00:00
大家好,我们的直播现在马上就开始啊,我会先发两个这个文档到我们的,呃,我会先发两个文档到我们的这个。聊天群里面啊,这样的话,我就呃,把今天的这个学习资料可以先同步给大家。大家今天这个,呃,线上的分享啊,主要是一个。呃,手工的一个工作坊就是。我会以这个讲解为辅助啊,然后主要是让大家能够按照呃按照这样一个流程,把我今天要跟大家呃分享的这个elastic security啊,这个这个整个解决方案啊,能够通过我这个课件能够带着大家走一遍,然后呃,大家需要做的就是同时打开我这个课件啊,同时打开我这个课件啊,并且的话,这边为了辅助大家学习啊,我这边也提供了一个提供了一个这个。
01:14
呃,提供了一个这个PPT,嗯,这样的话,大家把这个PPT,这个P,嗯,把这个PPT和PPT和这个PPT和我这个网址啊同时打开,嗯,把PPT和网址同时打开啊,就是今天所要学习的内容的话,就都在这里面了,这个PPT是一个,呃,我会给大家快速的串讲一下吧,这个PPT不会花很多时间,但是这个PPT也是大家的一个学习材料啊,因为这是elastic security的话,它整个是一个解决方案,我们希望大家能理解这个解决方案,然后更重要的是呢,让大家通过我这个工作坊的一个实操练习的话,能带带着大家把这个呃,这个。
02:04
安全管理套件啊,能够在你的环境当中能够走一遍啊,能够走一遍,那么我们就需要有一个呃需要有一个呃练习的环境,我们先看一下我们需要怎么样一个练习的环境啊,呃,我今天也会从无到有的啊去创建这个练习的环境,从无到有的去创建这个练习的环境,我也会在腾讯云上跟大家一块儿去创建这个练习环境,这个练习环境的话,呃需求很简单啊,我们需要一个呃两GB或4GB的吧,4GB呃也不需要那么多啊,4G两GB或4GB内存的一个呃一个虚拟机啊,一汕头S8的虚拟机啊,然后我们还需要呃创建一个elastic测试集群啊,我们所有的操作都是通过这个呃虚拟机和这个as search集群的,呃,这样一个,呃,这样一个环境来完成的。
03:02
我们的所有的安全数数据,网络数据,日志数据的采集的话,都是在这个汕头S虚拟机里面通过代理程序来完成的。然后我们。采集的数据的话,会进入到这个来测试集群里面啊里来测试集群的话,会有呃两到三个节点,两到三个节点就够用了,然后会有一个K巴纳的一个呃一个机呃一个服务,我们通过这K巴纳的服务的话,可以访问到这个所有的数据啊,我们这个管理的解决方案其实也就是在这个K巴纳里面。好了,那我们话不多说,我们先创建这样一个呃环境啊,因为创建这个环境呢,需要一些时间的等待,那我们会先点击创建这个环境,然后我们会来把这个PPT呢讲一遍,把这PPT讲完之后的话,我们的环境应该就搭建完毕了,环境搭建完毕之后的话,我们就开始用我的这个课件啊,我们就会从头到尾把这个课件学习一遍,我们今天的时间的话,大概会呃,会是两个小时到三个小时左右啊,两到三个小时左右啊,我会以最简洁的方式带着大家把这个学一遍,在这个过程当中的话,我们可能不会设置啊,不会设置长的休息啊,不会设置长的休息,那对呃给大家讲一个学习的建议啊,就是我建议的话,你们还是可以呃,在你们自己的工位上,其实最好是和你们的团队啊,在你们的这个。
04:32
呃,最好是跟你们的团队在一个会议室里面啊,比如说你们这个团队有两三个人,然后大家到一个会议室里面,然后再用一下午的时间跟我一块儿来把它学习,这样的话,你们在学习过程当中的话,你们最好可以一块儿讨论啊,这个是我最推荐的方法,假如你条件不允许的话,你在工位上的话,我也希望你可以去连续的啊,听完我的这个讲解啊,最佳的是你也可以做完啊跟我这个相同的这个实操的练习,那想要做完这个相同的实操练习的话,我们必须先手工的创建搭建我们这个呃实验的环境啊,那首先的话,我们需要在产品当中呢,选择elastic search服务,然后在elastic search服务当中的话,去创建一个集群啊,去创建一个新的集群。
05:22
呃,创建一个新的集群用来呃做我们这个所有的练习啊,我们创建这个集群的时候,首先要选择七点,呃,我这个课件对应的是7.10.1的版本啊,7.10.1的版本,你可以用一个你现在已有的环境,但是这个版本最好是跟我是一样的啊,那我会创建7.10.1的这样一个环境,然后我会在北京,我会选择我的可用区,我专门有一个实验环境的可用区,然后我在这个可用区里面,我在我的这个子网里面的话,我会创建一个集群,这个集群如果说你想,呃,你想这个更更更便宜一些的话,你可以把它做成两个节点啊,你也可以做成三个节点,然后这个K巴纳的配置你也可以改的,如果。
06:15
有条件的话,我建议还是可以要四个G的内存啊,因为咱们那个K巴纳,呃,K巴纳的话,咱们加载会很多数据啊,K8那还是挺重要的,那这边的话我会以这样一个配置来去创建这个集群啊,创建这样一个集群点击下一步。我会,呃你看啊,在我这边的话,我还是有一些嗯,有一些默认的一些呃默认的一些密码的,比如说我这个security,我这个嗯,这个集群的密码的话,我就创建的是这个密码啊,因为这个我课件当中的话都是以这个密码写的课件,这样的话我在待会在呃操作的时候就会简单一些啊,集群的话我就写给起个名字SOPS,然后密码的话就是选择我使用我课件中的密码,然后这个地方可以选通用,然后我这边就选一个月啊选创建。
07:11
选立即购买。选立即购买,这边的话我会使用,呃,使用使用代金券的方式去。去购买账户当中还是有啊,有很多充值的。这样的话会需要三到五五分钟来构建这个elastic测试的集群的服务啊,不光要有一个elastic测试集群啊,我还需要呃,一台虚拟机啊,刚才我说过的,我还需要一台CVM的虚拟机,这台CVM的虚拟机的话,2G内存也就够了啊,但。呃,两到4G内存吧,都可以。啊都可以,这边的选项的话,我会选择跟我刚才那个可用区是在一起的啊,这样的话他们就是确保在同一个网段。
08:01
啊,这样的话,确保他们在同一个网段,我会选择sa OS的八的操作系统。我会选择两核4G,我会选择啊,其他都是默认的选项吧,安全组的话,我会用我的默认的安全组,呃,安全组这边的话,呃,其实主要是你需要22端口啊,你可以SSH登录到这台机器上啊,这个是最重要的,其他端口其实都用不到,然后我们需要。呃,给他设置一个密码,我这个就偷懒一些,都设置相同的密码。然后会创建啊,一个月确认配置啊,立即购买。呃,今天这个实操演练的话,注重实操啊,我希望能带大家一块儿把这个所有的操作都能都能够操作成功啊,呃,如果说你这个操作成功的话,你也可以这个。
09:10
在咱们这个聊天室里面发一下你的进度啊,我待会儿会问一些问题啊,如果说现在已经有啊,已经有已有啊,你你会立旧,你会使用现有环境呢,请在这个聊天室里面输一下一啊,如果说你在跟我一样在创建一个新的环的话,请在聊天室里面二这样的话,我我我知道大家啊,今天这个整个的一个情况啊,假如你是利旧使用现有的环境,请在聊天室里面,室里面一,如果说你是。使用这个新建的环境,跟我一样,正在创建这个环境的话,请在聊天室里面输二,这样的话我来看一下大家现在的一个啊,线上的一个情况。我们今天在呃整点的话,我们还会去做一些呃抽奖的活动啊,抽奖活动的话,我们可能会有一些图书啊,会有一些啊T恤衫可以送出来啊,我们抽奖的方式也很简单啊,就是我会在抽奖的时刻,我们整点抽抽奖啊,呃,我们每每呃整点和半点抽奖吧,我们增加这个抽奖的几率啊,我们在整点半点抽奖的时候的话,我会在聊天室里面会让大家输入一个数字啊,会让大家输入一个数字,呃,我会我们会对这个数字截图啊,可能在屏幕当中啊,可能会截取前面一到两呃几个中奖的朋友啊,我们会呃今天整个的。
10:34
直播的话也会送出一些礼物啊,欢迎大家这个来去互动,来去赢取我们的礼物。好了,我这个环境啊,正在创建当中啊呃,虚拟机的话,CM虚拟机的话应该很快就会创建好了,然后这个。嗯,这个嗯这个呃,ES服务的话,可能需要三到五分钟的时间,呃这个ES服务的话,我们在让他创建的过程当中的话,我们先来,呃,我们先来这个。
11:06
先来过一下我的这个呃PPT啊,这PPT我说了,这PPT是给大家的一个参考资料啊,希望大家能够呃将这个PPT作为一个参考资料,你在团队内部去学习啊,你在和你的呃公司分享的时候啊,你也可以使用这个资料,呃,那首先来讲的话,我们今天呃实验环境就不讲了啊,首先来讲的话,再简单介绍一下E公司啊,E公司实际上是一个搜索引擎的公司啊,其实我们的ES的话,E来测试的话,它就是一个后台啊,可以支撑大数据搜索的一个搜索引擎啊,这个搜索引擎的话,可以帮你在任何的业务操作系统里面呢,创建一个任何的搜索功能啊,也可以用在咱们这个啊,运维的这种可观测性管理呀,云原生的可观测性管理啊,今天我们讲的就是另外一个解决方案啊,就是这个企业安全管理,企业安全管理为什么要用这个elastic elastic search呢?是因为我们可以在。
12:06
不仅是首先的话,它是一个弹性的一个架构啊,它可以线性的去成长,可以去呃无限的去接入对接我们所需要的任何的安全管理相关的数据啊,它具有弹性的架构,可以无限的扩展,另外的话,它数据扩展的特别大的时候,数据量特别大,特别多的时候,我也可以不会丧失我的搜索查询速度啊,我也可以很快的利用所有的数据啊,如果说你这个存的很大的数,很多大量的数据,但你不能很快速的查询出来的话,那你这个数据的。价值就大打折扣了啊,而且我们会用最好的方式的话,我们可以用很优化的方式,将这些数据啊的搜索结果变成你想要的相关的搜索结果啊,不仅可以搜的很快,而且这个搜的很准。呃,这公司的一个历史概况的话,也就不讲了吧,就是最最初的话是以来测试这一个产品,但是随着时间的推移的话,我们也有很多啊云的,呃,云的产品的发布,呃,Lockstesh呀,Beats产品的收购,像我们现在所说的这个安全SIM这个产品啊,我们也是,呃基于一些啊并购啊,比如像end game啊,啊这样一些公司的并购,然后来丰富我们这个解决方案的一个功能,我们可以看一下用asic search这个技术站,我们可以做什么呢?就是最底层呃,除了这个elas search这个核心的呃,存储和查询的引擎之外的话,我们可以有这个beats和lockstech做做数据的摄入,我们有可以有这个K巴纳做这个整个技术站的一个管理和这个分析查看的一个。
13:48
一个窗口,那因此的话,基于这个技术站,我们可以不仅可以做企业搜索,还可以做这个可观测性,可以做安全。今天的话我们就聚焦在这个安全管理上,今天我们就聚焦在这个安全管理,安全管理主要是在elastic设施,呃,你如果说使用ELEK啊,使用elas sta这个技术站的话,安全管理的话,我们主要是做两方面啊,一个是same,呃,Security instant。
14:15
Information environment management哈,就是一个呃,呃,企业的一个安全,呃,信息中心这样一个管理平台,还有就是端点管理,端点的话可以是这个终端的,呃,终端的PC啊,终端的Mac电脑啊,终端的服务器啊,任何一个服务器也可以是一个终端啊,所有的端点的管理,这个是呃,就是刚才我说的并购的以前的end game这个公司啊的一个解决方案,然后这样的话,我们就把这个按整个的安全解决方案呃丰富起来了,而我们今天这个工作坊的话,我们主要是聚焦在SIM这一块,主要是聚焦在SIM这块,那为什么要用这个elastic search去做这个。嗯,Elastic stack去做这个安全管理呢,首先的话,我们这个,嗯,在企业里面你做安全管理的时候,其实你是有很复杂的一个啊部门的划分和限制的,我们当然的话,我们有这个安全团队啊,安全团队有这个安主要对安全管理全局负责,但是我们也有开发运维和测试等等等等其他的基础设试等等其他不同的部门啊,其实所有的人都在参与到安全管理的活动当中啊,呃,只是可能他们有意无意的在影响着安全管理的结果,很多数据的话,你也不能把它单纯认认为是这个啊,运维的数据,或者说服务管理的数据啊,甚至说在开发代码的时候,我们也不应该忽视这个安全的呃管理啊,所以说这个部门墙其实和各个部门的话,使用自己不同的工具的话,给安全管理是带来很大的。
15:50
很大的挑战,那如何去解决这个挑战呢?其实我们就是最好还是用统一的数据平台呃和统一解决,统一解决方案的方式来对它做管理啊,那么的话我们可以看到就是呃,如果说我们要用呃,Elastic sta做安全管理的话啊,那我们是是一个什么样的架构呢?首先的话,我们还是有这个数据的摄入层啊,我们从最底下的话,我们从数据摄入层上来看啊,先从数据摄入层上来看,我们数据摄入层的话有几个。
16:22
啊,有几个组件啊,首先是beats和lockstech啊,今天我们会呃用到beats里面的audit,我们会用用到beats里面的audit bit啊audit bit我们会用到啊,Packet bit我们会用到,呃常用的一些bit我们不会用到lockstesh我们也今天不会涉及到这个呃elastic and elastic and point啊我们今天主要是聚焦在S上,那在这个呃数据摄入这个呃数数据采集到这个eltic当中的话,我们其实会主要强调一个common STEM啊,EL通用的一个数据定义,但是我会去讲它的一些啊特它的一些特性啊,然后这样的话才到走到最上层的这个SIM的应用啊,Same的应用的话,其实是在K8纳里面集成了大量的这个安全管理的一些UI啊,这个K8纳的话,其实有特别大的可锻造的空间啊,可以用。
17:22
从它来去展示任何呃这个解决方案,我们这个安全管理的话,SIM解决方案的话,也是通过呃K巴纳去呈现的,另外的话,其实因为呃elastic sta,它就起源于这个开源社区嘛,其实它的所有的代码,源代码的话啊,即使现在我们license有了一些变化,它的所有的源代码也都是以开源的方式提供给大家的,也都是以开源的方式,虽然license变了,但是以这个也是以开源的方式跟社区所有的去协作的,特别是在安全管理方面啊,这种协作尤为重要,呃,比如说在社区这层摄,摄入这层的话,我们其实会集成更多的更广泛厂商的一些已有的一些安全事件的数据,那么就需要在摄入层去做。
18:09
做集成,那包括在事件的分析和管理这一块的话,包括很多规则的设定呀,很多安全事件的一些规则的一些呃预制啊,我们都是跟社区去做一个互动呃去呃,然后得到更丰富的社区的一个呃资源,然后去丰富我们的这个事件知识呃知识库啊同同时的话,这个ecs数据定义的话,它也是开源的啊,它也是积极的在去收集所有用户对这个数据定义的一个需求啊,确保呃,确保我们的这个数据定义可以是一个最啊最优的啊,最优最全面的一个数据定义,而且是没有歧义,没有重复的。呃,我们今天会怎么去做呢?我们会,嗯,以这个主机啊,以这个刚才建的那个SANOS主机为基础啊,我们会去去使用al bit和packet bit去做一些事件的一些。
19:06
事件的一些摄入啊,然后到search这边,那未来的话,其实在and security这块啊,可能会有更多的功能啊,今天我们不做介绍,呃,在未来的话,Endpoint。Security和bit cii会融合啊,也会融合成一个就叫elastic agent的这样一个很简洁的模块啊,就是我们以后在所有的主机上,不管你做任何管理,我们只需要专一个elas agent单点的管理就可以了,那我们做elas security的话,我们呃就会想的是通过对这些事件的感知啊,做很多的防护,呃,在same这块其实你已经可以大有所为了,因为现在这个企业的这个空间里面的话,嗯,呃,包括服务器端,包括我们的所有的这个啊,客户端呀,所有的这个工作人员的电脑啊,其实都是,呃,都是这个可能是黑客的一个攻击面啊,我们的攻击面是非常广大的,那你可不可以通过有效的信息收集分析而阻断这些时时刻刻对企业发起攻击呢?所以这个same的角色和地位的话,从来都没有啊,都没有撼动过。只是说任何。
20:20
在一个企业,你有没有啊有意识去加强这方面的管理啊,你有没有在这块达到一定的管理的成熟度,那么你想去做管理的话,我们其实就是希望通过elastic security啊,通过elastic security的这个功能套件,基于这个elas sta这个技术啊,呃,帮你去在数据数据归集和数据集成这一块消除数据盲点。呃,我们在使用规则和查询的这种分析引擎,在呃分析引擎这块的话,呃,帮助企业在任意的环境中啊,去尽早的发现并且阻止我们正在发生或者说已经发生的啊很多攻击和入侵的行为啊,这个elk这个技术战的话,其实在各个层面啊,都是装备给这个安全分析师的,安全分析师的话,在企业里面,其实他应该指导这个全局的安全工作啊,让OS啊,让所有的相关人员啊,在他的指导之下啊,去配合达达成这个企业安全防护的这样一个总整个的一个目标。
21:28
你想你想达成这个目标的话,其实刚才我也说了,这个same的地位从来就没有撼动过,但如果说你呃做的做的过程当中的话,也可能你就啊并不一定能做的很好,并不一定能做的很好,比方说的话,你很有可能把它呃做的只是一个多个工具的啊,多个独立工具的实施啊,而没有一个啊全局的一个观察,你很可能是在多年以前,可能只是按照那种防壁能防火墙那种啊思路去去建设,而没有一个啊,没有一个全面的一个安全感知啊,对安全事态的反应啊,你都没有这种自动化的机制,那我们希望通过elastic stack的话,通过这个技术站,通过这个我们elastic提供的这个功能的话,帮大家一步到位的去规划这个same的建设啊,这个same的建设的话呢,有这样一个呃路径,有这样一个路径,首先的话,我们还需要很考究啊。
22:28
在底层的话,需要去考虑,通盘考虑,不管你是来自网络的日志的,用户的行为等等等等等等情报的,你都需要去有一个呃,很统一的一个数据定义,基于数据定义的话,我们做数据的采集,可视化和展示,那有了这个数据进来之后的话,我们才可以做更上一级的工作啊,我们使用专用的same的应用的话,去来让我们的setout的人员的话,就让我们安全防护人员啊,进入这个sock的一个工作流当中,我们讲的这个工作流的话是一个。
23:04
可以模板化,可以自动化,可以呃可以智能化的这样一系列的工具啊,呃通过它来加速所有的这个赛UPS人员的一个工作的效率,那如果说你们发现很多的这个呃工作模式和形成了很多工作成果之后的话,那我们也希望把这些工作成果,就日常的工作成果变成呃检测规则啊,变成检测规则能够变成企业的安全管理的资产啊,能够应用于未来更多的一个更大量的一个啊数据信息上,同时的话,我们这个数据源的建设和数据源的这个丰富的话,其实我们是没有止境,止境的啊,我们因为始终都在销售盲点,所以说我们希望你在这个建设过程当中始终都在扩充你的数据源,那另另外的话,我们不这个前几部的话都是内部啊,呃,我们最好还能和外部的信息情报去做集成啊,并且能集成到我们所有的内部外部的用户行为分析上,那这这是我们一个完整的一个,呃,怎么讲呢,完整的一个。
24:04
使用as sta做这个安全分析,安全分析呃,管理的这样一个旅程啊,就是我们same的一个核心的一个工作,我们不可能直接就一步到位到第三步和第四步啊,我们需要逐步的从下往上去完成这样一项工作,那后面这个。所有lab的介绍我就不去讲了,因为我们现在可能我们的环境已经搭建完了,我们会直接开始啊开始干,然后这个PPT资料很多啊,嗯,建议大家日后可以去啊学习啊,如果说你们会有什么问题的话,也可以欢迎进到我们的那个,我们应该也有一个QQ群吧,待会我们那个主持主持,我可能导播小姐可以把这个我们的微信群啊,我们也有一个微信群会放到这个聊天聊天室里面啊,欢迎大家也呃加入到我们的微信群的学习当中。好了,现在我们来再最后的来检查一下我们这个实验环境,如果这个实验环境就绪的话,我们将开始进入到我们的实操练习的过程当中啊,首先来看一下我的这个服务器啊,我的这个服务器是否创建成功啊,我的服务器的这个,呃,这个IP地址已经有了,IP地址已经有了,好了,我现在会使用我自己的。
25:25
登录工具啊,去测试一下啊,测试测测试一下我这个我这个服务器的一个是不是可用啊,是不是可用,我会把这个服务器登录信息加到这个这个。当中我的地址是这个地址,我的用户名的话,用户名密码的话,暂时都是我的通用的用户名和密码。暂时都是我的通用的用户名和密码啊,假如这个登录成功了的话,应该就是表明我的。
26:02
表明我的这个。环境是虚拟机,是创建。创建成功了,好了,我的虚拟机是已经创建成功了啊,啊在这个时候的话,如果说你是力旧用你现有的环境啊,你也可以现在就登录到你的这个虚拟机上,因为我们这个在虚拟机当中的各种操作啊,马上就会开干了,然后我们现在再来看一下我们的这个elas search集群是不是正常成功的啊,做好了,呃,看似的话我们这个也都做好了啊,看似也都做好了,然后呃,我也会在开始之前会打开一个写字板啊,因为待会我们会去去手手录一些配置文件啊,通过一个写字板的话,应该会很方便一些,好了,那我现在准备工作都做完了,我们现在好好进入我们这个课件啊,进入我们的课件,我们开始这个课件的一个学习,这个课件的学习的话,其实我这课件当中啊,这个课件这个编写是花了很大的精力啊,这个课件编写的话,呃,整个的话。
27:08
啊,大概有将近1万字啊,这课件里面有丰富的学习资料,我就不去一一给大家复述了,我今天会在直播的过程当中,把这课件当中的啊,重点和我们操作的步骤全部捋一遍啊呃,很多信息的话,也都是在我们的这个PPT当中都有啊,包括我们现在这个管理,呃,这个整个的架构啊,我们也不再去赘述啊,我们不再去赘述这科技院的话,本身也是一个很丰富的一个学习资料啊,那首先的话,我们现在呃,有了这样一个系统之后的话。我们先熟悉一下啊,我们需要有一台虚拟机,现在已经有了,我们需要有一个1S测试集群,它俩最好在同一个网段当中啊,如果你这两台机器,这个集群和在和你虚拟机不在同一网段当中,它网络都不通的话,那你现在可以去到你的网络上,你用呃腾讯云的什么connect呀,或者说你去配一下你网络和路由啊,确保这两个呃虚这个虚拟机和ES的话,它是所有的端口都可通可达啊呃,这样的话我们才会把这个sans里面的数据可以送到search集群里面来,我们一定会使用这样一些软件包啊,这样一些软件包,我们这个软件包的话,会以在线安装的方式去进行啊,因为这个腾讯云的话,有这些软件包的一个啊,开源的一个镜像的一个啊服务器我们就直接在线在线去安装了,然后这个集群我已经创建好了,这个地方我就不赘述,那我们现在需要从集群当中呢。
28:40
得得得到一些这个啊,得到一些这个配置信息啊,以便于我们在后续会去使用到,那首先的话,我们需要去在集群的配置当中啊,来search集群的配置当啊,我们会去记录这样几个信息,那第一的话是我们的来这个search的内网的访问地址啊,这个待会儿的话我们会用到啊,你先把它记录下来,这个是这个配置信息会常用到,我们会点击这个,点击这个叫可视化配置啊,在这个tab里面有可视化配,可视化配置里面的话,我们希望现在呢,我们希望现在做几件事情啊,第一的话,我们需要在公网上,呃,诶需要在。
29:26
公网上登录一下这个服务啊,我这个地方是有一个白名单的,公网访问策略的白名单呢,这个地方我们给它把它加成,呃加成加成这个白名单怎么还有了,以前好像还没有0.0.0.0吧,这个是可以放开全部了,然后问。公网访问地址白名单。
30:03
啊。IP地址。应该是对的呀。黑。我们先呃,让他等一下,我们需要一个内网的,我们需要一个内网的访问地址,我把内网访问地址打开。这个内网的访问地址的话,我们也会需要啊,这是是一个重要的配置信息。我们先把内网访问地址啊记录下来,还有一个地方需要修改的是这个。啊,是这个语言界面啊,语言界面的话,这个地方我们现在。呃,6.8的版本。基础的配置。
31:06
可是我的那个。我们会需要把它改成中文啊,把它改成中文,然后保存。好嘞。嗯,这个问题我还是第一次遇到啊。我的以前的集群的话,都是直接可以从。哎,我的这个以前的集群的话,都是可以直接从。这个公网上访问没有任何问题啊,今天这个是怎么回事啊。奇怪。
32:16
可能是写错了啊,写杠。哎。我们现在需要登录我们这个elastic search的一个K巴纳啊K巴纳界面。好了。改变了这个策略之后的话,我们现在是可以正常访问了elastic search。
33:01
Elastic,呃,密码,我这个密码是。密码是这个密码。我这个就是为了操作快速啊,所以说我这个密码都用了一些比较。比较这个定量的一些密码。好了,这个我们的试验环境就算啊,就算做做完了,我们的试验环境就是你正式登陆的这个K巴纳之后的话,这个试验环境就正式准备就绪了,那我们再确认一下啊,那你现在要进行下一步的操作的话,首先我要在K8那里面正常登录,另外的话,我需要在这个我的这个呃,虚拟机里面也都正常登录好了,然后下面的话,我们开始进行下面的操作啊,我们把这个。K巴纳内网的这个,呃,内网的地址需要啊,需要放在里面,我们还需要改一个参数啊,我们需要改一个参数,改一个集群,集群的一个索引的一个参数啊。
34:08
我们进到这个工啊主页,点击开发工具。然后在开发工具的右边的话,输入这段代码,然后再put这个setting这个地方,点击这个好了,这个就参数就修改完了,这个返回为处的话就是修改成功了,那有了这个参数之后的话,我们呃后面的话很多数据导入导出操作的话就会比较快了,这个也不是一个生产环境的一个推荐值吧,但是在练习的过程当中,我们为了这个这个让集群反应刷新速度更快啊,我们这样的是一个操作,这这是一个针对练习的操作,非生产环境的一个推荐。然后这边的话,我我们需要创建一个GOIP的一个流水线,这个GOIP流水线的话,会去呃帮我们在数据摄入的时候啊,会去呃查询一些这个查询一些这个触发查询,触发一些client IP啊,Source IP啊,Destination IP啊,会触发一些IP地址的一个GOIP的一个啊搜索啊,因为这个GOIP的话,它有一个呃公公共的一个GOIP的一个数据库啊,当任何一个公网的IP地址进来之后的话,呃,这个是这个信息的话,这个既有的这个IP的这个地理信息的话,它就通过这个papeline可以丰富到我们那个,我们那个索引,我们那个索引里面去啊,所以的话,我们这边需要手工去创建这个GOIP,但是在我们的beats,我们的beats的配置文件里面的话,就会去触发这个go IP info的这个pipeline啊,我们是在ES里面做了很多,呃,做了一个这个pipeline,通过这个,通过这个pipeline这个。
35:48
通过这个pipeline呢,去让我们的索引,我们的某些索引在收入数据的呃之后的话,它就会触发这个GP,你点击这个呃,Get get的话就表明我们刚才这个创建成功了,得到了这个排plan啊,那么这个操作完了以后的话,我们再回过来,回过来的话GOIP就创建完了,这个是为了丰富我们那个IP地址的地理信息的,这个是用来在beats配置文件当中去触发的,首先的话我们还再来看另外一个地方,就是ELK的这个。
36:19
对战的自监控啊,这个其实是一个很好的功能啊,特别是你在大规模的部署彼此的时候啊,那这个功能的话,可以帮你去看一下你现在所有彼此的一个部署的状态啊,那你也可以通过它来去看你所有彼此是不是现在正在很好的正常的工作啊,就进入这个对战监测,这个腾讯云的E服服务的话,默认已经帮我们开启了这个集群的自监控啊,那我们这边还没有闭此啊的信息啊,你看像这边的话,像我这个。这个课件当中的话,这里有beats这个信息已经安装了它,它就有有这一栏了,我们现在还没有啊,但是这个地方这个界面我可以跟大家提提一下啊,待会你去安装配置bits的时候,你可以进到这儿进堆栈监测啊,来去看一下你bits,特别是在大规模生产环境的时候,你可以看一下你这个总体的每一个bits,它或者每一种bits啊,他现在的工作状态,它没有报错呀,它数据收入有没异常啊,都可以在这个界面可以看到,那接下来的话,我们来去进入到我们下一个环节啊,开始进入这个我们的啊level one啊,这是我们打游戏的第一关啊,啊level one,然后这个主要是做这个安全事件的收集,我们首先的话来学习一个audit bit audit bit这个我们一个模块一个模块学习不要紧啊,至于以后产品变了的话,这个abeat功能它没变啊,它还会包含在elastic agent里面去。
37:47
那首先的话,在讲任何beats的时候,我们还是要集中强调一下这个ecs,这个common elastic common schema的这个标准化的这个事儿啊,这个common stemma的话,你可以在elastic GI HUB上,在elastic的公司的那个ripple里面可以看到啊,啊希望的话,大家对这个感兴趣的话,也可以给这个ripple去做反馈啊,这就是我们所有全局的ELLK这个技术站呢,对bit此的数据摄入的时候,数据的一个统一的定义啊,包括我们的像,可观测性的像。
38:19
可观测性相关的数据也都是在ecs上去做的定义啊,现在我们安全的话也是一类数据啊,它都是走到这个ecs的定义上去,那有了这个之后的话,才便于我们做数据的集成啊,你在数据定义上都不对齐的话,你拉了一堆N多厂商的这个单点工具的时候,你会发现你在很多工具互相之间关联查询的时候,你将很费劲啊,你几乎几乎无法做到啊,很快速去匹配关联很多有用的信息,那auditt beats是干啥的?Auditt beats是主要是Linux all系统里面auditt d这个内核模块,对吧?它会触发很多内核的事件,然后会,而S本身的话,会去跟踪系操系统里面发生的一些跟操系统级的一些,呃,他所关注的事件,比如说一些重要的配置文件的完整性啊,操系统软件包的删,删除安装呀,用户的登录啊,进程的启动啊,Socket的链接啊,用户的登录。
39:20
登出的一些事件呀,你想这它的它是以这个安全管理,安全管理为目标的一个beats啊,它大致的功能如下,那我们现在来安装这个audit beats啊,我们从这个腾讯云的这个啊,Mirror这个站点啊,这个mirror站点上去啊,直接网络安装就可以啊,直接网络安装就可以我们来去。装一下把这个拷到我这个界面当中。就可以了啊,就是一件式的把它安装好了,这个beats安装完了之后的话,我们需要对这个audit的beats啊做对它做一个索引的一个什么呢?对它做一个索引的配置,那现在的话还没有这个装audit beats这个啊,装audit beats这个索引啊,Mapping都还没有啊,数据也没有,然后这个alle beat所对应的很多的这个那个dashboard呀,很多那个可视化的空间也没有,所以说这个话我们需要用alt beat,因为我们这可工具安装好了,我们需要用alt beats的alt beat的话,我们会需要把它。
40:29
配置一下,配置的话就是呃,需要改几个参数啊,第一的话,我们需要修改一下我们这个elc测试集群的啊,内网的IP地址我是多节点的,但我们这边是有一个服务IP,我们这个服务IP在我我目前的这个,在我目前的这个环境当中的话,我是刚才已经放到那儿了,是零五,然后我的这个K8纳的话是。刚才我也复制过来了,是这个K巴纳的内网的访问地址的话是这个,那为什么要K巴纳的,刚才我也说了,这个beats在setup的时候啊,它会给呃K巴纳里面会去加载很多,会去加载很多那个啊控件啊,可视化的控件,那因此的话,有了这样一条操呃命令之后的话,我们就创建了索引,导入了所有跟a beat相关的啊,相关的这个控件啊,可视化数据分析的控件,我们话不多说啊,我们执行这个。
41:30
执行这个命令。这个命令的执行的话,大概需要呃一分钟的时间啊,一分钟以内的话应该就能执行完了,在执行的过程当中的话,我们也可以回到啊,这个已经执行完了,也可以回到我们这个elas这个呃这个K巴这个这个界面当中啊,去看一下我们这个呃执行的结果,首先我们来看一下我们的呃,这个dashboard是不是导入进来了,诶我们可以看一下已经导入进来了啊一些dashboard了,然后我们来看一下我们这个,我们这个索引是不是创建啊,索引是不是已经创建好了。
42:07
我们在discovery里面打开,诶,也有audit bit了,也有audit bit这个索引了,这个索in index pattern也建好了,那我们其实也可以到这来去看一下,为什么要到这来看一眼呢?我还是希望给大家提一个非常重要的管理功能的啊,就是索引的数据的生命周期策略管理,所以呢,生生命周期策略管理的话,首先的话我们有索引嘛,这个索引的话,在这儿的话,我们去看的话,主要是看它的一些核心的配置和它的mapping啊,这个mapping的话,其实它这个mapping是什么呢?Audit bit只是用了ecs的一个子集啊,所以说每一个bit只是一个呃子集,但是ecs。的核心价值在于你这个不同子集之间,你分享了很多核心的字段,这个核心的字段是用来你在不同的索引之间做关联查询的,因此的话,Ecs很重要,但索引很重要,我们的这个,我们的这个,呃,索引当中的数据啊可以,呃快速关联的查询更重要,这个数据的话。
43:08
如果你的节点数非常多的话啊,成百上千的啊,节点都要做auditt bit的话,那你的数据量会很大啊,比如说你这个一个月就是几百G上T的数据,几十T上T上PB的数据,那你怎么去做这个管理呢?首先的话,我们需要提到的一个功能就是你的生命周期的一个概念啊,生命周期的概念就是诶我的我为什么能能查的很快,是因为其实我会把数据的话,按照它的时序啊去做阶段性的处理,比如说这个呃热数据阶段,因为我这个集群啊,我现在建的是一个三节点的一个乞丐版的一个配置啊,那其实你可以做呃冷热架构啊,你可以做呃多集群啊等等等等啊,那这些架构和这些呃架构上的一些一些这个特性的话,都是可以和这个索引的生命周期去搭配的,这样的话把我的冷数据,热数据,温数据我可以。
44:09
可以把它放置在其实不同的节点上啊,不同的节点,比如说我的一个大的集群里面有几十个节点啊,它有这个热数据节点,有温数据节点,有冷数据节点,我在我的数据呃使用完毕之后,比如说即使是安全数据啊,可能它在720天之后的话,它可能也就啊失去了在生产集群上去查询的作用啊,它可能就可以在生产集群上删除了,但我给我在删除之前的话,假如有归档合归的啊这种需求的话,我也可以在删除之前的话,利用集群的复制或者等等等等其他的一些功能啊,把我的这个数据啊,归档到我的更便宜更廉价的那个归归档集群上,所以的话,我这个集群索引以及索引的生命周期管理的话,我就只讲了一句啊,每一个bit词,每一个bit的话都有这个啊考虑,都有这个考虑和设计,那我们就继续往后啊,继续往后,如果大家在我的讲解的过程当中啊,有任何的问题啊。
45:09
啊,有任何问题也可以在这边会提问啊,我们下一个我们下一个这个抽奖的时间的话,是在两点半会抽奖啊啊嗯,你们可以把你们的问题呢发在聊天互动里面啊,这样的话我可以在抽奖前后可以回答,然后我们下一个抽奖的时间是在两点半啊,两点半,然后我们继续开始我们的课件的学习,我们beats这个setup完毕之后的话,我们就这个参数我也不解释了,因为这课件里面实在写的太详细了啊,你们就可以直接去,呃,再学习一下这个课件了,那我们现在要进入这个beats的一个配置啊,Beats的配置audit beats的配置的话,它是一个非常标准的一个配置,这个比非常标准的配置的话,我们。大概看一下啊,Audit bit bit的话,它有模块啊,有audit bit这个模块规则的配置文件的目录啊,它会有它呃,这个文件完整性监控的目录啊,刚才我说了,比如说诶,它就特别会监监控e dcd啊,EDTC下面的目录,因为这个操系统的主配置文件是不是都在这儿啊,就是所以这个是文件,可文件的一个啊,文件的完整性,文件系统的完整性,哎,我还他还会去监控啊system这个model啊,会去监控package啊,Package的安装呀,删除啊,更新啊等等等等这样一些动作,他还会去监控操系统的一些。
46:41
事件啊,一些事件啊,Host啊,Logging啊,Process呀,Socket user啊等等等等密码的改变啊,这个我就不一一去细讲,你还可以跟你细进一步去细化我这个啊,上面要给他一个机器打什么tag,然后诶,这个是重要的信息来了,那每一个beat配置文件当中的话都有这个啊,我这边是用的铭文啊,其实这个地方也可以去用我们的秘文啊,秘文的方式的话,在我之前的博客当中也有过啊,今天我们就不赘述,但是这个地方至少的话得有这样几个配置信息啊,Elastic search集群的elastic search集群的这个,呃,服务服务IP和端口,我的用户名和密码啊,用户名密码也不建议使用,呃,超级用户啊,你最好是用一个啊,纯纯摄入的只写的一个用户,诶,这个就是刚才我们说的,我们创建的那个pipeline啊,就是我们这个audit be词的话,Audit bit的话,它摄入数据的时候,它会有很多的。
47:41
很多的这个呃IP地址相关的信息啊,那边主要是有四个IP啊,四个IP地址的字段,那个IP地址上来之后,假如说公网IP的话,我们希望把它转化出它的一个呃地理啊,地理的位置信息啊,地理的这个位置信息,那因此的话,我这边因为是一个北京的一个,呃北京这个就在北京机房的一个机器啊,所以说我这边也给这个机器打了一个呃位置的一个标签,呃一个属性。
48:09
打了一个位置的属性,有它的经纬度啊,有它给它给了一些个名字,比如说在你的生产环境当中的话,你也可以给你的机器打这样一些非常有意义的名字啊,这样的话,我们在做一些特别是网络安全管理的时候,我们希望从地理空间上看一下我的很多网络的一些活动,它互相之间是一个什么关系啊,那有了这样一些信息,它才可以通过地图的方式才可以展示出来,那为了让这个做的更加的有意思啊,其实我们把我们现在这个内网的所有的private IP,这个private IP的话。就是1921呃十呃172这三个网段的private IP,假如我这边是一个比较粗的啊,我就直接用private IP代表那三个呃子网了,但你也可以自己去区分啊,因为你的这个不同使用的网络规划,可能你的这个地理信息可能是不一样的啊,所以说这边的话,我是一个事例啊,那我是用private代替那三个。
49:11
私有网段,然后统一给他们给了一个北京的一个坐标啊,这个也是为了呃演示的目的啊,目的就是让我以后每一条这个网络事件上啊,在呃原原IP啊,目的IP啊的,假如是私有IP的时候,我也可以把它这个地理的位置信息给映射出来,然后这边是三条beat此的最佳时间的配置啊,这个我就不细讲了,这里边需唯一需要讲的就是这个monitor等于true monitor等于true有了以后的话,我们才可以在这个beats的这个叫这个堆栈监控这个地方,你那个为触了以后,在堆栈监测的时候,这个地方这个这个beats这一类,这个beats它才会在这出来啊,所以说这个配配置信息也是一个参考的一个最佳时间的配置信息,好了,为了把这个配置信息尽快的搞到系统里面,呃去啊,我还是使用一个。
50:05
机器懒惰的这个copy的方法来去创建一个我希望的一个配置文,呃配置信息呃配置呃配置目标的配置文件吧,首先的话,我其实只需要改一个这个啊,因为我这个地方是五,你也可以想一下你的需要改哪几个地方啊啊,你可能是你的ES的啊服务IP,你的用户名和密码,那这边的话我就只需要改这一个字段就可以了啊所改完之后把它copy配置到剪切板里面,那么我现在把它。在我的这个呃操作我在我的这个呃演示的服务器上,我要创建一个呃创建一个叫名为S-四的一个呃配置文件啊,就是在我的这个Linux这个演示机上啊,我创建这么一个叫。我先VIVI一个VI一个啊S啊S名为名为S-四的一个yam文件啊,我我待会用这个文件去替替换我的那个yam-4.yml。
51:08
好,我把我这个刚才在已经改好的啊,修改好的东西放进来,然后来保存,然后呢,我就有了一个配置软件了,那因为我这是用的一个极其啊,极其这个极其懒惰的方法来去做这个操作了,所以说我就直接copy我这个课件中的这一堆的命令就行了,这个命令的话,首先是会把我的默认的auditt bit的配置文件会备份一份啊,这个配置文件的话,我就不跟大家去在课堂上打开学习了啊,就是我的这个配置啊,实际上这个配置文件的一个子集,这个配置文件的话也有很详细的官方文档啊,这个配置文件本身的话也挺有啊,挺有这个可配置性的啊,你也建议大家在今天这个直播之后啊,你们也可以去打开这官网文档去研究一下,你应该想要做一个什么样的配置文件,那第一步的话,把这个配置文件备份一下,然后。CP当前目录这个直接覆盖掉我的这个覆盖掉的这个目标的原有文件,然后做语法检查,做呃elas啊,我先坐到这儿吧,先做到这吧,一步步来啊。
52:14
免走的,以免这个走的太快啊来,呃这个呃,Audit你看啊,Audit bit test conig的话,其实就是测试我这个配置文件的一个语法,如果说配置文件语法没错的话,它就conig OK了,然后下面的话才是重要的部分啊,我还需要测试一下它这个链接啊,链接信息对不对,因为这配置文件里面有一个什么呀,一有一个ES的,最主要的就是ES。ES的访问,你看我访问的ES这个集群啊,用户名密码都是对的,你这样的话才能确保你这个服务启动的时候啊,数据是可以啊正常啊呃,正常摄摄入到这个,正常摄入到这个ES集群当中去的啊,我们这个抽奖时间快到了啊,大家这个打起精神好了,我们再看一下我们这个启动我们的这个。
53:08
可以启动我们这个al beat了,我今天的所有的操作都是这个copy啊,因为这课件我是已经呃这个锤炼了若干若干遍了啊,直播也做过这这是第二遍了啊,所以说这个课课件应该是非常有可用度的啊,也大家为了你这个不出错的话,我建议你也可以啊,像我一样啊,就copy配就行了,然后你这个过来的话,你这个现在你这不就运行了嘛,运行的话,你刚才配置的那些配置就生效了,它你安全事件数据就应该被采集了,所以说这个默认的话,它应该很快啊,很快的在。在一两分钟之内啊,就有这个数据啊,就应该能够上来啊,怎么样去看这个数据呢?我们先可以到这个discovery里面去看一下这个裸数据。可以看一下这个,诶,这个数据已经上来了啊,我们这个可以,诶在K8那里面,如果说你不是很你还是一个凶的话,你也需要了解一下这K8那里面的一些使用的方法啊啊第一的话,K8纳的话,ES的话,它是呃包装的包装的鲁呃鲁森啊,其实在K8纳里面,它有自己的一个KQL查询语言,K8纳的查询言其实它也是进一进一步去封装了啊,进去分封装了啊,它也可以呃在这儿可以做出很好的查询啊,方便在K8大中去探索这些数据啊,这是首先有我的搜索功能,所有搜索条件也可以在这边方便的做存储,那另外的话,这就是我的时间线啊,时间线选择器,因为咱这个安全管理的话,很典型的就是一个时序数据啊,时序时序的log数据的一个管理,你看这边有个有一个峰值啊,一下进来2300条数据啊,其实它一下把这个操,因为这个操作系统的话,刚启动之后的话,它已经有很多事件发生了嘛。
54:57
他一次性的话就把这个数据都给啊,都给搂进来了,那我们可以看一下我们这个所有的每一条事件的裸裸数据,所有的非空字段都在这儿了,这就是刚才我说的我的ecs啊,我是每一天我这个地方我是强调的次数太多了,就是你在摄入数据的时候,你是一定有数据定义的,然后这个audit bit的话,只是用的ecs当中的一个子集啊,一个子集,那这样的话,我们这样的数据的话,你可以看我的这个所有的配置信息全都进来了啊,包括这个GUIP的一些信息啊,全都进来了。
55:32
好了,这个表明我们的数据摄入是成功的啊,我们来马上就要开始来去做第一次的抽奖啊,我们来看一下我们这个,还有看最后一个地方啊,数据上来之后的话,我们就可以看我们的这个K巴纳的dashboard了,看我们的K巴纳dashboard今晚dashboard当中,然后选择我们的一个啊啊ecs啊。诶,这个地方就可以看到了,我们现在的一个操作系统的一个概况的一个,呃,概况的一个情况可以看到。
56:06
啊,这个是啊,这个是一个。Event action啊,每一类事件,然后这边是啊,这个事件的分类啊,事件的分类是网络的还是什么的事件,这个是最新的一个事件的列表。好了,我们可以来抽奖了啊,进天我们第二轮的抽奖活动,好了,我们来再去看一下我们的这个很多呃,Audit b的,我们看一个叫system overview的一个dashboard,所以说我现在告诉大家就是这个每一个beats啊,每一个beats其实它不光是有这个数据给你送上来啊,更重要的是它其实已经给你给了一个可视化分析的基础了,这可视化分析的基础的话就是这些,但报啊就是这这些都是很直观,非常易懂的dashboard,这个我就不一一跟大家去讲,我讲的是说你在使用这个daboard的过程当中的话,其实你是可以对这个daboard做进一步的优化和调整的,因为这个每个DA你要是管理员到时候可以点编辑嘛,然后你觉得这个,诶,这个窗格这个数据啊,你需要再重新筛选啊,你可以再进一步的去。
57:12
找到这个相应的这个呃,它的这个空间啊,你把它呃做筛选做查卷呃做优化啊,做筛选做优化,呃你也可以呃创建你自己的DA ball啊,你也可以有参考它来创建你自己dash ball,那所以这个dash ball的作用是非常大的,因为它最主要的还是你在做巡检的过程当中的话,你想直观的第一眼看到很多有用的数据嘛,对吧,那你不可能回回都跑到这个索引上去查嘛,这个是很低效的,当然的话,你不你要如果说不具备在索引上查数的能力的话,你也不具备创建单视报的能力啊,它是相关的,但这个查在这个DA,在这个索引上查的话,它是只是两种啊,只是两种目标啊,一种目标是一个你要执行很low的,你就是要故意执行很low的,很复杂的查询,不是你的已有的那个dashboard可以去,呃呃,可以去展示的。
58:13
那么你需要在这儿去做,那么需要在这个,如果说你有新的数据定义,或者说你有一些复杂的一些,呃,比如说呃,事件的一些分析了,你可以在这儿做,那除此之外的话,你很多成型的既定的一些搜索的目标的话,都可以通过dashboard啊,都可以通过自定义的dashboard啊来实现啊,自定义dashboard可以提供给所有的人啊,做安全新建,那凡是有职责需要了解的人啊,都可以啊通过这个K8那做自助服务来去看到我们的相关的事件啊,在咱们这个呃管理允许的范围之内啊,看到你需要的数据,好了,我们现在再来看一下这个壁磁的,这个刚才我已经提到了,假如咱们有壁磁,现在处于活动状态。我们想要看一下它这个生存的好不好啊,你这活的好不好,那你这个壁次运行的正不正常,这个地方有一个归汇总的,汇总的一个数啊,还有一个它是一个总分的一个图啊,你这个我只装了一个,你看有beats beats的话,我现在只装了一种叫ait beats是一个啊,待会会装packed beat,还有bit。
59:20
那你这个都会它会整个的反映出来,诶我的bit一共呃,一共给给我采集了啊2000个数数据了啊,2000条事件啊,然后有这个一共3.5兆的数据发送上来了,那我可以看一下我的这个事件的一个啊合计的一个采采集率,每秒钟几条事件啊,那你这个内存的话,你这bits在采集端的话,它使用的内存大概是多少啊,这个是一个已输出到哪了,我这个现在直接是输出到来search,那在很多这个ELLK的这个安装攻略里面啊,他们很多都用lovestech啊,彼此送到,然后再送到,呃,那有没有用的,非常有用的话,假如你需要在里面再做一局,再做一步的这个数据的。
60:14
丰富啊,数据的这个massage,就数据的重整处理的话,你需要把它be此送到loste,如果说不,如果说不是这样的话,其实loveste是,呃,你需要去客观的去看它的使用价值啊,你有没有用到,没有用到的话,就应该你就可以去直接把它这个输出输出到这个C色置上去,好了,我们继续我们这个beat,呃,Beats的这个啊讲解啊,那beats的话,到目前为止就是安装啊成功了。呃,Beat此的这个这一类的数件数据的摄入和配置的话,我们也完成了,就是我们完成了主机事件,主机安全事件的一个采集和摄入工作,那下面的话我们将进入啊网络数据的采集,网络数据的采集的话,通常有几种方式,那你在云环境里的话,其实我你可能最想的就是哎,我能不能把VPC里面的一些数据包啊,数据包配置等等都搞过来,在VPC内的话,你可能还是可以做一些网络的监听到在VPC,呃,本身的话,API的话,看是不是可以搞一些安全事件过来,其实这个就是在腾讯这边的话,它有它安全的套件啊,啊如果说他也提供相关的API的话,那其实那边也是一个数据源,那你在这个呃操作系统里啊,你在他这个云里的话,其实你还是可以通过呃网络抓包的方式去解码一些呃和嗅探你现在这个生产网段上的一些。
61:43
呃,网络的一些数据包啊,分析这些网络数据包,然后呃,在K8上去分析你现在网络事件的一个情况,那我们现在用的一个。这个网络嗅探抓包的工具的话,就是用beats里面这个所带的叫packet beat这样一个组件啊,其实它也是一个独立的agent,这独立的agent的话,它需要有一个依赖的啊,一个库,还有一个它呃需要这么一个lab CA的一个普货的一个库啊,然后的话我们就可以呃装了它的话,我们就可以直接装我们这个。
62:18
Packet beat了啊,我这个直接copy来去安装这个packet beat,然后现在。开始安装好。好,我们安装完毕了,然后呢,我们再回到我们的这个课件上,回回到我们的课件,回到我们的课件的话,我们现在嗯,同样的我们这个packed beat的话,也需要配置啊,也需要配置它的索引啊,配置它的mapping啊,导入它的这个Kan的,所以说我这边还是用比较简洁的方法,因为这个参数都是一样的,只是它这个命令不一样,那他他现在用这个Patrick beat去去来去这个做配置啊,所以说我就把那个命令啊,就只需要替换一个词就行了。
63:11
只需要替换这个词就可以,这个可执行文件就可以,后面的参数都是一样的,因为我这个环境啊,就就在这儿没有变啊,所以说再讲一个就是这个setup的话,只是在一个。操端点上做一次就可以了,因为你想嘛,这个索引的一个创建mapping的导入和K8大这个,呃,控件的导入的话,其实都是一次性的,在以后在其他的packed bit packed,呃,Bit上的话,你就不需要去,不需要去这个做setup工作了,一次性工作只需要做一次。好了,我们来这边来做这个packet beat的配置。呃,所以说我们这个配置参数是没有多余的啊,我们还是使用非常安全的内内网的访问的方式去导入我们的K8的空间啊,所以说我们这边使用的都是两个内网的IP啊,内网的这个ES内网的服务IP和K8内网的,呃,这个内网的一个啊,访问地址来去初始化pack beat。
64:18
Ta b的话,下面的话我们自然的就要进入到我们的配置文件了,这个配置文件的话,也是一个最佳实践模板的配置文件,我也是用相同的方法,我也会用相同的方法来去跟大家解读这个配置文件,这个配置文件的话,呃,刚才我说了嘛,这个是首先的话有几个重要的配置信息,那你这个虚拟机的话,有可能有多个网卡呀,然后有可能。嗯,它连接多个网段呀,有可能你会做一台专门采集机嘛,有可能你会把这个采机用interface,把它interface到不同的子网里啊,你这个有可呃几个广播域啊,你可以在你的网络架构当中去算一下啊,有可能你不这么做,有可能会去在每一个网络里面去装,呃,找一台这个专用的packed beat的服务器啊。
65:12
那你需要去指定诶,它的某一个interface去做嗅探,去做做抓包的动作啊,所以说这个就是这条配置,然后下面的话,刚才我说了你个网络包的话,假如你这个在云里面的话,其实它很多网络包的话,它是标准的啊net flow的这个网络包,所以说你这边也是去嗅探去判断,假如有这个格式的网络包的话,我也会去做分析拆包,去做分析处理,然后这边是很多应用级的一些协议啊,这我不一一去细讲啊,一一去细讲这个都是,呃,我们可以去做你这个网络抓包嗅探的时候的一些基础的一些需求的配置吧,你需要呃,看咱们的这个官方配置文档,把你的这个需求啊,都通过这个配置文件能够给展示出来,然后呃,下面的信息我也都不多讲了。因为这个在。
66:06
刚才的alet bit里面也都啊讲解过啊,也都讲解过,这个我就不去赘述,那我们就会来看一下我的这个配置,诶这边配置已经成功了啊,那么会去创建一个按照我们的课件啊,我们去创建一个叫S-五的样文件,那当然你在创建样文件之前的话,是要把一定要把这个elastics的这个摄入的IP要改对的啊,所以说我们来先来改一下我的这个IP,先来改一下我这个IP啊,这个IP我我的这个IP是多少,我这个IP是五。是005啊,0505的IP,然后现在我这个配置文件就OK了,然后我就靠啊,全全选复制,然后我去建一个叫。叫VR一个叫S-5.ylymlyml的YMLYML的文件文件,然后把我刚才那个已经修改过后的内容的话,就啊粘贴过来啊粘贴过来,然后我现在就有这个配置文件了,那么也同样的,同样的我用我用这个相同的方式啊去部署刚才那个文件,并且测试这个文件的语法和。
67:27
那个和ES的连接都正不正常啊,我用copy的方式,哎,这个语法是正常的,哎连接也OK,好了,我们这个今天的。这个。非常顺利啊,非常顺利,那我就可以开启我的这个。可开启我的pack bit的这个这个这个数据的采集了,你数据采集的时候的话,我可以来做一些小小的动作啊,因为我让他想让他能够采集到一些有用的信息啊叭如说诶我你们也可以聘一聘啊,聘一聘,可以聘一下,聘一聘,你如果说你知道国外的某个网站的话,你可以呃有意义的象征性的,你可以这个实际的去聘一下国外的网站,这个是一个阿姨看得懂啊,这是一个日本的网站,对吧,我也可以拼一下他。
68:16
点屁日本的网站。然后你也可以聘聘你的,我们主要是造一些数据啊,就是验证一下,那我这个packet beat有没有抓包,有没抓上呀,有没抓成功啊,然后嗯,我也可以再做一个一样update啊,做一样update的话,它可以可以去呃。也可以产生大量的。大量的网络链接啊,这个这个的话主要是为了为我主要是想看一下我的t bit啊,工作的正不正常。当然了,这个不正常也可能随时随地都会发生啊,因为咱们现在这个直播的话,咱们是一个线上的实验现实环境啊,我们我也。
69:00
虽然也做过好几次了,但是如果我今天的这个过程当中,这个环境挂了,或者哪儿做不成功了,这个也有可能啊,也有可能会出现啊。好了,我们来看一下,现在再回到我们这个。打开我们的electrictic security的这个界面啊,现在我们做了这个最基础的数据采集工作啊,这个才用到我们的K8里面,你看可以看我们的K8纳的话是有几个大的功能啊,这个首先K8纳的基础功能,呃,那在下一次咱们的这个线上直播学习当中啊,我会给大家展示EL来这个色啊,来你不是想给你的应用添加一个这个搜索功能嘛,那看有最简单的方式是怎么样的,我们可能不去直接。我们我们可能是用最简洁的一个方式啊,那种那种几乎不编码的方式啊,看能不能实现一个搜索引擎啊,这是我们在下一次直播当中先预告一下那可观测性的这个解决方案的使用的话,我们也直播过两次了,我们没有听过这个,对这个主题感兴趣的朋友可以去看一下以前的那个直播的回顾啊,那我们今天的话进入到这个叫。
70:13
概要里面来。在当前的这个版本的话,我们是现在七点十点七点十点零啊,7.10.1啊,7.10.1这个版本,在这个版本当中的话,我们在概要当中的话,我刚才也说到了security的管理的话,你是要从主机。网络其他第三方等等等等去来分析数据,来归集和分析数据,并且把这个数据的话,呃,尽可能丰富的数据源把它集成进来,对吧,然后在一个界面上,你通过这种。近实时的这种搜索能力啊,在强大的这个后台的这个搜索引擎的支持下啊,做这个大数据啊,几百G啊,几百个T啊,上PB数据的实时搜索这个数据量的话,假如你的这个热数据越多的话,你肯定是要需要用这个集群的规格可能就会越高一些。
71:13
然后你在做这种特别说是呃这种安全日间的安全巡检的时候的话,你肯定啊,就会特别考验你现在的这整个的这个呃巡检的策略的设置啊,数据搜索的一些优化等等等等,那你希望你的所有的数据摄入上来的话,应该是什么?近时时的应该每条数据上来的话,可能都是一分钟是之内就要可以可查可见的是吧,一分钟之内就可见可查的,然后你所有的查询的话,最好都是秒得的是吧,这样的话,你才可以达到一个很快速的一个安全反应嘛,那从而的话,在安全事件发生的当时的话,也不丧失你去拯救你的环境的一个机会啊,那否则的话,你这个收集了很多安全感知的数据,数据进来,你也你很很几个小时之后,你才能用的话,那就就非常被动了,那因此的话,我们这为了让你达到这样的效果的话,我们会去帮你。
72:14
去检查我们的一些告警的一些趋势,内部和外部告警的一些趋势啊,内部就是指的用be磁,用e alk这个对战本身我们原厂的一些事件的集成,外部的话,就刚才我说了,你可以通过find l bit呀,可以集成很多外部的一些安全管理方方案啊,这个当然都是通过ecs的这个卖品进来的这个数据啊,那进来之后的话,内部外部的数据其实我们就覆盖了我们所有的数据采集点了。那假如都是实时的的话,那我们现在就可以做事件的这种分析了,事件的分析的话,外乎就是会有很多分类啊,这个在我们的ecs定义上的,它叫data set,不同的数据分类,每一个数据分类里面的话都有,呃,它会归集嘛,归集到不同的颜色啊,在时间轴上不同的颜色,然后这边就是刚才我们已经做到的啊,我们在主机是使用的al bit去做事件的采集,那同样的话,在主机上做数件采集的话,我们还可以用啊endpoint security啊,这是我们收购的那个end啊end game那公司啊,那为什么有了这个还要有end。
73:24
就是说我们这些是只做。只做数据,只做这个安全事件的采集的啊,只做采集分析的,不做实时的啊处理和反馈的,而这个的话他是可以做的啊,这个的话可以做的,比如说我当他发现网络入侵。正在某台这个端点上发生的时候,它可以对这个端点做一些防护,叭如说关掉它的一些端口,关键它的甚至说把这台机器本身隔离到一个隔离区去啊,所以说这个是可以有反应的,而我们其他的这些fire呀,这个winlog beat这我就不说了,就是在Windows操作系统上面归集日日志和事,日志和事件的话是通过lo beat。
74:13
所以就覆盖了所有的操作系统啊,这是安point是有反有反馈的,其他的是存数据收集的,在网络这一块的话,我们现在使用了一个叫packet bit,其实这个audit bit里面还还有那个socket,那个那个stick set,所以说这个的话也audit bit的话,同时也会贡献到网络事件上来,那另外的话fire bit的话可以去集成Cisco啊,Net floor啊,就是刚才我说的packed bit net floor networks。一些网络啊,卡DAZ这些开源的组件啊,我们今天会去尝试去探索一下这个S卡DA这个。Is的这个,呃,外部数据源啊。
75:00
这个packed beat的话,已经开始对我们这个数据流这个做数做分析了,今天我们这就是很典型的在云里面去做啊,这样一个安全的感知,这就是我们security的一个概要界面了,概要界面的话,那我们话不多说,我们来看一下一个比较有意思的一个视图啊,点点击网络。点击网络的话,这样的话,我们所有的GUIP的信息的话就啊一收眼底啊。啊,我们IP的信息就出来了,我希望你们也可以很正常的看到这个信息啊。如果说你们这个看的很正常的话,你可以在聊天室里面给我输一个八吧,啊,这样的话就知道大家这个进度是跟上了啊,假如你可以在这看到了。啊,可以看到了。这个地方就刚才我为啥要去做那个很多机IP的买品了,就包括一些排PE烂的一些设置了。啊,大大大致就是这样一个这样一个概念。因为这是一个网络的公网上的机器嘛,这是一个公网上的机器,所以说它的很多。
76:04
它的很多的这个图层啊,这个都是已经帮我们做好的啊,图层啊,都是帮帮我们做好,你也可以在他在这儿可以看到很多网络事件正在发生,那我们这边有可以看网络的,那同时同时的话可以看主机的,你点开某一这个主机的清单就在这了,主机的身份验证是一类,然后主机的啊不寻常的进程是一类。啊,主机的异常事件是一类,事件是一类,外部告警是一类,对吧?这就是把主机的信息就所以给你所有的东西都给你做分类了,那目前的话我们只有一台主机啊,假如你有N台的服务器的话,那这边的话会有一个详细的清单在这儿了,那同样的话,检测这一块的话,我们今天只是做一下预览啊,因为咱们现在这个呃,当前的这个呃版本的话,7.10.1的话,实际上已经支持了,在咱们在腾讯云这个服务里面啊,咱们这个ES的话,后台ES还需要支持啊。
77:04
还需要在未来的版本当中去支持APIK的这个功能啊,APIK的功能啊,具备了以后这个功能就可以使用了,所以说今天我们这个课件当中会预览一下啊,这个这跟它相关的操作啊,可能就啊不方便操作啊,不方便操作就跟大家提个醒,所以这个就是我们所谓的时间线是提供给大家做这个安全事件,呃,分析的一个啊工具,什么叫时间线呢?我们所所我们所有的。这种安全事件的这种啊,分析的话,其实都是基于。呃,时间的基于时间轴的,所以说我们这边有一个呃提供了这么一个功能,待会儿我们也可以体验一下这个功能是怎么用的啊,它其实是一个生产力工具啊,它希望你在很多不同界面去转换的时候啊,可以将你的这个搜索和你的这个分析的这个思路啊,呃牢牢的把握在自己的手里啊,这个上你的搜索和分析的思路不断线啊,你的数据是呃频繁的更新和刷新的啊,直到你搜索到你想要的结果,那一旦你搜索到这个目标的这个威胁事件的时候,你会把这个事件转化成一个案例,其实就是一个case啊,因为你需要去呃调研人工调研和干预的case啊,接下来的话,你可能对这个case做追踪和管理。
78:22
那这边的管理的话就是,呃,刚才我说的,我们今天不会讲end point security啊,不会讲point,好了,我们今天的时间有限,我们会在五分钟之后啊做第二次抽奖,那么我们继续来讲解我们这个packet beat啊,这个其实我已经把这packet beat的这个,把security主界面的主要功能给大家做了一个概概述了啊,主要功能给大家做了概述,那么现在的话,我其实更感兴趣的看一下这个packet beat的一些这个dashboard啊,这个大家我相信也也是比较感兴趣吧。点到dashboard这边,然后点这个仪表板,然后你会看到这个啊,很多可把它啊一页可以显示看packet beat有这样一些仪表板,仪表板的话,首先的话我还是从这个overe的仪表板上来去看。
79:13
啊,这边的话就是一个总的欧国有的一个概况的信息啊,概况信息我可以看最近的,呃,十三十分钟的,咱们这也直播了,得有快。直播了快一个一个一个已经一个多小时了,所以你可以看到这个现在的一个情况啊,一个地理的一个情况,然后我们这是OV的一个状况啊,我们还会有什么呢?还有这个network flow的状况,这是刚才我说的抓包了以后啊,它任何能够识别分析的这个网络包的话,它都会解包了以后在这去看它里边原目的啊,他自己等等等等。然后他会看DNS,为啥要看DNS呢?对吧,一个DNS数据外泄对吧,没有这个事儿对吧,他你的很多的一些数据,数据文件是吧,他可以通过一个外部可控的一个DNS做一堆的DNS查询啊,然后就把你这个数据文件给偷走了,对吧?所以说这个DNS重不重要。
80:11
你这个重要对吧,就刚才我也故意拼了一些这个IP地址,对吧,我也造了一些这个数据。这个日本的IP地址是吧,所以说你可以看啊,这边的话它都是些概要,那这些东西都可以很直观的去帮你。帮你实现你想要的,帮你实现你想要的一些数据的分析,它只是我认为它是具有一定的可用性的,但它这个实际能不能用,实际能不能达到你想产生的效果啊,啊这个待考虑,这个你需要啊,你来去判断啊,通常情况下你会对它做优化啊,对他做优化,做这个做一些这个调优啊,去增加出你对你有用的增值的部分啊,它实际上是给你做了很多已经非常有用的例子啊,那你也可以直接去使用,也可以对它去做优化。
81:02
好了,这个就是呃,Packet beat的一个packet beat的一个dashboard的使用啊,然后我们现在来看,因为我们还有几分钟的时间啊,我们会速度越来越快,我们就安装配置这个fire bit,安装配置fire bit的时候,哎,你可以来这边看一下我们fire bit,它默认我们原厂带了哪些,你看比如说我要去点添加数据。点添加数据,你看我点点安全这块的话,其实这边的话,其实就是他把安全相关跟安全有关的这个啊,都给你列出来了啊,所以说在这边的话,你可以看见像,特别是像这个。OS像这些对吧,像这个呀。啊,这些都是跟安全有关的,F5的日志啊,DNS的日志啊。呃,Outbe我们就不说了吧,系统日志对吧,像这个C这个现在也是比较新的一些。
82:05
的一些。一些管理的工具啊,看我们这个还是非常能够这个紧跟时代的,这就刚才说的。你这云里面的话,其实你要采集网络安全这块的话,它有很多东西可以去采集,云里面的话,像GCP的这个cloud audit firework这个VPC的log,那这些的话你都可以来集成做分析啊,都可以在集成,如果说你在腾讯云里面也有类似的这个集成点的话,也可以做这种类似的数据分析,那这个我就不不细讲了,这个就是,哎,所以我们可用的啊,就是这些都是已经给你做好mapping的啊,你只需要把对方的系统数据接入进来就行了,那我们现在就来讲一下我们这个接入的工具啊,接入工具bit。Fair bit本身的话有很多的模块啊,Fair bit本身有很多的模块,这个上面的每一个方块就是fair bit当中的一个模块,它本身的话是一个可呃可执行文件,它搭载的这些采集的数据采集和数据集成配置文件就fire bit才有用啊,否则这个fire bit装上之后的话,运行起来的话,它不会啊,你不启用任何模块的话,它不做任何采集的,好了,我们现在呃来进行我们的第二轮抽奖啊呃,不要这些问题都被刷刷没了。
83:24
呃,请问。请问目前数据是auditt bit的输出的数据,呃,那其他第三方主机或终端输出的数据支持配置兼容吗?首先的话是支持的啊,首先呢,支持的话,待会我会用fire bit的方式去集成维卡的,那在这个过程当中的话,你就能看出了我们是如何集成第三方的这个数据的输入的,呃,请问al bit输出的数据,那么其他啊,啊,这个是相同的问题啊。呃,还有没有别的问题啊,就是任何朋友啊,你们在在听课的过程当中啊,你可以来去输入你的,呃,任何的问题啊,方便我可以在今天这个讲解的过程当中就给大家解答,哎哟,这还有这么多数据上来啊,我就。
84:17
是不是截取早了?呃,我这个。大家还在疯狂的输啊,那我啊,我我我觉得我刚才那个数据是不是有点有点这个我在。我再做一遍,呃,这个我我觉得这个数据可能更更合适一些啊,我会把这个数据插掉啊,我会用这个第二次数据,这个03:02的这个数据啊,啊恭喜这三个同学中奖啊,好了我们来继续来去。做我们的这个呃,课件,我们来安装fire bit,我们来安装fire bit bit的安装。嗯,Fire bit本身的话就具有这个安全事件的这个采集功能啊,就像aludit bit一样,Audit bit的话,它采集主机主机的数据,Fire bit里面的话是操系统的一些日志啊,很显然的话,操系统日志当中也有很多是安全事件,那同样的话我需要做file bit这个setup啊,因为首次都是要做set up的。
85:21
然后同样的话,我还是到这个地方来。对,我这个命令就可以一直使用啊,一直使用,然后。诶。然后把它这个索引setup好啊,这个我就在不赘述啊,每一个索引都有你的这个数据的生命周期管理的这样一个概念,你需要去设置很多这个索引的一些呃细节的参数,比如说每一个索引的分片多大是吧,通常建议。30G啊,那默认的是50G,那你这个生命周期的一个规则,这个规则的话是要跟你这个集群的配置去搭配的,那接下来的话,我们就继续学习啊,这个有了这个配置之后的话,这就刚才我说你所有的model的话是要引A豹的,不引A豹的话,你是呃启动它,它不会采集任何数据的,主要启动至少system这个model system里面就包含了一些安全事件啊,呃,那么的话你就可以发现。
86:25
呃,你就可以发现这个module启用了以后的话,它才会采集出你可以用list这个命令啊,去看你现在这个fire bit,你这个版本的feel bit现在支持哪些啊,Mo这个mole的话,就你装完之后,你mole就带了那个Mo的配置文件也都在那个,呃配置目录里面啊,你你这个系统当中只要有那个模块,有那个数据的话,你就可以启用它集成集成那个外部的数据。好了,我这还需要一些时间啊,需要一些时间,然后我们。来去确认一下啊,我已经启用了,你可以看一下啊,这个我不一一去跟大家这个来去读了啊,你可以看到这个是很多的Mo啊,有这个Mo意味着啥,有Mo就意味着诶你只要把那个呃,它集成的那个文件,它采集监控的那个文件,你给他,那他就已经给你做好了这个麦屏啊,他这个每个字段,他读那个配置文件,监控那个日志文件,比如说监控待会儿我们去看啊S维卡的配置文件。
87:31
呃,监控那个配置文件,它监控就意味着他已经可以。读懂了它那个它解析这个配置文件的规则,它也写好了啊,解析这配置文件规则也写好,所以说这个假如我们默认的支持的话,是很很很轻松啊,既不支持的话,你可以自己去做一个module啊,因为这个很多fire bit Mo的话,也可以是在开源社区里面有很多人在做,在分享,你也可以去查一下,也可能这我们现在原厂不带,然后你也可以去做,你也可以去找别人做的东西。
88:03
好,我们再回来,然后我们还是同样的,我们需要有一个fire bit的配置文件啊,Fire bit配置文件我还是使用相同的方法啊,去来制作我的fire bit的配置文件,然后这里面我就不赘述啊,这fair bit配置文件也是大同小异啊,大同小异它外乎就是上面这一段不一样啊,比如说fire bit的一些输入的默认的操作系统的路径,他会看这个路径下面的操作系统的日志啊。嗯嗯。它的对它的Mo的这个目录的一个采集的,呃,就是检查的一个时间周期,一分钟检查一次,假如咱们有新的mole启用,或者说有这个mole里面的配置文件发生变化,那它这个新的配置文件就会在60分钟以后就生效,就不需要启重启我们这个file beat这个进程。那后续这些东西我就不细讲了啊,这些东西啊都呃,都是一些标准的一些配置参数,好了,我们现在要来创建我们的这个新的。
89:12
叫S6的这个文件啊,配置文件。我已经有了四五了,我们现在VI一个66.ml6.yml,然后并且把我的这个配置信息放进去,然后。好了,然后我们同样的也是把它部署啊,并且测试一下,把它配置文件部署和测试,诶这个测试也是成功的,然后现在我们启动这个fire beat的数呃采集。好,这个fair bit这个就是服务也是正常运行的了,Bit它通常情况下呢,也是需要一秒的时间吧,有时候会大于一秒,他才会把这个数据正全部摄入进来啊,因为这个咱们在这个操作系统里面,虽然是新建的操作系统啊,这个操作系统里面应该有几兆的。
90:07
几兆币的日志需要摄入啊,可能也有啊,几千条啊记录,我们来看一下这个数据是不是进来了,可以搜一下。搜一下,我们还是看的比较直啊,我们也不去那个。不去看那个索引了。这数据还没上来啊,可能需要等一分钟。大概是一分钟之内的时间吧。好,在这个过程当中的话,我们来再看一下我们的,呃课件啊,我们数据上来之后的话,大概就是还是同理,就是你希望还是尽量去看原厂的一些例子吧,这些例子如果说已经足够用了,那我们就可以啊。
91:03
用它就可以干活了,那你觉得它不够用,或者说还需要优化的话,你可以调整它,这里边的这些控件的这些名字都有啊,按照控件的名字去找到它,然后去调整,去修改,那修改的时候你最好是把它COPY1份啊,去修改你一个你想要的一个样子,然后再做替换,或者说再补充到这个视图里面来,或者做一个你的自己的新的视图,那这样至此的话,我们这个。默认的这个安全事件的归集的话,我们就做完了啊,不知道大家有没有什么问题啊,有问题的话你可以,呃,你互动的同学还蛮多的,有问题的话你可以把你的问题啊,这是一套security从端从端的采集到分析开始的。开源嘛啊,我们首先的话,你这个问题的话,我再再描述一下啊,首先的话,我现在演示的这是基于elastic stack这个技术站的啊,这样一套解决方案,那么所谓的elastic security的话,是我通过这个技术站呢,做这个安全事件分析,所以说咱们今天这个。
92:12
直播的话着重的是跟大家讲这个same方面的这个啊管理,那same的话就是安全事件管理啊,就是就是端到端的从采集到分析的这个整个的流程,整个的流程。那采集到分析的整个流程的话,就包含了刚才我说的咱们那个创建这个same的一个啊,整个的一个不同的阶段,不同的阶段,所以说我们现在已经完成了最基础的阶段,最基础阶段呢,就是数据的采集和展示化,那采集的话,我是通过安装和配置这个bits完成的,Bit的话,我现在做了三个bit。对吧,一个audit bit,一个packet bit,还有现在刚刚刚做完的是fire bit,他们具有不同的采集功能,从我的这个端点把数据采集上来了吧,采集上来了之后的话,我在这边的话,我就已经可以做基础的一些可视化的展示了啊,比如说这个。
93:03
Beat。比如说现在上来的数据是什么样的呀。比如说这个packet beat上来的数据是什么样的,然后我可以在我的这个,呃,已有的,已经有的这样一些一些数据当中,我就可以看到我想看的一些事件,或者说我就可以发现我可能想发现的一些问题了。啊,所以说这个就是一个呃从呃很多你想。管理的一些控制端反映上来的一个呃,反上来的数据,然后你在这边的话,可以做一个几乎呃近实时的一个数据分析,啊,看到这fair bit数据也来了。对吧,这个就是一个几乎我们假如这个数据这个系统做得好的话,中间那里延迟的话应该是比较低的啊,每一条事件如果说在一分钟之内,你可以可答可查的话,你这个系统是准实施的系统就一点也没问题啊,呃,那所以说的话,而且我们是开放源码的,那现在的话,Elastic的这个产品的话,Elastic search和K巴纳的话,它的as的话,它是叫elasticas VR加SSPL,呃,它之前的话是这个,呃,它之前的话是这个,呃,阿帕奇阿帕奇加elastic VR啊EL后来他改了,后来我们现在改到这个elasticas VR加SSPR,那现在这个license的话也是。
94:40
跟以前一样,全部源代码可用的,而且你们所有用户参与源代码的这个反馈和参与源代码的这个协作,都是在github里面跟原厂可以直接去做到的,这个是跟以前完全一模一样,这个以前就是这样做的,那以后也不会变,那控件的性能,控件的性能好控制,不控件的性能的话,你刚才也看到了,只要加载。
95:08
一个大量的数据的话,这跟很多因素有关系啊,这跟你这个查询上来这个条目的数量对吧,你这个查询上来这个数据是一个什么时间范围,是不是就是现在咱们的热数据啊,其实它有很我想说的是可以控制,你要控制到一个什么样的延迟是你满意的话,那你需要做一些对这个系统的一些优化吧,就是。啊,这各个地方都是可以锻造的,我希望你就可以呃做好啊,各种优化啊,达到你这个延迟的一个效果,达到你延迟效果啊,所以说我们这个控件啊,我们基本上最好的话都是希望它是秒得到,其实我觉得现在因为我这儿只有一个,只有一个采集端啊,这个数据量也比较小啊,可能几千条数据啊,大概就是这个效果。你要几十万条上一条,或者几个上几个几个T的数据啊,那可能又不一样了,但是这个怎么讲呢,这个ES在后台的话,它支持大规模数据的查询啊。
96:14
这个你也可以根据你的业务需求啊,把这个系统调整到一个你满意的状态。好了,这个大家非趁啊,你都可以跟我可以有很多的问题的交互啊,这证明我今天这个分享的话,大家也都听懂了,也都是在跟我一块儿去学习啊,这个也是。呃,到目前为止的话,我们可以进入到下一节了,我们做一个短暂的一个休息吧,我们来继续学习。这边再跟大家讲一下,我们现在都做了什么,我们现在都做了什么,我们回顾一下我们现在都做了什么。首先的话。首先第一步的话,我们在腾讯云里面啊,我们在腾讯里面创建了这么一个elastics,在腾讯云的elastic search服务下面啊,因为这是一个elastic官方支持的在国内落地的elk的SaaS服务啊,这个大家能大家能听懂吧,就是在国内的用户使用这个elastic的SARS服务的话,有。
97:21
有有有几个选择啊,那你可以直接使用elastic cloud,那官方的elastic cloud啊,那那些的话都是在国外的一些云上可以使用,那在国内的话,如果是你国内的腾讯云的用户的话,这个就是elastic search service的话就是。这个来公司在国内的SARS的落地啊,Saras落地在腾讯云上落地,是由这个腾讯云的大数据团队来去开发并且去支持的。那么这是来一个官方支持的一个S服务,所以说我们首先的话,我们要做云里面的安全管理的话,首先呢,我们得有一个。
98:01
安全管理的一个数据平台,是不是这个数据平台的话,我们就是通过elastic search集群实现的,那我这边的话,我创建了一个三节点,我用于我现在用于我现在的这个叫。用于我现在的。这个实验环境啊,我创建了一个乞丐版低配的三节点的啊集群,那我创建了这个集群的时候,我呢,我还把这个kVAda的这个稍微提高了一下啊,提高了个两核4G了,变两核4G了,所以说在这边的话。我们是不光有这个ES这个集群的存在啊,E色集群啊,还有K8纳,K8纳是我刚才说了,在我这个技术站里面,它是做这个上层的管理和对数据的查询和使用,那这样的话,有了这个的话,我们就具备了我们所有的管理的平台了,这管理平台就具备了,那我为了演示达到今天演示教学的目的啊,我还创建了一个呃,云的服务器啊,CVM的服务器,对吧,我这边呃这个跟大家一块儿创建了一个服务器。
99:11
那用这个服务器来来演示主机上我可以做安全管理的时候,刚才咱们也有同事也有朋友提到啊,端到端的安全感管理是吧,这个。想必你也是做安全的,呃,安全的这个团队的人员啊,所以说你这个的话,你都是有感觉的啊,你在你的这个网络当中啊,你在你的腾讯云的网络当中,你可以想一想,你这个安全管理的话,你会去怎么去规划啊,怎么去规划啊,你你可能也是有自己的一个云里面的一个网络的一个拓普啊,你可能有,诶在哪几个az啊,哪几个region里面,你有你有你的这个云的服务器的部署啊,你有云的服务器部署,你可能也会需要去做一些考量考量啊,诶去识别出你要去堡的这些主机啊,在哪些区域,在哪些区域啊,都有多少台需要纳入管理,那么每每一台针对每一台机器的管理的话,你不一定是要。
100:08
Fire bit ait bit就packet bit全都装的啊,首先这个是,呃,这个是错误的啊,你在做数据安全世界收集的时候,你是要做规划的,那你需要按分层去看,诶网络层上我怎么去收集数据啊,那在哪些网站我去部署探部署探针啊,这个探针是用pack去部署呢,还是用其他厂的工具去部署呢?那如果非原厂的话,那我如何去做集成呢?那集成是不是已经有现成的fair bit的这个集成包让我们来用啊,那这个是需要你在做数据收集的时候,需要去做规划的一件事,规划完了以后才是噼里啪啦的才是用我这课件当中这些,呃,参考命令啊。你实际生产环境上,你肯定也不是这么做的,肯定搞一些什么。安宝什么source stack之类的,你推一推,你就把那个东西就补好了,不可能每台机器都这么去搞,所以说你这个做完安全事件的一个是规划之后,然后你再上来噼里啪啦就去收集这个事件,收集事件一旦收集上来了,刚才我讲到你这个底层的平台,我已经设计规划好了嘛,你可视化的时候,就是你使用和查询这些数据的时候,在可视化的话有几个阶段嘛,几个阶段,第一个阶段的话,你可视化查查询你的裸数据,那这个就是在你的索引上用discovery,用在你的索引上直接去查这些裸数据。
101:33
那这这本身就是一种可视化,本身是一种可视化,这个查询有条件,然后你这个。你这个查询的过程当中,你就直接在某个字段上就可以直接点可视化分析,对吧?这个是我们K8那里面,它最最能给你提供的这样一些功能啊,就是这个啊,就是这样一些,你看每一个字段上,假如他有数据的话,都可以直接对它数据做可视化分析,因为我现在只有一台机器啊,这个数据比较单一,比较单一,其实你的网络复杂的话,其实这个每一个下面的话,可能都是有很丰富的数据的含义,你可以当时就在这做数据分析,然后这个这个地方它可以直接进入到你的那个我们那个可视化的那个工具里面去的。
102:20
那这个K巴纳这个东西是很好用的,就是在这个地方就进到我们这个叫LIS这个工具啊,其实你可以直接就在这是搞很多的分析图了,所以说就是你的从你的这个从你的裸数据到这个图形分析只有一步之遥啊,只点一个键就过来了,这也叫可视化,那除此之外的话,这个就是比较low,但比较高级的可视化了,越low你可以做的东西事情就越复杂,对吧,但是你就需要对你的个人的技能要求越高。那你说我比较懒,那我比较懒的话,你就那起码的话,原厂带的这些图你会看吗?你知道在哪吧,你知知道怎么去优化分析吗?那这这这个你也不是一天能够变成一个安全的管理的一个。
103:04
管理的一个高级这个工程师啊,你也可以通过先学习原厂的这些呃,可视化的一些图表来去想出你的来,去思考你的可视化分析的一些套路,然后再去构建你的可视化分析的一些空间啊,最终做出你一个非常炫的那个日间的那个去实时监控的那个大屏幕啊。所以说它就是这样一个过程,你可视化分析的话,你再往上走,这个才是到我们综合性的去做安全运维的时候的界面,所以说我们这个越往上走,其实是越高级的,这个地方才是你做日间的综合的安全评估和安全响应的的地方。所以说这个地方要更高级,更更高阶一些了,这个地方你走到这个SIM里面的话,那起码的话你都已经到了这个阶段了,就是专用的same应用啊,就是用来支持我们这个sups的这个工作流的,就是用来我们sups工作流览,所以说我们这个这个都是一级一级你往上走的,你这一集你做做踏实了,你做会了,你才能往上走,否则的话,这个界面拿给你有什么用啊,这个界面你都不知道这数据是哪来的,那这些数据你能看懂的话,你也没有做过规划啊,那。
104:29
也也不是很全面,那这个界面的话,对你来讲可能作用是很有限,所以说你是一级一级的往上练级啊,所以说我们到到我们这个到我们这个security的这个界面里的话,我们就起码达到LEVEL3的这个级别了,它到起码达到LEVEL3的级别,好了我们来来看一下我们这个叫SOS的一些巡检分析吧,我们可能就是一些安全的一些巡检分析啊这个。
105:02
刚才我已经含沙射影了,你说出可以去查询可视化分析数据的很多地方了,对吧?我就不再赘述,K巴纳就是你最好的朋友,这个东西的话,你在巴纳这里面很多的。功能你要很熟练的话。你对这个EECS里面数据定义和对现在你自己的已经收集上来的这个数据都了如指掌的话,那你直接就可以开始你的任何的搜索的分析的目的了,那我们可以再讲一下更高级的啊,我们讲这个KQS就是这个。一个原生的一个分析分析功能啊,原生的一个分析功能,基于KQL原生的分析功能就是分析一些DNS的可疑的事件,刚刚我也说了,DNS是可以被操纵的啊,就是假如他有一些脚本在你内网被执行了是吧,那有些。有些这个脚本的话,可以把你这个一些重要的一些数据文件可以给你百度出去啊,通过DNS数据泄露的方式,所以说你可以来看一下,假如你有这个担忧的话,那你来如何用security界面为来对这个DNS可以事件做去做分析,那首先的话,我们是需要用安全用时间线这个功能帮我们去做这个DNS的可疑事件分析啊,我们现在可以走到我们的这个K8大里面去到我们的这个点,我们的时间线啊。
106:32
点我们的这个时间线,进到时间线里去。进到时间线里去,然后在时间线这块是空的啊,现在所以说我们就。可以创建一个新的时间线,点击这个右上角的创建新的时间线的按钮,这个按钮的话,其实跟这个点这个旁边这个效果是一样的。那这个这个。
107:01
新建这个页页面的话,它其实是可以,它是悬浮的,它可以,它可以出现在叠加在很多的地方,这叠加很多地方的话,它是有它的目的的,它是为了就是让你在任何一个界面里面。呃,你可以把你看到的,你可疑的任何的数据,可以把它拖拽过去,比如说我把这个IP可以把它拖拽过来。那这个就实现了一个怎么讲呢?就是一就是一个就是这个地方就是一个查询框,它这个默认是货的,默认是货的这个嗯,查询逻辑,默认是货的查询逻辑啊,所以说你可以你可以看啊,你可以尝试着。你可尝试着把这些字段,你可以往这拖嘛。你可以,你可以拖到它不同的这个地方,可以拖到不同的地方可以。你可往上拖。你你感感觉一下这个效果,感觉一下这个效果。
108:02
啊,所以说的话你可以看啊,它已经帮你在时间线本身来讲的话,它就是一个很好的一个,呃,查询搜索的一个框,他为什么要做这个框。因为你这个事做安全事件,其实你还是比较。比较难的,因为它这个头绪特别多。你在有的时候,你在每一个界面上,你很难看出来我应该从哪儿去去分析,你只是说把一些蛛丝马迹都给搂过来,但是你按什么逻辑顺序去分析,你也不知道,但是呢,直到你把这些线索呢,这么挑挑拣拣的你找够了,挑挑拣拣的你们找够了,找够了以后的话,诶,你突然临间灵光乍现,诶你说某一个用户从某某个IP呃,找了某一个什么进程,哎,那这个有可能是你的一个思思路和线索,那么这样的一个事件的话,才是你去目标要去去分析的一个一个条件,所以这个条件不是他。
109:07
你还没开始去分析的时候,你在分析之前你就已经想好了,那也可能,但是的话,更多情况下,分析的人员,他是在分析的过程当中。不断的去。不断去锁定他要搜索的这个目标的,所以你的。你的搜索的话是一个动态的,你的思你的思你的本来你这个思路就是一个动态,所以他这个时间线就是为了帮助你去实现一个动态的思维的过程,你在某个阶段,你就会把这个你的这个搜索条件就定格了,定格成诶并并且并且给它起个名字啊,那这个东西的话,往往就是一个你的一个安全管理的一个资产,因为你有可能说哦,这么一个搜索的一个套路的话,我可以把它。啊,可以用在所有的数据源,这个现在我就强调这个ecs了,对吧,你file bit的话,我有可能是操作系统的,有可能是别的这个第三方的安全工具进来的数据吧,Ait beat a bit beat是网络数据,对吧,当某一个安全事件发生的时候,其实它是。
110:16
在很多地方都留下蛛丝马迹了,但你你如果说有统一的数据定义的话,你按照这个你的思路的话才可以。任你发,你把它。在统一数据的基础之上,你再把你这个思维完善了以后,才可以变成一个呃,时间线工具来去使用,所以这个话不多说啊,我们来去来。你也按我这个过程啊,来创建一个时间线啊。这是通过做来去理解啊,你要不做,你不做一遍的话,你这个理解是很有问题。对吧,你把这个时间线哎,我要DNS,我这个就是DNS协议啊巡查啊,这个时间线叫这个名字,那么下面来我我需要点击添加字段啊,在输入中这个network proocco的话等于DNS啊等于DNS,所以说我这个操作应该怎么操作呢?
111:14
点击添加字段,这个这个字段是啥呀,这个字段不都是里面定一个字段吗。对吧,但是这个字段,这个字段的话,它在所有的索引上,它其实是拉起的,每一个索引的话,它来自某一种工具,它只是提供了一个子集的这个字段的使用。对吧,等于DNS保存。那你就可以看到我这个网络当中,就最近一小时,我可以查最近三小时。对吧,我可以自己设置我的一个数据的一个窗口条件,我可以设置三小时对吧,然后的话我还可以做什么呢?我还可以,呃,我我们按照这个课件来去啊,我们可以点击这个来去看详情啊,看你每一条数事件的详情,所以说你在这个不是。
112:11
每一条世界嘛,你可以高某一条,你可以看它的详情。详细就这条事件本身所有非空字段就展示给你了,我们这是有ecs,你看ecs它有一个字段的描述,哎,假如你不太理解这个字段是啥意思的话,它就有一个描述,它的这数据定义都给你了,所以说你这个所有非空字段,你看这个IP是CN广东的。啊,这个是符合so编码的,他告诉你这个这样一个含义。这个是广东的吧。然后这是DNS query是in query,然后他D的flag。对吧,他这都有解释对吧,所有非空字段都给你都给你来一个解释,他这个DNS查询丢持续多长时间啊,1.4毫秒。
113:02
查这个DNS,然后这是从哪个主机发出的,对吧,这个我就不一步去细讲,所以这个是你的详细的信息的表达,你也有一个,你也有一个这个概要信息的表达,你看概要信息,他已经你这么多字段,你就看的话,你是不是看的很累啊。那怎么把这些这个字段摆在这,让你看得更明白呢?其实他已经给你做了很多的工作了,对于网络事件来讲的话,他已经给你做了很多工作,你可以看啊。在这个主机。请求过。这个域名的DNS,它实际上这个域名是一个A记录,A记录它解析为了这个IP,那响应码DNS查询完之后,响应码是什么,他通过一个什么进程查询到的。Outbound DNS啊,这个数据包是udp数据包,还有一个包的ID。
114:00
然后这个DNS查询的话,它有一个原的发生的时间毫秒。你看这个圆的IP端口。啊,这个就是我们的GUIP的信息。啊,然后他有个目标的,它有一个查询的一个过程,返回的一个过程。所以这个已经给你把一个网络事件,因为你这么多I这么多ID,你是不是看的很晕啊是吧,所以他这个界面它不是那么轻易啊,给你随便给你做的,它它是有意义的,你看它每一条是有意义的。所以说你们可以通过这个界面的话,可以怎么讲,它优化了你对这个安全事件的理解,优化安全事件的理解,那接下来的话,我们来看一下啊,那。在日历中查看你时间窗口,点击所引看这都是呃点位,这都是你的这个在时间线可以做操作的地了,这个我就不一一去解释了,你可以去在这儿,呃,你可以选择你任意的时间窗口,绝对值还是这个相对值,然后你在这数据源,所以你这个DNS信息可能发生在这三个。
115:08
这个数据原理都有啊,有可能都有,有可能是有可能,呃,有可能每个有可能某一个有啊,这都无所谓,但是在这个地方你可以去定义你这次查询的话需要哪些数据啊,你是需要在事件里查还是在告警里查啊,这个是这样,然后你可去。你还你还可以去在QQ使用QQ搜索,进一步优化你的这个查询,进一步优化你的查询,这个我就不讲的太多,不讲了,你还可以给你这个有一个描述,你这不是一个时间线,刚才我说了就是你这个,虽然我这个地方很简单啊,只是放了一个ID在这,那你是不是可以做很复杂,你你你做很复杂的话,你这个没有一个描述,你自己过几天的话,你是不也。理解不了了。所以这个地方都是它方便你去做这个,做这个呃,巡检管理的,然后这儿可以加一个星标,把它收藏起来好了,我把它关闭,把它关闭这个时间线,关闭这个时间线是已经保存起来了,你点到这个时间线这。
116:10
你看。呃,他就已经有了,如果说你点了那个时间线,如果说你这个点了那个搜索这个这个这个星标的话,它就会出现你这个出现在你这个用户的首页的左边的这个这个快捷通道里。左边的这个快捷通道里最近的时间线。所以说这个时间线才是高级的一个,就是才是你正经的开始做UPS工作的一个起点。就你搞了那么一大堆数据进去干嘛呀。你是要有假设的,这个假设要转换成查询条件,查询条件能够变成时间线,时间线要能变成复用,复用让他变成可以,那你不在,你不在的时候,这个这个这个查询条件可不可以工作啊,那就知道规则,那下一下一节了。那就叫那就叫规则,规则的它可以自动帮你去查询一下,自动帮你去看着这个规则内的事件是不是复发了,所以说这个sups的起起点,咱们刚才说了搜集数据那是起点,那就那就很low的工作好吗?到这个地方他开始分析了,你才才真正的开始有意义的工作,然后接下来的话,你这个有可能真的是真的是发现了问题。
117:23
真的是拿在时间线里面发现了问题,一看,哇,这真的是一个数据的外泄,DNS数据的外泄发生了,那怎么办呀,那就赶紧。赶紧就开了。赶紧就开一个case对吧,这个地方是做case管理的,其实这case管理就是一个给你在这个里边做了一个小的工单管理嘛,对吧,给你做了一个小的工单的管理,你就说哎呀,这是一个一次DNS数据外泄,DNS tuna tuna的这个这个外泄的一个一个过程了,这是在这是在Linux机器上被我们发现了。
118:01
对吧,它应该是一个事故了,对吧,我们可以把它做一个,呃,做一个就是你们公司,你们公司这个这个通常情况下,你们公司的这个工单管理是怎么管的呀,这个基本上也就是这些。有有些这个标签是吧,就是应该是一个按你们定级的话,一个中级中型的一个事件事故了,然后在这边的话,我们可以把我们的,呃,我们可以把我们的它这里面是支持markdown格式的嘛,然后可以把我们的时间线插入进来,那这个工单系统的话,我就不我就不去细讲这个。嗯,就等同于你做的所有的,呃,这个就是呃,你们以前的这个工单你都用过啊,这个我就不细讲了,所以说这个我可以把我的时间线插进来,这个也都支持八个档对吧。对吧,这个东这种东西我就不说了,我创建啊,这个就它的工单系统就在这里边就内置了,呃,这工单系统的话,还是可和外部的工单系统去对接的啊,你外部,比如说你外部才是你真正的这个开case挂事事件要报告老板的地方,所以说他这个地方只是给你做了一个内部的一个初步的一个支持,那所以说你这个地方的话,其实还可以做。
119:21
它有一个集成吧,这地方有一个,我记得这地方有一个集成的功能,呃,外部连接集成的功能的话,就可以把这个,呃,把你这个和外部的实件系统相连接起来,比如说你的GI爪呀,IBM有这个SIM的一个实件平台,或者说你用surface now,呃,这个是三个很主流的东西,这个是你在这个安全团队内部搞一搞,你这个把它自动的连起来啊,你会发现哦,这些日常的事件过程当中,我靠这个确实是一个事故了,那你应该把它跟那个外部事,呃,外部的系统打通,那通常情况下的话,你就把它推送外部事件啊,就直接把它连。
120:03
就是这个管理的的状态的同步的话,和外部那个系统就同步了,所以这个地方呢,就是这个工单的管理这个地方我不细讲了,我们在做一个复杂的用户分析,复杂用户分析吧。呃,今天的话,因为的话,我们这个现在这个版本啊,现在我们这个版本啊,就是我们这个检测这个地方啊,这个规则这块呃,还不太能用,就是我们就要等到下一个咱们腾讯云的版本吧,它下一个腾讯云的版本咱们支持了apik了以后,这个功能就有用了,但是我今天会把这个地方给大家也详细的讲一下啊,这个地方我们像使用一种高级的搜索技巧,刚才我们使用的是QQL,我们还有一个EQ l eql。我们这票直接是下划线,色的话就是,呃,直接是色的话就是这个e kql。但你要是杠eql的话,就是调用这个EL这个色是一个高级的功能啊,这E这个eql就叫e event query language,它其实就是用来做安全事件搜寻的,做安全事件搜寻的,比如说我们现在模仿这个root用户,呃输入呃输入这个密码输入错误,第一次,第二次,第三次输入成功了,然后并且他这个整个。
121:24
是在15秒内他做的这样一个操作,那其实你可以发现这是一个非常特定的,有先后次序的。事件的发生。你你想想你写语句你试一试。呃,所以说的话,你你就发现就是以前你可能所有的一些搜索的工具的话,可能都不好使,因此的话,他为了解决这个问题的话,他在。Search当中的话,它就它就植入了这个呃,E ql这个搜索的功能,它这个地方是有它自己的很多的语法的啊,其实他这边有它的,它基于顺序的,在一系列对象和目标上的一个感知性的一个,比如说它这个地方是三个,呃三个同时成立,就是你某一个事件的话,在每一条事件里面都包含着三个呃,字段都是相同的,并且。
122:19
发生了连续的这样三个事件,所以说他会认为这个事件是一个呃有意的,呃登陆的,这是有怎么讲呢,是一个有嫌疑的登录的过程。所以说这只是一个模拟啊,你可以再想一下,你是不是在曾经你的环境当中去做。呃,分析的时候是不是也有类似的一个啊,类似的一个啊,类似的一个这种啊思路,它这个地方有可能是我这个地方是很简单啊,就是三个都是用户认证的信息,那有可能是先用户认证成功的,然后启动了一个进程的,然后然后打开了某个端口呢,然后比如说在连接了某个外部地址是吧,这都是一系列的事件,那其实它这个语言的话,就恰好为这种呃搜索思路去设,呃去设计的,我们话不多说,我们先做一个分析啊,我们就把这个。
123:11
因为咱这是一个公网的机器啊,咱最不缺的就是外部的。尝试的登录啊,所以说我们现在来把它直接搜一下的话,应该也有也有这个数据啊。呃,所以说的话,它这个地方只是告诉你,我们这个地方是支持eql的,我现在在这个地方做这个搜索的话,哎哟还没有,所以我可以去造一个这个事,造一个这个事,呃事件啊,比如说我到这边我去S。HR root。嗯,Yes,我先输入两个错的密码。一个错的密码,两个错的密码,然后我要输入一个对的密码,第三个再不能错了,第三个再错的话,就跟他那个事件呢匹配不上了,然后。
124:05
再输入一次正确的密码,再模拟一次这个事件的发生啊,哎,这个输对了,然后再退出一下,好吧,然后再再来这个搜一下啊。呃。这个事件没有上来啊,没有上来,我再我再做一次努力啊,这个也我刚才说了,我这个全都是实景演示啊,我事先事先的话,我没有啊,所有的操作都都可能啊,都有可能有问题啊。这个大家都理解啊,然后把它的公网IP拷贝过来,然后哎。第一次错。
125:00
第二次错。第三次要对。那eql就是为了让我们去分析一系列的事件,而且这个事件必须在15秒15秒钟之内发生的,你可以看一下我这个查询条件对吗?我这个查询条件当当中有一个with max span。15秒就是他这个时间,每一个就是三条时间都发生。都行,呃,三条时间必须按照这个顺序发声,从头到尾是15秒,诶看我这个就搜索到了Y61。大家理解了吧,就是这个意思啊,就是这个意思,所以说你这种高级的查询的话,他给你带来的好处就是说你你就你现在他这个的话,他这个其实就是你的对象。SP就是你快行,然后你可以加上max SP,那你这个每一个网络的一个入侵的过程的话,它可能是一个一个阶段的,它从头到尾是你可能要去找,因为呢,他某一个特征的阶段很典型,他这个某一特征阶段。
126:14
它是呃频繁会出现的,那你可以搜索其中某一个特特征阶段,然后再往前倒或者往后倒,那在这个特征阶段的过程当中的话,它每一个中国号里面的话,都是一个网络事件,我这地方现在放了放了三个aus认证的,刚才我也说了,你可以是network了,你可以是processor的,你可以是。你可以是open port,你可以是很多的,因为你这个就要去查它的eql的文档了,它有很多的类型,然后你在每一个类型的话,它就VVR再去匹配的时候,它有它不同的条件,你可以想一下它这个1Q,它是。希望你在。去首先的话抓特征,就是你要去追踪的特征,这特征的话,在不同的维度上,它每一个中国号都是一个维度,你要这样这么去想,每一个中国号都是在不同的维度上都有表现,完了以后你搜索到一个结果,完了你搜索到一个结果,这样的话你就把你这个事件就定义啊,这个就啊锁定出来,咱们今天比较可惜啊,就是我们其实呃,最好的效果是我拿这个。
127:23
规则这个地方啊,在检测这个地方创建这么一个规则,把这个eqr输入进去,那这个我们这个产品的话,在下一个版本更新上来之后,我们这个功能应该就可以用了,所以这个地方我只是跟大家做教学啊,你在下一个版本更新以后的话,你在这个地方,你就可以直接在这个地方,它有一个eql查询的条件,你可以在这就输入进去了。在这里可以测试和验证你的条件,那这个效果的话,其实吧,跟我在这个地方查效果是一样的,但很显然就是很显然嘛,这个界面就嗯,这个界面就low一些啊,这个这个结果我也是可以理解的,但这个这个也表明我查到了我要搜索的这个事件了,但这个我去消化,我去看这个事件的时候就啊稍微就啊稍微差了点意思啊,所以说这个下一班更新了以后啊,这个搜索条件,这个过滤整个都可以变成一个规则啊,那我查一旦这个规则确定下来之后的话,我就可以让这个规则自动的定期的去执行。
128:29
那我就可以尽可以尽时时的去捕捉这样一个网络入侵的一个可能是阶段性的一个动作啊,所以这个地方我再不多说,这一这个地方有eql的查询的条件,我就写了大量的文档给大家,希望你也能够在你的环境当中活学活用,把它。发挥到它真正的一个,呃,真正的一个这个。一个能量啊,然后。咱们这有一个问题啊,时间线是我们关联规则查询吗?我们有关联规则查询吗。
129:05
呃,关联规则刚才我说了啊,我们时间线的话,其实你可以把它理解是一个规则啊,不是啊,不是这一个规则里面呢,它是有多个关联查询条件,所以说我我想告诉大家的,你在这个上面,在这个地方,我只现在这录入了一个关联条件。你这个关联的话,有几个可关联的地方,我这地方只输入了一个可以被关联的查询条件,你也可以输入多个,或与或否等等等等多个关联的逻辑条件,你可以放在这儿。还有一个关联查询的话,我再告诉大家说,我在这个地方如果说选择了所有数据源。假如我现在是多种数据源,那我告诉你,我这个就是一个关联查询,但是你要确保说你所搜索的这几个字段在每一个被关联的索引当中都是存在的,否则的话,你这关联是没有意义的,比如说你这输了五个字段,那你发现这其中某一个索引当中只有其中三个字段,那你加了这个数据源,那他也没有意义。
130:15
啊,这个我相信大家理解吧,所以你这个。是关联,关联的规关联的查询,关联规则查询,首先首先这个规则本身是可以关联多个查询条件,另外呢,就是这个规则本身的话,又可以关联多个索引的数据。好了,我们这个就把这个地方的功能给大家讲解清楚了啊,我们来。安全威胁首列吧,就是基于咱们这个sex sexs的这个所有的。分析巡检的技能技巧,把它固化成为一个可以自动化执行的规则,那么这个规则的话,这个功能的话,目前的话,我们今天呃,很可惜啊,这个版本还不能啊,不能这个正常使用啊,如果说你要急于想体验这个功能的话,你可以再找,你可以就在这个云服务器,你手工把它搭一套吧,你手工打单节点的话,你这就你这所有的功能界面就好使了,然后你要是想想那个看手工单机点怎么去搭的话,你可以到我这个。
131:21
到这个课件的这个网址上去看,我这个单节点的,呃,安全实战工作坊是怎么做的啊,你你在那儿的话,你这个所有功能都好使了,这个地方的话,呃,也是它会把刚才我们那个查询条件变成一个自动自动化执行的一个规则啊,并且自动去触发告警,自动的去在这儿显示它的,所以这个地方。规则被触发之后,它产生的结果叫signal。这个叫告警的,呃,告警的信号,所以说你当是当你的这个一个SIM系统,你应该怎么去看呢?就是说你的大量的就是在这个界面当中啊,你大量的看到最后的话,你其实都只只是来关注最顶级的事件。
132:08
你出了哪些signal,就是外部的告警的一些,外部告警的一些这个,呃,啊,那应该是在这个界面里啊,其实很可惜看不了,就是在这个。检测的,呃,里边你看见多少个告警的信号,这叫信号啊,规则触发了以后,这叫信号,所以说你在时间线上,哎,你看这些规则被触发了,那这个才是你可能。极度需要直接就去干预的一个事,一个事故,这才是事故,你从事件到这儿的话,变成事故了,因为你这个已经巡检,已经手工,已经逮住这个事件,逮入这种安全事件多次了,你最后的话就把它自动化掉,自动化掉的话,这就变成安自动化的安全狩猎了,然后一旦那个是有规则可循的,有迹可循,有规则可查的,那这个地方就可以变成自动化了。好了,这个地方的话,我们再讲最后一个,呃,最后一个功能啊,就是集成外部的系统啊,维的这地方我会一路装下去啊,我不会给大家做讲解啊,因为这套只是给大家做一个,呃,这个最基本的展示啊,就是你们这个所有的线上的朋友,我相信你们这个所有的这个呃,很多的。
133:22
开源软件你们也都。对吧,大家都玩过这个,这就是一个很详细的一个安装的一个步骤了,我会把它噼里啪啦操作一遍,然后咱们今天这个就基本上要要结束啊,即将结束了,咱们要即将下课了。啊,这个我再跟大家通盘讲一遍吧,就是这个第一项第一项的,呃,第一项的话就是你要把这个维卡安装配置起来,你这个维卡你自己都运行不了,你还让我怎么跟你去集成呢?所以说这个就是先把皮卡安装运行起来,运行起来之后运运行之前的话,它有一个规则库,它去更新,因为这个东西它开源软件就是也都做的很牛的,就是它有大量的社区的规则,就是你这个社区规则的话,它它ids嘛,那就是有很多规社区里面来的一些检测规则。
134:13
这检测规则是很有很有用的啊,我认为它是很有用的,它就它就扩大了你的一个分析能力嘛,对吧,你先把这些数据先搂上来,你先看。然后你根据它在优化,然后再变得跟你这个业务业务环境呃相一致,对吧,那这不这不是就很好嘛,所以这个的话我们也是不需要修改啊,因为我这个网卡的话只有一个ETH0啊,只有一个DH,假如你有你有多块网卡,然后你这个采集的那个流量又是在特定的网卡上,你需要改一下这个,改一下这个配置文件,它实际上是启动service,启动的一个配置文件,然后你那全部弄完了以后,我们这个地方就是启动卡DA,这一步的话是,这一步的话是启用卡DA,这个module,刚才我说过了,这个就是一个外部集成,然后再restart一下这个file bit啊,确保我们这个外部集成的数据可以进来。
135:09
好了,这个就是一个,你看它这个下规则啊,还是一个国外的网站啊,可能有几十兆应该也很快就下来,然后的话,这个Li卡DA的话,它可以去检测一些基于主机的一些攻击啊,比如说我们装一个嗨PIN啊,装一个嗨P,然后给咱们这个本机的话来一个来一个非常你不要给你别呃,最好就是在你本机上测啊,你不要或者在一个你已知没有用的机器上测啊,你给他来一个这个来一个疯狂的一个。疯狂的一个端口,22的一个洪水的一个,呃攻击啊,然后然后这个的话,其实他是一种拒绝拒绝拒绝拒绝这个访问的一个一一种攻击的手手法啊,嗯,那他会他会搞一堆的呃,这个伪原IP去使劲把这个目标IP的这个22端口的链接数全用完啊,就是这个,这是一种很。
136:07
是一种很普遍的一种攻击方法,那你这个攻击方法完了以后的话,你可以去查看攻击过程当中的话,你可以查看你这个日志啊,是不是工作的正常家这么去看的话,你可以看到你在攻击的过程当中,你看这个日志的话,你会发现哦,这个这S卡DA正在工作,他发现了这些事件,然后S卡DA因为它是我们一个官方集成的一个拈嘛,所以说它就内置了有S卡DA的这个仪表版,那仪表版的话,你可以看到它现在的一个状况,好了,我们话不多说,我们再来做一个迅雷不及掩耳的一个抽奖,我们这个其实越往后,其实它这个难度逐渐的提高啊,我们也想。呃,后面的话,我可能以这个讲解为主啊,我我会我不太会做很多操作了,那屏幕的点击的话,我相信你们也可以自己去,我始终建议呢,你假如参加了今天这个工作坊的话,你明天的话,你再和你的这个同组的,或者你本周之内啊,你和你同组之内啊,再再找一个环境,再把这个切磋一遍啊,让你们同组之内大家一块儿来去看一下它的使用方法和价值啊,这样的话才达到了一个充分学习的一个,呃,这个一个作用啊,否则的话,其实你个人学了,你不去在你们公司去实施的话,其实你这也哎也也比较,反正就当学习吧,学习还是有好处的,但最好是你在你们公司就实战一把啊,这样的话,你经过几个月的话,我相信你的这个收获更收获会更大,不管你这个最终给你们公司把这个same做没做出来。
137:42
可以做一个呃,为期比如说两个月的PC啊,这个我觉得是很好的,就讲到S维卡这个仪表版了,这个因为我也在装啊,我不想我看我还是把它。执行一下吧,我就模拟的攻击我就不做了,模拟的攻击我就不做了,然后我会我会带着大家再去看一下这个仪表板。
138:09
呃,这个仪表板的话,其实也不会有太多,呃,看到这个仪表板看完之后的话,你会有这个第三方的外部告警的趋势的数据就上来了,你看啊,我们这个假如是做的完整的话,假如检测里边那个规则是安全狩猎这个地方,我们现在叫预览学习啊,因为咱这个环境现在不具备操作,所以说你这个你就把它做这个整个主界面就做原版了,所以说你这个假如咱们这个规则都可以用啊,自动化检测都可以用的话,咱们上面这个信号signal就都来了,然后咱们这个斯维卡纳做出来了以后,这个告警web告警也也都来了,所以说我们。最终的话,其实是希望你能看到一个咱们这个安全管理的一个全景啊,全景就是signal,这个是最高端的啊,我告诉大家这个signal是最高端的,这是咱们固化的SOS的一些规则啊,这个这个告,这个是假如这个告警一旦出发,就最上面这个格的告警,一旦出发,这就是实时现在立刻马上要去干预的这个安全事故发生了,这个是我们外部系统集成进来的数据啊,现在我们展示的是用这个斯利卡的集成进来的这个数据啊,这个待会儿斯里卡达数据进来之后,这地方就应该有信息了,我也不等了。
139:26
然后这个事件就是总和的事件,总和的事件,然后下面就是我们的所有的事件源啊,然后这边的话就是主机网络。的查询浏览的方法啊,这个假如你做了嗨P之后的话,这个界面打开的话就会就会挺挺费劲了啊,因为这个界面你拿嗨一搞的话,可能搞出的。搞成几几十万条数据出来啊,这个这个这个所有的这个点儿,因为它是伪IP嘛,这个点就把那个地图就铺满了,之前我在我的单机电脑上那么做的时候是是那么玩的啊。
140:04
然后这个就基本上讲到我们今天的所有的全部了吧,那这个我们讲完了吗。我们讲完了嘛,就说我们这么这么做安全,我们就安全了吗。我们只分析,如果说我们这么做的话,我们只分析了我们在我们的安全事件,就是我们归集上来的安全事件当中的。什么部分呀,我们只分析了我们理解的。我们知道的,我们知道的部分就是我们目前现在做安全管理叫什么呢?我们管理我们。可管理的东西就是我们知道这么有一个东西发生了,然后我知道怎么去管理,然后我知道我去干预了,然后我还做了case的记录,我还做了时间线。我们都是在已知的范围做已知的管理。那这个安全大家想一想。这显然是不够的啊,因为这个事件的话,你这么做的话,你才分析到了你的事件的。
141:08
百分之多少,这我不给你大不给你下断言啊,你可以想一下,你分析到你的数据的百分之多少,你分析到你数据的百分之多少的可能性。所以说我们机器学习是用来干嘛的,就是。我在拥有数据的情况下,我有大量的领域是我不知道那儿发生了什么事情。我不知道那个地方是不是发生了我知道想去看的些事,我也不知道那个地方发生了是不是我不知道的一些情况,所以说对于这种未知领域的探测的话,就必须需要使用机器学习了,因为这个就是人力所不可达到的一些东西了,因为人的话,你大脑能想出的一些规则,那太有限了。啊,我们不不是说这么自卑的去看自己啊,只是说我们假如面对大数据的话,你能够分析处理的这个人的这个处理能力啊,是太有限了,所以说我这个系统的话,它在规则这块,它内置了大量的已有的。
142:11
规则,机器学习的规则,那比如说他会去看Linux网络链接的discovery的情况,因为discovery就意味着通过进程去探测很多接口啊,这是一个网络扫描的行为啊什么什么的。比如说Linux下面这个异常用户的用户名的检测。Linux下面异常进程在所有主机上的一个检测,那像这些都是一个很离奇多端的不可捉摸的情况,那其实机器学习的话,恰好在这方面是它是有它的优势的。比如说这个就是这个罕见的进程被某些Linux主机执行的。那这个什么叫罕见,什么叫不罕见?那他机学习的话,他就有这个这个数据分析,数理统计的这个功能,那人是无法去有这个功能,但是机学习有这个功能,那他经过对你的数据啊,对你比如说几个月的数据,几周的数据做了学习之后的话,他就能看到模式,他就可以对这些事件做分类,那因此的话,你只需要一键式的打开。
143:22
这些机器学的作业你就有了啊,机器学习的能力了,好吧,这个我就这么简单的告诉大家。我这课件当中的话也写的非常详细,你可以在这个规检测的规则界面当中就可打开去继续学习的作业,这些都是elastic security这个管理包内置的机器学习作业。同样的,你也可以根据这些机器学习,因为它往往是单指标多指标。或者说是延伸指标的一些呃配置,所以说你可以学习自带的这些机器学习的作业,然后去尝试的编写你需要的机器学习异常检查的作业,然后来优化你的这个安全检测的能力,好,我们今天基本上我讲到这儿的话,我这个课件真的是非常非常详尽啊,非常非常详尽,我还是强烈的推荐你今天假如学会了的话,你还可以到我这个课件的首页啊,你到这个你可以很方便的可以看到安全管理,我们今天学的是腾讯云的这个版本。
144:29
啊,你也可以在本机去搭建相应的版本,因为你做POC做学习嘛,你可以在自己的本机的电脑上,你可以拿这个课件也是可以可以搞一把,所以说我们今天通过今天这学习的话,很高兴我们跟大家做了这个叫elastic security这个套件,做这个安全事件分析之旅的这样一个过程,啊,我们可以再总结一下我们都做了什么工作,我们首先搭建了这样一个平台,这个平台有它的ecs的数据定义,我们收集归集,可视化的展示了所有的数据,我们用这个elastic security内置的这个应用做了SOS的工作流程的整个从头从端到端工作流程,端到端的演示,对吧,你从一个事件呢。
145:12
事故的一个从事事安全,安全的一个事件提提升升级为一个安全事故,然后变成一个呃,一个工单,工单的话再和外部的系统集成,然后最终的话,你引的全某个安全团队的人来去灭火,来去处理这个安全事故,然后关关闭这个工单,对吧,这就是一个整个的一个工作流程,这个工作流程的话,都是可以在EL的这个套件里面帮你去支持完成,然后我们更往上走的话,就是我们的规则检测了,规则检测这块的话,今天我们再说一下,我们今天这地是用的预览啊,预览预览功能,预览工程中的话,很快的我们下一个版本啊,就会有有升级了,下个版本升级上来的话就。诶,我这个链接还有点问题,回头我再把那个链接搞一下,然后下一个版本升级上来之后的话,我们就可以去操作了啊,然后再讲到就是内部外部威胁情报的集成啊,内部外部集,你像这边的话,我也我们也做了一些,呃,给你提供的一些信息源啊,你可以看这个安全新闻啊,这就是E来C公司给你提供的一些外部集成的一些信息源。
146:21
啊,类似的话,你也可以继承你自己的信息源,那这个整个elastic security,今天这个使用方法的话,和整个今天咱们这个学习的话,我们就。我们就结束了啊,我们再回顾一下整个伊as它的,呃,As这这个安全框架的这个核心啊,它的核心在哪儿呢?大家来看一下,它核心在这个地方,其实。他不说核心吧,它的所有的数据都是在这个地方,就是event external alert intellIgEnce,这个就是ESSES,我们这个所有的裸数据的存储库都是在这个ES里面。
147:01
而且这个是符合ecs规则的,我们所有的数据录入进来的话,都是在ecs统一数据定义之下,我才把它往里放啊。你连数据定义都没有统一的话,这个语言都不同的话,就像古代啊那个对吧,你这个语不同门是吧,你这个怎么怎么去分析啊,就多个语言那就更不行了啊,所以说这个ecs就是统一语言,统一数据定义,这个统一什么数据来源是这个蓝蓝色的框啊。这个就是我们蓝色框,蓝色框也就是所有的数据源,数据源的话就通过各种beats,或者直接把它集成进来,或者用love或者其他的模块。来官方非官方,那么搞进来以后的话,那有了这个,有了这个信息之后的话,我们可以做什么呢?我们可以做by host和by networks的。这个浏览了,浏览和这个就直接就可以做hunting了,你这个是裸数据,我们直接拿来使用。
148:02
在按主机按网络去分析的话,直直接做这个浏览的话,就是hunting,就是做这个sups的最基础的工作,那你这有sups的人,你有本来就有一些巡检,有一些规则,你去做的话,你怎么把它运用到这个整个这个框架里面来呢?这是它的这个,这是它数据的核心,这个是它技术的核心,技术核心是检测引擎,检测引擎的话可以基于KQL,可以基于鲁森query,鲁森carry,就裸一裸的那个。裸的鲁迅的carry还可以基于EQL,这个图有点老啊,可以基于EQL。还可以继续继续学习。这个阀值和聚合运算的,这也是一类,就是基于数据逻数据统计的,那这些都是做规则用的,基础的逻辑,把这个规则定义出来之后的话,我们就可以形成一个检测规则库啊,检测规则库的其实它也放在一个索引里面的,检测规则库被谁去执行啊,被缩引被检测引擎去执行,检测引擎的执行的结果的话,就变成一个叫检测告警,检测告警的话,它也是一个事件出现在一个索引上啊,就也是在ES里面会有个索引,那这个检测告警,一旦新的告警发生了以后,我可以触发外部的告警和通知邮件短信呀,你可以。
149:24
外部钉钉啊,微信啊,你会就触发了,所以你可以看它是一个连续的一个动作,然后你可以在这边的话,我们讲再再从这往下讲啊,你现在自己自己做手工巡检的时候,我可以去按我刚才说了,按我的意识流啊,我去生成我的timeline。实际上我们每一个timeline的话,都是我一个人工调查已知问题的一个规则,Timeline的话可以在这儿存储起来,Timeline的话可以作为这个检测库的模板,那我们这个故事就讲完了,我们这就是整个的一个安全管理平台的所有关键的。
150:02
技术模块。有数据存储。有检测引擎、检测规则、逻辑。检测出来的告警,然后有时间线,有检测规则,然后在外部去集成我们的工单系统,工单系统就是鸡爪等等乱七八糟的一些工单系统,那这个就是自动化的检测核心和自动化的外部的一个工作流引擎。好了,我们今天这个今天讲解就基本上到这儿啊,我们再看一下我们这个整个的生态系统,生态系统的话就是最核心这个ELK的技术站啊,这技术技术站啊,外部的话,我们有大量的外部的生态系统啊,你看这个图标我就不一一去讲了啊,这些公司的话都是在我们这个生态系统的周边去做一些这个。呃,做一些工作,因为他们有他们很多的咨询和这个很多的知识的价值,他们把它贡献来的话,我们所有这个ELLK用户的话,他也可以用上了,用上了然后你也可以来在这儿做共享,假如你们公司是做安全相关,那你把你的就是知识和技能放在这儿的话,那你等于说就是触达了ELLK这个所有的用户群了。
151:13
然后你在呃上边的话,就是内部和外部的上下文的一些那个。事件的一些那个情报的集成啊,然后这个最右侧的话是我们这个service now啊,这些工单和就外部工作流的一些自动化的集成啊。那下面的话,它也有一些生态系统啊,有一些周边的一个咨询公司啊,培训公司啊,嗯,好了,今天这个就是我们今天的这个这个工作坊的所有的所有的这个信息啊呃,如果说大家对这个今天的,对今天的这个工作坊有任何问题的话,呃,我们还可以在最后的时间在这做一个提问啊,我也会把我的这个有联系方式。
152:01
呃,这个邮件不能发吗?嗯,我得改变一下啊,我这是我的邮箱,如果说你有什么问题的话,也可以给我发邮邮件,然后呢,如果呢,你想你想还跟我做其他的联系的话,我这个PPT上也有我的联系方式,我就不在这个聊天室里发了。然后最后呢,我在我会在再待三分钟时间啊,如果在线上的各位,呃,各位朋友啊。如果你学到了最后的话,你还有什么问题的话,我还会用在再有最后三分钟的时间给大家解答哦。如果你觉得今天这个。呃,你也可以在聊天室里面写一些对今天这个直播的反馈。啊,也欢迎大家提问和提交反馈啊,我们在留最后三到五分钟的时间,在我关闭直播之前的话,我们再有三到五分钟开放的沟通的时间。
153:04
再次感谢大家今天的参与。呃,K8S的实验目前还没有啊,目前还没有其实。去看后续吧,后续呃,在K8S上。
154:00
看大家如果说需要什么样的工作房的话,也可以告诉我们。嗯,好的,收到了啊,我们收到了,我看以后吧,看以后。以后再安排看今天大家对今天这个安全这方面还有没有什么问题啊,有没有什么问题,或者说有没有哪些需要交流的点,没有的话我们就。再有两分钟的话,我们就结束了。对,官网上是有挺多文档的,应该。
155:04
好了,我们要不今天我们就先到这里,感谢所有这个今天参与的参与学习的朋友们啊。然后这个哦,还最后有一个问题啊,可以理解为security这些功能属于基于新版本K上的吗?如果目前ES各类数据已经采集完了,可以啊。继承到这个安全功能里嘛,啊,这个是一个很好的问题啊,很好的问题,我我虽然已经到到点了,但我还是很有必要回答一下。首先的话,第一个问题,呃,Security这个功能属于新版本K8大上的嘛,是的是的,就是这个security啊,你可以看啊,我们包括了security,包括了OB可观测性,包括了你的,呃,Enterprise search这个都是我们在扩展了这个K巴纳之后。
156:16
新的功能啊,这功能你看起来好像嗯,挺简单的啊,其实但是你看我今天这个给大家讲解了之后吧,对吧,这个security功能的话,它其实是用心良苦的,而且在这个security这个模块上啊,我可以告诉大家。我们现在这个来公司啊,雇佣了挺多人的啊,在这个team上增加的人特别多啊,就去开发这个相关的security这个应用场景的功能。啊,所以说这个security我们可以大的说是一个解决方案啊,这个狭隘的说,它是八里面的一个功能,它是在新的版本之后才有的,这个应该至少是7.10以后才能看到今像今天我这样的一个功能的演示。
157:01
那这是第一个问题啊,第二个问题是,如果目前ES的各类数据已经采集,已经采集到了,我相信今天在线呢。大量的小伙伴,你们其实都是老的elk的用户了,你们有N多的不同版本的,这个已经在你们那儿呃部署了,你可以继续,可以继承到这个安全功能里吗?这个我答案是可以,也不一定是可以的,是可以也不可以啊,可以是,呃,是什么概念呢?如果说你这个现有的数据啊,你真的是。呃,真的是一定要用,那你可能要考虑一个升级的路径啊,你假如你版本太老,它有可能你的升级的代价会比较高啊,数据量越大,版本越老,你的这个升级的这个代价就会越高啊,因为你这个升级上来之后,你是图两个功能啊,你升级上来之后的话,你才有这个,因为ecs的定义的话,它也不是老版本当中有的,它也是新版本当中才有的。
158:10
那第二的像规则引擎啊,告警库啊,那这些功能的实现的话,其实都是在新版本的security里面才包含的,那旧的版本里面显然没有这些功能啊。所以说你的打就是说你这个假如你老版本已经有数据的话,你可也也可能可以啊,也可能不可以,就取决于你现在所拥有的数据量和你的版本的这个新旧程度,你还要去评估你这个升级的一定要升级,不可能不升级,没有这些功能啊,而且评估你这个升级的这个代价,那你在你可允许的情况下,你再升级啊,还有另外一种就是你这个。这个假如你这个负担太重的话,因为你可以看到我今天用的这些file beat啊,这些模块,或者说用的Abe pack beat啊,这些不一定你以前用过,假如你在以前在安全方面是一片空白的话,你现在从头从头再来,从零开始,可能是更好的一个起步。
159:06
这个检查引擎是不是在,呃,是在K8那里实现的不。这个是从K那上掌控的一个界面,但很显然啊,它它是呃。很显然啊,它很多都是你像这种啊定时任务啊,在索引上的一些定时任务啊,很显然啊,它是在K那里呢上,你可以把它理解的啊,它是体现在K吧那上的一个APP,但这个APP里边所有的。呃,运行逻辑,它的数据,它的数据结构都是在ES里面,你包括它很多的定时任务啊,很多的检测规则,很多的查询啊,其实都是一堆的页啊,你可以去那里面继续看啊,你到索引里面,可能可能可能有大量的系统级的索引,它会有很多的这个PA line呀,很多的这个规则在里面,所以它不能说是单纯的K巴纳实现的,它K巴纳是上面的最上层的一个给你提供的一个界面而已,它后台的话,你可以把它认为很多规则引擎啊,还是在ES里面实现的,而且是数据也是在ES里。
160:19
啊,ES功能是足够的强大和复杂了,呃,K8呢,只是它的一个界面啊,它上层的一个操控的界面,好了,我们今天这个也超时了,也超时了,然后。呦,这问题还不少啊。呃,顺带讲一下K巴纳权限设置嘛,这个我没法今天时间不足啊,今天时间不足,但是这个K巴纳权限设置这个你看一下文档吧,这个真的是不是特别复杂的一件事情啊,那这个你这个sorry啊,今天没时间给给大家理解了,给大家去捋捋这个了,这个我看还有啥啊,那没没什么问题了。
161:01
好了好了,今天我们就结束啊,结束了我们今天呃,感谢大家的参与啊,感谢大家的参与,然后我们后期的话还有更多的线上的工作坊啊,假如你希望有这个充实饱满的一下午的学习的体验啊,就是请关注我们在腾讯云上的这个这个这个这个专题吧,然后后续的话我们再聊,然后今天我们也收到了很多大家的反馈啊,我们也会。呃,去考虑啊,在后续的一些,呃,这种工作法呀,或者说后续的一些线上分享当中啊,是不是可以给大家提供你们需要的这些,呃,比如说这个EEFK在K8S上高可用啊,呃,K8那这个权限控制啊等等等等啊,这些也都是很好的议题啊,感谢大家的参与,再次感谢大家的参与,然后我们今天就到这里啊,我们今天就到这里好,我们。
我来说两句