ما هو ELK Stack وكيفية تطبيقه على أمن المعلومات

تأليف جاد حمدوش وإسماعيل بوعرفة.

إن تأمين البنية التحتية لتكنولوجيا المعلومات لا يتعلق فقط بنشر أدوات دفاعية قوية حول الأصول. هو أكثر حول منع وكشف أي شذوذ. يتطلب ذلك منهجًا للرصد والعديد من الأدوات المرتبطة بهذا النشاط. المراقبة هي كل ما يتعلق بقدرة جمع الأحداث الأمنية وترجمتها إلى أعمال (رفع التنبيهات) والمعلومات (KPIs).

لا تستطيع كل شركة تحمل عمليات نشر ضخمة. ومع ذلك ، هناك أهمية في تتبع ما يحدث في نشاط تكنولوجيا المعلومات وفي رفع الإنذارات عندما يحدث خطأ ما. تعتبر مراقبة الأداء والشذوذ خطوة أساسية عند تأمين البنية التحتية للشركة.

جميع معدات تكنولوجيا المعلومات تنتج سجلات. هذه هي مجموعات من كل حدث يحدث (محاولات الاتصال ، الوقت ، الأصل ، الوجهة ...). بشكل عام ، في أنظمة تكنولوجيا المعلومات البيئية نتعامل مع سجلات التشغيل والأمان. تأتي هذه السجلات المختلفة من البنية الأساسية للأجهزة والبرامج لدينا (أجهزة التوجيه ، والمفاتيح ، والتطبيقات ، وقواعد البيانات ، والخوادم ...). يمكن أن يتيح لنا تحليل هذه السجلات الحصول على عرض عام للنشاط ، والتحقيق في حادث ، والكشف عن الأنشطة المشبوهة ...

بالنظر إلى السياق السابق ، تبحث فرق الأمان عن حل لإدارة هذا النشاط وتصوره. مكدس ELK عبارة عن مجموعة من ثلاث أدوات مفتوحة المصدر (ElasticSearch و Logstach و Kibana) تتيح لك تخزين كمية كبيرة من السجلات من أجل تصورها بشكل أسهل.

عبر https://www.elastic.co

ElasticSearch عبارة عن محرك بحث وتحليل موسع RESTful يتيح لنا تخزين كميات كبيرة من المعلومات بتنسيق JSON في محرك فهرسة قوي. في الواقع ، يمكن أن ينظر إلى البحث المرن باعتباره محرك بحث يستخدم Lucence (مكتبة Apache) لفهرسة المحتوى.

Logstash عبارة عن أداة تجميع بيانات ومعالج بيانات استنادًا إلى مجموعة من المكونات الإضافية المختلفة. تتيح لك هذه المكونات الإضافية تكوين الأداة بسهولة لجمع البيانات وتحميلها ونقلها في عدد من البنيات المختلفة وإرسالها إلى ElasticSearch.

يوفر Kibana واجهة المستخدم التي يمكن الوصول إليها عن طريق متصفح الويب للاستعلام عن البحث المرن. تتيح لنا هذه الأداة أن يكون لدينا العديد من المرئيات المختلفة مثل الرسوم البيانية ، الرسوم البيانية الخطية ، المخططات الدائرية ، أمة الله ، وغيرها. يمكنك أيضًا استخدام لغة Vega لتصميم تصوراتك الخاصة. ستلاحظ أنك لن تحتاج إلى معرفة متقدمة لفهم كيفية طلب البحث المرن من Kibana.

يتطلب إعداد مكدس ELK بعض المعرفة التقنية ، خاصة لتكوين Logstash ، ولكن الفوائد عديدة:

  • بنية قابلة للتكيف: لأن كل عنصر من عناصر المكدس يمكن أن يعمل بشكل مستقل ويمكن نشره على أجهزة أو مناطق مختلفة من البنية.
  • عمليات البحث السريعة ، في الوقت الفعلي تقريبًا: توجد ميزة البحث المرن ، وفقًا لنظرية CAP ، في زوج AP (Avility-Partition Tolerance) ، الذي يسعى إلى توفير وقت استجابة قياسي أثناء توزيع البيانات.
  • المصدر المفتوح: الميزات والإضافات الجديدة للكشف عن الحالات الشاذة قيد التطوير أو في مرحلة الاختبار. لقد تم إضافة مكون Learning Machine إلى حزمة ELK ، لذلك ستكون هناك عدة خيارات متاحة في المستقبل القريب.

لاحظ أن تطبيق FlexSearch موجه نحو BigData & Hadoop وأن الحل بأكمله لديه بالفعل إمكانيات مختلفة لتطبيق السحاب.
 
إن تنفيذ ELK يعني تنفيذ البيانات الضخمة والمبتكرة والموجهة نحو التقنيات الكبيرة والتي توفر أداة ممتازة للتحقيق والطب الشرعي وتحليل الأحداث الأمنية.

قيود المكدس ELK

  • التعقيد: بالإضافة إلى إعداد ELK Stack ، يتطلب الأمر الكثير من الوقت والعمل والجهد لاستخراج قيمة مضافة من المكدس.
  • أمان المكدس نفسه: لم يتم تمكين جميع إعدادات الأمان تقريبًا بشكل افتراضي. عند نشر الحزمة ، من المهم نشر جميع التدابير الأمنية لحماية مجموعة ElasticSearch من الإنترنت.
  • لا تتوفر دورات رسمية أو شهادات مجانية: لا توجد دورات رسمية متاحة مجانًا كما فعلت Splunk في الإصدارات الأولى.

المعيار ELK ضد Splunk

Splunk عبارة عن مجموعة من المنتجات / الحلول التي توفر استجابة للاحتياجات نفسها مثل مكدس ELK. يعمل بشكل مختلف مثل ELK Stack وهو أيضًا أكثر اكتمالًا. لاحظ أن Splunk ليست مفتوحة المصدر وأنها مملوكة لشركة Splunk.

خارطة الطريق لتحقيق النجاح ELK

لم تكن جميع عمليات نشر ELK قصص نجاح. يوصى بالبدء في نشر دليل على المفهوم (POC) لفهم كيفية عمله ، والقيود والاحتياجات المستقبلية. يتم سرد بعض خطوط الأساس:

  1. اختيار المعدات والتطبيقات للإشراف عليها.
  2. اختر الطريقة الصحيحة لإعادة توجيه السجلات إلى Logstash (نوصي باستخدام Beats).
  3. اختر البنية الأكثر تكييفًا (النشر وخادم ELK أو وضع كل أداة في جزء منفصل من البنية).
  4. العمل مع Grok في Logstash (بعض Regex متوفرة في الإنترنت).
  5. ابدأ تشغيل سجلات الشحن وإنشاء لوحات معلومات للتعرّف على Kibana.
عبر https://www.elastic.co

أمن ELK الخاص

من المهم تأمين أدوات الأمان. سنقوم بتحليل ELK Security الموجود في ثالوث CIA (السرية - النزاهة - التوفر):

السرية: حماية قاعدة بيانات البحث المرنة التي تمنع الوصول من أي عنوان IP (لا تعرضها على الشبكات العامة أو الشبكات الفرعية غير الآمنة).

النزاهة: يحتاج Kibana فقط للوصول إلى ElasticSearch. حماية سلامة لوحات المعلومات الخاصة بك ومعلومات السجل التي تتيح التحكم في الوصول باستخدام Nginx Proxy أو مع قواعد جدار الحماية.

التوفر: قم بنسخ سجلاتك احتياطيًا إذا لم يكن Logstash متاحًا لإرسالها إلى خادم Linux آخر.

عبر https://www.elastic.co

الكلمات الأخيرة

عندما يتعلق الأمر بامتصاص كميات كبيرة من البيانات غير المهيكلة وتصورها ، فكر: "ELK Stack" يمكنها القيام بالمهمة. يعد ELK Stack أداة جيدة لجمع وتخزين واستعلام البيانات. تتمثل الفكرة في إنشاء لوحات معلومات مزودة بقوة Kibana ، وتخزين البيانات في قاعدة بيانات noSQL لـ ElasticSearch واستيعاب البيانات باستخدام Logstash.

عبر: https://www.elastic.co

كما تم نشر ELK Stack حالات استخدام أخرى مثل تحليل التسويق أو التمويل. تعرف على المزيد حول تحليل التسويق هنا والتمويل هنا.