مقالات
امنیت الاستیک استک

امنیت الاستیک استک؛ استفاده و ایجاد قوانین تشخیص

الاستیک استک یکی از سرویس‌های محبوب در دنیای دواپس است و اپلیکیشن امنیت الاستیک استک نیز یکی از ابزارهای مهم در کنار آن است.

اما چرا این اپلیکیشن، اپلیکیشن مهمی است و استفاده از آن در پروژه چه اهمیتی دارد؟ در این مقاله نگاهی به برنامه امنیت الاستیک استک یا Elastic Security app انداخته‌ایم. مزایای استفاده از آن را به شما معرفی کرده‌ایم و نحوه استفاده و ایجاد قوانین تشخیص را نیز در آن گفته‌ایم. اگر قصد آشنایی بیشتر با این سرویس مهم را دارید، به شما پیشنهاد می‌کنیم ادامه این مقاله را از دست ندهید.

نگاهی کلی به برنامه امنیت الاستیک استک

برنامه امنیت الاستیک استک یا Elastic Security app یک نقطه مرکزی برای تامین امنیت الاستیک است. این برنامه شامل اخبار امنیتی، هاست و داده‌های شبکه، تشخیص‌ها، جداول زمانی، موارد و یک نمای انتزاعی از مدیریت پیکربندی نقطه پایانی سرویس الاستیک است. برای دریافت برنامه امنیت الاستیک، روی منوی همبرگری کلیک کنید و گزینه Overview که زیر تیتر Security قرار دارد را انتخاب کنید. این صفحه لندینگ به شما نکات برجسته‌ای را که در برنامه امنیت الاستیک وجود دارد را نمایش می‌دهد. از این قسمت می‌توانیم به بخش‌های مشخصی که داده‌های مورد نظر در آن وجود دارند، وارد شویم.

شما می‌توانید در این قسمت با گشتن در این صفحه، نگاهی کلی به انواع داده‌هایی که در این صفحه وجود دارد بیندازید. مهم‌تر از همه بخش‌ها،  در پایین صفحه Overview، مجموعه داده‌های مختلف جدا شده بر اساس هاست و شبکه وجود دارد که آن‌ها را به Elastic Stack ارسال می‌کنیم. صفحه Overview به ما اجازه می‌دهد که اطلاعات مهمی را که به کلیت فضای برنامه مربوط است را رصد کنیم. برای گرفتن اطلاعات اضافی نیز باید از تب‌های بخش بالای صفحه Overview استفاده کنیم. در این قسمت شما را با بخش Overview اپلیکیشن امنیت الاستیک (Elastic Security app) آشنا کردیم. در ادامه به معرفی موتور تشخیص یا detection engine می‌پردازیم.

موتور تشخیص Elastic Security

بخش detections یا تشخیص، برای بررسی و ایجاد منطق تشخیص استفاده می‌شود. منطق تشخیص می‌تواند نتیجه ضربه یک بدافزار یا رفتار مخرب در یک سیستم باشد. در الاستیک نسخه 7.12، موتور تشخیص بیش از ۵۰۰ قانون پیش ساخته دارد که توسط هوش الاستیک و تیم آنالیز و اجتماع الاستیک تشکیل شده‌اند.

با رعایت موضوع در باقی قسمت‌های کیبانا، می‌توانید اطلاعات و الزامات مشخصی را مستقیما از طریق بخش detections به دست آورید. در این قسمت به بررسی بخش‌های مختلف موتور تشخیص یا detection engine در اپلیکیشن امنیتی الاستیک می‌پردازیم. از طرفی به بررسی بخش‌های مدیریتی آن نیز می‌پردازیم.

مدیریت قوانین موتور تشخیص

یکی از قدرتمندترین ویژگی‌های اپلیکیشن امنیتی الاستیک، قوانین تشخیص آن است. قوانین تشخیص یا detection rules جستارهای از پیش تعریف شده‌ای هستند که اطلاعات مختلف از منابع گوناگون را بررسی می‌کند تا بتواند رفتارهای مخرب را شناسایی کند. فرض کنید شما سیستم‌هایی دارید که از اتصالات پروتکل ریموت دسکتاپ یا RPD (Remote Desktop Protocol) خارج از شبکه شما استفاده می‌کند. اگر کسی تلاش کند تا به شل امنیتی یا SSH (Secure Shell) شما نفوذ کند، یا تلاش کند رجیستری ویندوز شما را استخراج کند، این‌ها به عنوان فعالیت‌های مخرب در فضای سیستم شما شناسایی می‌شوند. لازم به ذکر است که آنتی ویروس‌های سنتی این گونه فعالیت‌ها را نمی‌توانند تشخیص دهند.

الاستیک صدها قانون متن‌باز برای موتور تشخیص ارائه داده است و همه‌ آن‌ها را در گیت‌هاب در دسترس افراد قرار داده است. همان‌طور که به آن اشاره کردیم، ۵۴۶ قانون موجود برای استفاده رایگان وجود دارند. این قانون‌ها تنها شامل قانون‌های موجود در گیت‌هاب نمی‌شوند. بلکه بعضی از آن‌ها به صورت اتوماتیک در کیبانا بارگذاری می‌شوند. در ادامه، سه تب قوانین (Rules)، نظارت بر قوانین (Rules Monitoring) و لیست‌های استثنا (Exception Lists) را بررسی می‌کنیم.

قوانین (Rules)

از طریق این تب، می‌توان قوانین مختلف را فعال کرد، قوانین مختلف را بر اساس اسم آن‌ها جستجو کرد یا در قوانین مختلف عمیق شد. کلیک کردن روی یک قانون، اطلاعات اصلی درباره آن قانون را به شما نشان خواهد داد. همچنین دلیل وجود آن قانون و مسائل مربوط به آن را نیز می‌توانید ببینید. این نمای کلی از قانون‌ها به شما کمک خواهد کرد تا بهترین قانون ممکن را که می‌خواهید در فضای کار خود ببینید را شناسایی کنید. برای مثال اگر شما نیازی به امنیت سرویس‌های ابری، لینوکس و مک ندارید، نیازی برای فعال سازی قوانین امنیتی مربوط به آن را نیز ندارید.

نظارت بر قوانین (Rule Monitoring)

انتخاب تب نظارت بر قوانین، به شما نمایی کلی از مدت‌زمان اجرای هر قانون در سیستم نمایش خواهد داد. نظارت بر قوانین یا Rule Monitoring می‌تواند برای توجه به تاثیر عملکرد مفید باشد؛ شما می‌توانید با بررسی زمان اجرای هر قانون، نتیجه بگیرید که آیا نیازی به اضافه کردن منابع وجود دارد، یا اصلا استفاده از آن قوانین برای شما مناسب خواهند بود یا خیر. به همین دلیل با بررسی این تب می‌توانید تصمیمی مطمئن‌تر درباره قوانین بگیرید.

لیست‌های استثنا (Exception Lists)

تب لیست‌های استثنا جایی است که در آن می‌توانید هر استثنایی که در مقابل قوانین ساخته شده است را مشاهده کنید. مشاهده این قسمت نیز دید بهتری نسبت به قوانین به شما می‌دهد.

ساخت قانون تشخیص (Detection Rules)

علاوه بر ۵۴۶ قانون موجودی که در الاستیک وجود دارد، شما می‌توانید قوانین دیگری را نیز برای فضای کاری خود تعریف کنید. این قوانین می‌توانند با استفاده از مدل‌های پایتون که الاستیک آن‌ها را تامین کرده است اتفاق بیفتد، یا از طریق سرویس کیبانا ایجاد شود. برای شروع باید روی گزینه Create new rule کلیک کنید. ۵ نوع قانونی که می‌توانید آن را در اپلیکیشن امنیت الاستیک طراحی کنید، قوانین زیر هستند.

  • یک کوئری سفارشی (KQL یا Lucene)
  • قانون مبتنی بر ماشین لرنینگ
  • Threshold
  • Event Correlation
  • Indicator Match

هرکدام از این قوانین به نوبه خود می‌توانند برای نیاز شما مفید واقع شوند.

کلام آخر

در این مقاله شما را با اپلیکیشن امنیت الاستیک استک آشنا کردیم. همان‌طور که در مقاله خواندیم، دانستیم که با استفاده از این اپلیکیشن می‌توان قوانین تشخیص مشخصی را برای سرویس الاستیک استک استفاده کرد که هرکدام با توجه به نیاز شما، می‌توانند مفید واقع شوند. از طرفی دانستیم که علاوه بر ۵۴۶ قانونی که در این سرویس به صورت پیش‌فرض وجود دارد، می‌توانید قوانین مربوط به آن را خودتان نیز طراحی کنید.

استفاده از این اپلیکیشن در سرویس الاستیک استک بسیار مناسب است و بسیاری از کاربران برای افزایش امنیت اطلاعات خود از آن استفاده می‌کنند. امیدواریم از خواندن این مقاله نهایت استفاده را برده باشید.

ارسال دیدگاه