномалии са в процес на разработка или в тестова фаза. Компонентът за машинно обучение току-що е добавен към стека ELK, така че в близко бъдеще ще бъдат налични няколко опции.

Обърнете внимание, че ElasticSearch е ориентиран към BigData & Hadoop и че цялото решение вече има различни възможности за внедряване в облак.
 
Внедряването на ELK означава внедряване на иновативни технологии с отворен код, ориентирани към Big Data, които предоставят отличен инструмент за разследване, криминалистика и анализ на събития със сигурност.

Ограниченията на ELK стека

  • Сложност: Освен създаването на стека ELK, това изисква много време, работа и усилия за извличане на добавена стойност от стека.
  • Защита на самия стек: Почти всички настройки за защита не са активирани по подразбиране. Когато разгръщате стека е важно да разгърнете всички мерки за сигурност, за да защитите клъстера ElasticSearch от интернет.
  • Няма официални курсове или безплатни сертификати: Няма официални официални курсове, както Splunk направи в първите версии.

Benchmark ELK срещу Splunk

Splunk е набор от продукти / решения, който предлага отговор на същите нужди като стека ELK. Работи по различен начин като ELK Stack и освен това е по-завършен. Обърнете внимание, че Splunk не е с отворен код и е собственост на Splunk Inc.

Пътна карта за успеха на ELK

Не всички внедрения на ELK бяха истории за успех. Препоръчва се да започнете да прилагате доказателство за концепция (POC), за да разберете как работи, ограничението и бъдещите нужди. Изброени са някои базови линии:

  1. Изберете оборудването и приложенията, които ще контролирате.
  2. Изберете правилния начин за пренасочване на логове към Logstash (препоръчваме да използвате Beats).
  3. Изберете най-адаптираната архитектура (внедряване и ELK сървър или поставяне на всеки инструмент в отделна част от архитектурата).
  4. Работете с Grok в Logstash (някои Regex са достъпни в Интернет).
  5. Започнете да доставяте дневници и да създавате табла за управление, за да се запознаете с Кибана.
чрез https://www.elastic.co

Собствената сигурност на ELK

Важно е да осигурите защитните инструменти. Ще анализираме ELK Security, базирана в триадата на ЦРУ (конфиденциалност - интегритет - наличност):

Поверителност: Защитете базата данни на ElasticSearch, като деактивирате достъпа от който и да е IP (не го излагайте на обществени мрежи или несигурни подмрежи).

Целостност: Само Кибана трябва да има достъп до ElasticSearch. Защитете целостта на информационните табла и информацията за регистрация, позволяваща контрол на достъпа с Nginx Proxy или с правила за защитна стена.

Наличност: Архивирайте вашите регистрационни файлове, ако Logstash не е наличен, изпращайки ги до друг Linux сървър.

чрез https://www.elastic.co

Заключителни думи

Когато става въпрос за усвояването на големи количества неструктурирани данни и визуализирането им, помислете: „ELK Stack“ може да свърши работа. Стекът ELK е добър инструмент за събиране, съхраняване и запитване на данни. Идеята е да се създадат табла за управление със силата на Kibana, да се съхраняват данните в noSQL базата данни на ElasticSearch и да се абсорбират данните с Logstash.

чрез: https://www.elastic.co

ELK Stack също е използван за други случаи на употреба като маркетингов анализ или финанси. Научете повече за маркетинговия анализ тук и финансите тук.