ELK الستیک استک

 

ELK الستیک استک محصولی از Elastic است که از سال 2000 تا به امروز فعال بوده و محصولی با همین نام جهت تحلیل داده ارایه کرده است.

شرکت فناوری راه نو سورین جهت ارتقای سطح امنیت در سازمان ها و ارائه راهکارهای SOC ، در این بخش به معرفی محصول متن باز (Open Source) به نام ELK الستیک استک می‌­پردازد که در ادامه آنرا مورد بررسی قرار می‌دهیم.

این محصول متن باز و رایگان دارای  سه مولفه است شامل:

  • Elasticksearch
  • Logstash
  • Kibana

این سه کامپوننت را می­‌توان جهت اهداف مختلفی به صورت کاملا مجزا استفاده کرد.

 

ELK الستیک استک: Elasticsearch

این محصول برای ذخیره سازی Logها، از Elasticsearch استفاده می­‌کند. این مؤلفه قادر به ذخیره سازی داده­‌هایی از جنس Big Data است.

در Elasticsearch یک موتور جست و جو و تجزیه و تحلیل رایگان و متن باز (Open Source) وجود دارد. این موتور جست وجوی در مولفه مذکور توسط شرکت Apache با نام Apache Lucene طراحی و ساخته شده است و به دلیل وجود REST API در آن، قابلیت مقیاس پذیری و سرعت بالایی در این محصول به وجود آمده است.

ELK الستیک استک: Logstash

همانگونه که ذکر شد در ELK الستیک استک مولفه دیگری به نام Logstash وجود دارد، این کامپوننت دارای یک موتور جهت جمع آوری داده‌­ها می‌­باشد. کامپوننت Logstash به صورت رایگان در دسترس عموم است.

وظیفه این کامپوننت انتقال داده­‌ها از منابع مختلف به Elasticsearch بوده که در حین انجام این فرآیند، قادر به عملیات زیر می‌باشد.

  • نرمال سازی
  • غنی سازی
  • تجزیه داده(Parsing)

از ویژگی های Logstash می‌­توان به فیلترهای موجود درآن اشاره کرد،این ویژگی­‌ها کمک شایانی جهت بهبود در کشف و تشخیص حملات می­‌کنند.برخی از این فیلترها را می‌توان در ادامه مشاهده کرد:

  1. Grok: فیلتر Grok ساختار Key Value در Log ها را تولید می‌کند. (همانند Regex)
  2. Mutate: این فیلتر قادر به تغییر نام، حذف، جایگزینی و اعمال تغییرات بر روی Field های مختلف می­باشد
  3. Drop: این فیلتر قادر به حذف برخی از رویدادها در Logهای دریافتی می­باشد (مانند Debug Event ها)
  4. GeoIP: اضافه کردن اطلاعات مختلف در خصوص IP ها (مانند موقعیت جغرافیایی یک IP)

ELK الستیک استک: Kibana

مولفه دیگری در ELK الستیک استک وجود دارد با نام Kibana که این مولفه در سال 2013 در شرکت Elastic توسعه یافت.همچنین قابل به ذکر است که این مؤلفه مانند سایر موارد متن باز می‌باشد.

 Kibana در داده های ذخیره شده در Elasticsearch جست و جو می‌کند.

این کامپوننت به عنوان ابزاری جهت ایجاد گزارشات و نمودارهای مختلف شناخته می‌­شود، همچنین می‌تواند به عنوان رابط کاربری برای نظارت و مدیریت دیگر کامپوننت های این محصول متن باز استفاده شود.

ELK (الستیک استک)

 

شرکت فناوری راه نو سورین با کمک تیم خبره و توانمند خود، تجربه پیاده سازی و کار با این محصول متن باز را دارد. همچنین تیم فنی سورین با ارائه محصولی با نام Soorin Alert که راهکاری جهت همبسته سازی رویدادها در این سامانه می‌باشد توانایی ارتقای این محصول از دید امنیتی را دارد.