8. ELK-Stack lopputulokset

Mietteitä tuloksista ja jatkokehittäminen

Mitä opimme

Opimme asentamaan ELK- Stack järjestelmän, säilyttämään tietoja turvallisesti, tiedon hyödyntämisen ja tiedon keräämisen.

Tavoitteena ja tarkoituksena oli:

• Loki tietojen keräys – Kerätään hyödyllisiä lokeja Xubuntu ja Debian käyttöjärjestelmistä.

• Saada tietoa järjestelmästä – Kerättyjen tietojen perusteella.

• Tiedon analysointi – Katsotaan minkä tiedon kerääminen on hyödyllistä.

• Visualisoida tiedot – Että voidaan havainnollistaa tietojen tarkoitus paremmin.

• Havaita epätavallinen toiminta – Hälytys järjestelmien avulla.

Opimme tiedon keräämisen tapoja ja miten tietoja voidaan hyödyntää:

• Tiedon käsittelystä, opimme miten muuntaa lokisanomat merkityksellisiksi tiedoiksi analysoinnin helpottamiseksi.

• Tiedon yhdistämisestä, opimme kuinka kerätä ja lähettää lokit useista tietolähteistä.

• Tiedon analysoinnista, opimme miten leikata tietoja tutkimalla niitä ja luomalla visualisointeja.

• Tiedon tallennuksesta, opimme miten tallentaa tietoja pidemmäksi ajaksi seurannan, trendianalyysin ja tietoturvan käyttötapausten seurantaan.

Tietoja kerättiin alla olevalla “järjestelmä ja topologia” kohdan mukaisella ELK- Stack palvelimella.

Hyvää ja huonoa

Kibanan selkeä käyttöliittymä, josta eri asetukset ja muut tarvittavat asiat löytyi helposti. Kibanan käyttöliittymä vaikutti aika raskaalta, joten se vei ekstra tehoja palvelimelta.

Logstashilla pystyi suodatamaan helposti tulevaa dataa haluttuun muotoon. Mutta ongelmana oli taas se, että eri Beatseista tulee dataa eri muodossa.

Filebeat ja Metricbeat olivat helppokäyttöisiä ja niitä pysty muokata oman maun mukaan hakemaan tiettyjä lokeja mitä järjestelmästä löytyi.

ElastAlert oli todella monipuolinen lisäosa, jolla pystyy lähettämään varoituksia moniin eri palveluihin kuten s-postiin, slackiin tai muihin viestintä sovelluksiin.

Hyvää ELK- Stackissä oli myös se, että kaikki teksti muotoiset lokitiedot voidaan hyvin muuntaa visualisoiteihin ja ElastAlertilla hälytyksiin. Huonoa ELK-Stackin asennuksessa, jos ei osaa Linuxia se voi olla vaikea asentaa.

Järjestelmän mahdollinen jatkokehitys

1. Trendianalyysit eli esimerkiksi kerätä Web-palvelin lokeja ja luoda kehitys käyriä kävijöistä.

2. Kerätä loki tietoja sisäverkon ulkopuolelta esim. Pilvipalvelusta SSL salauksen avulla.

Viimeisin versio: Järjestelmä ja topologia

Järjestelmä

• HPE ProLiant ML10 Gen9 Entry –palvelin.

• Palvelimeen asennettu Proxmox hypervisor eli tyypin-1 virtualisointi alusta.

• Proxmoxiin asenettu Xubuntu ELK Stack palvelin ja Debian, josta kerätään lokeja.

Topologia

Kibana

Graafinen käyttöliittymä ELK-Stackille.

ElasticSearch

Kerättyjen tietojen tietokanta massadatan suodattamiseen ja tietojen etsimiseen tarkoitettu työkalu.

Nginx

Käyttäjien varmentaminen, ettei ulkopuoliset pääse selaamaan säilytettäviä tietoja.

LogStash

Dynaaminen tiedon keräys työkalu joka, muokkaa tiedon muotoa ja vie tiedot ElasticSearchille

Filebeat

Kerää tietoja koneelta esim. auth.log tiedoston ja vie sen LogStashlle

Metricbeat

Kerää tietoja koneelta esim. auth.log tiedoston ja vie sen LogStashlle

ElastAlert

Luo hälytyksiä kerättyjen tietojen perusteella.

PostFix

Lähettää ElastAlert hälytykset sähköpostilla.

Proxmox

Virtuaali- ympäristö, johon Xubuntu ja Debian on asennettu.

Lähteet

Tietoa ELK-stakistä: https://www.elastic.co/what-is/elk-stack

ELK-Stack logot: https://www.elastic.co/brand

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s