使用 ELK 审查防火墙
Firewall review using ELK
我正在寻找一种使用 ELK 堆栈来执行自动化和集中式防火墙审查工具的方法。我相信这是一个很好的工具,可以用来实现这一点,特别是与 Kibana 一起使用。
通过使用某些数据,我想丰富防火墙规则集。
防火墙规则可以导出为CSV格式,其余数据可以适配这种格式。
数据将包括:
- 防火墙规则:源、目标、服务、操作(丢弃或接受)
- 所有 IP 清单:IP 地址、支持组、设备状态(已解散或已部署)
- 每个办公室的寻址方案:站点,所属子网
我已经导入了所有数据,但我完全不知道如何实现防火墙规则集与库存相关 IP 和办公室寻址之间的关联。最好查看防火墙规则并查看它是否属于特定的 site.Bear,记住多个防火墙规则可能有多个条目(例如 10.0.0.0/8 -> 10.0.0.1,10.0. 0.2,等等...)
本次审查的最后 objective 是通过优化可操作性和安全性来汇总规则(只要可能)。
有没有人遇到同样的情况?如果有,你是怎么解决的?
如果您有任何意见,我将不胜感激。
我想通了。
基本上编写了一些 python 脚本,这些脚本关联(离线)CSV 规则和 CSV 清单中存在的信息,以及 CSV 规则和 CSV environments/subnets 中存在的信息。
毕竟,确实需要一些人工干预才能实现我的要求。
我正在寻找一种使用 ELK 堆栈来执行自动化和集中式防火墙审查工具的方法。我相信这是一个很好的工具,可以用来实现这一点,特别是与 Kibana 一起使用。 通过使用某些数据,我想丰富防火墙规则集。 防火墙规则可以导出为CSV格式,其余数据可以适配这种格式。
数据将包括:
- 防火墙规则:源、目标、服务、操作(丢弃或接受)
- 所有 IP 清单:IP 地址、支持组、设备状态(已解散或已部署)
- 每个办公室的寻址方案:站点,所属子网
我已经导入了所有数据,但我完全不知道如何实现防火墙规则集与库存相关 IP 和办公室寻址之间的关联。最好查看防火墙规则并查看它是否属于特定的 site.Bear,记住多个防火墙规则可能有多个条目(例如 10.0.0.0/8 -> 10.0.0.1,10.0. 0.2,等等...)
本次审查的最后 objective 是通过优化可操作性和安全性来汇总规则(只要可能)。
有没有人遇到同样的情况?如果有,你是怎么解决的?
如果您有任何意见,我将不胜感激。
我想通了。 基本上编写了一些 python 脚本,这些脚本关联(离线)CSV 规则和 CSV 清单中存在的信息,以及 CSV 规则和 CSV environments/subnets 中存在的信息。 毕竟,确实需要一些人工干预才能实现我的要求。