自動化監控 視覺化儀表板 異常行為 容器 駭客攻擊

自動觀察海量資料源 掌握未授權異常狀態化解危機

開源視覺儀表板Grafana 監控運行參數即時告警

近年資訊量爆增,需要管理的資訊設備數量日益遽增,其中夾雜著數以萬計的參數設定,因此建立自動化監控勢在必行。本文將介紹用於自動觀測且能視覺化顯示對應觀測指標的工具Grafana,省去到處查看設備與服務的時間,並藉由情境演練說明Grafana的實際案例。

想像一下,有一個服務需要為數萬人提供服務,並在運行過程中需要監控數以萬計的參數,包括路由表故障、封包丟失、延遲、伺服器故障、設備過熱以及安全漏洞等等。

若手動觀察這些海量的參數,不僅耗時費力,還容易出錯。因此,有人提出使用自動化方式來幫忙採集和監控這些參數,並以視覺化的方式聚合在幾個儀表板上,透過簡潔明瞭的儀表板來即時發現問題,例如迅速識別異常的網路流量模式或未授權的存取嘗試。

本文將介紹一款視覺化儀表板工具Grafana,不僅能夠協助監控營運參數,還能透過整合多種資料來源來提供全面的安全監控和告警功能,確保服務穩定運行,並保持高度的安全性。

認識Grafana

Grafana是一個開源的資料視覺化和監控軟體平台,允許使用者從各種資料來源中收集資料,並以圖表、表格和儀表板等格式進行可視化。這不僅適用於監控IT基礎設施、應用程式,還可以應用於安全監控,例如監控網路流量、探測異常行為和未授權訪問。

在圖1左側框選部分,可以看到各地部署的伺服器測試DNS(網域名稱系統)以及HTTP伺服器的錯誤率,這對於監控伺服器的可用性和及時發現安全漏洞非常重要。中間兩個框選部分的上層顯示測試錯誤率在單位時間內的變化,有助於追踪和分析異常狀況。中間兩個框選部分的下層顯示的是延遲指標,可用於評估網路性能並發現潛在的安全威脅,如DDoS攻擊等。右方兩個框選展示的則是各個網站以及DNS測試的傳送成功率和延遲,這對於確保網路的穩定性和安全性至關重要。

圖1  Grafana的Synthetic moniterring儀表介面。

Grafana支援本地部署,能夠使用Docker和Kubernetes等容器技術安裝。此外,還提供雲端託管的Grafana Cloud服務,具有基礎的計算資源使用額度,可以滿足大部分的需求。

Grafana三大處理資料的方式

Grafana在運行中,主要透過三種分析體系來完成,分別是指標(Metrics)、日誌(Logs)和追蹤(Traces)。

‧指標(Metrics):主要用於表示一些功能參數,例如未授權訪問嘗試數量、異常網路流量、伺服器的CPU使用率、內存利用率等。這些指標可幫助及時識別潛在的安全威脅和異常行為,從而提高整體的安全性,如圖2所示。

圖2  展示目標地區的現在溫度與變化。

‧日誌(Logs):很像什麼時間做了什麼,例如登入時間、登出時間、未授權訪問嘗試、系統錯誤和警告等。這些日誌資料可以幫忙追蹤事件的發生時間和相關行為,為安全事件的調查和分析提供重要線索。

‧追蹤(Traces):它顯示事件發生的順序和時間,例如安全事件的處理流程、從異常檢測到響應的時間、系統資源的調用順序等。這些追蹤資料有助於識別系統性能問題和潛在的安全風險,並優化安全事件的響應流程,如圖3所示。

圖3  用於追蹤網站渲染時平行處理的展示儀表板。

強化企業安全防線:監控系統的五大關鍵角色

在當今網路威脅日益嚴峻的環境下,企業對安全監控系統的需求愈發迫切。一個高效的監控系統不僅能及時發現潛在威脅,更能為企業提供全方位的安全保障。以下為監控系統在企業安全中所扮演的五大關鍵角色:

1. 及早預警,防患未然:透過持續監控網路流量、系統日誌等資料,安全團隊能快速識別出異常行為,如未經授權的訪問、惡意軟體活動等。這就好比在企業周圍佈下了一層無形的安全網,一旦有可疑分子入侵,系統就會立即發出警報,讓安全人員有足夠的時間採取應對措施,將潛在的損失降到最低。

2. 快速應對,有效止損:當安全事件發生時,監控系統所記錄的詳細資料,如攻擊者的IP地址、攻擊手法、受影響的系統等,都將成為安全團隊進行事件調查和應對的重要參考。就像是一位經驗豐富的偵探,透過對現場證據的分析,迅速鎖定犯罪嫌疑人,並採取相應的抓捕行動。

3. 確保合規,降低風險:許多行業的監控要求日益嚴格,監控系統所產生的資料不僅能證明企業已採取了必要的安全措施,還能為企業在面臨監管機構的審計時提供有力的證據。這就像一張通行證,讓企業能夠順利透過各種合規審核,避免因安全問題而遭受處罰。

4. 優化性能,提升效率:除了保障安全,監控系統還能幫助企業優化系統性能,提升營運效率。透過對系統資源的使用情況進行即時監控,企業可以及早發現性能瓶頸,並採取相應的措施進行優化。這就像給企業的IT系統做了一次全面的體檢,讓系統能夠以最佳的狀態運作。

5. 共享情報,共建安全:監控系統不僅能保護企業自身的安全,還能為整個行業的安全做出貢獻。透過將自身所收集的威脅情報與其他企業或安全機構共享,企業可以共同構建一個更加安全的網路環境。這就像是一個情報共享平台,讓大家能夠及時獲取最新的威脅情報,共同抵禦網路攻擊。

Grafana相比於其他常見類似的工具

在眾多資料可視化工具中,Grafana憑藉其開源特性和活躍的社群,在資安領域展現出獨特的優勢。相較於其他工具,Grafana在以下幾個方面更適合資安應用:

‧高度客製化:Grafana允許使用者自由設計儀表板,並能充分利用社群提供的豐富資源,快速搭建符合資安需求的視覺化介面。

‧時序資料分析:Grafana在處理時序數據方面表現出色,非常適合用於監控系統日誌、網路流量等資安相關資料,以便及時發現異常行為。

‧開源生態:作為一款開源軟體,Grafana擁有龐大的開發者社群,不斷推出新的插件和功能,使其在資安領域的應用不斷拓展。

相對來說,其他工具在資安領域的局限性,如下所述:

‧Kibana:雖然Kibana與Elasticsearch結合緊密,但在時序資料分析和監控方面相對較弱,對於需要即時監控資安事件的場景可能不夠理想。

‧Power BI:主要針對商業智能,在即時資料分析和監控方面表現較弱,且在處理大量資料時可能存在性能問題。

‧Tableau:商業授權成本高昂,且在高性能場景下表現不佳,對於需要處理大量資安資料的企業來說可能不是最佳選擇。

‧Metabase:功能相對簡單,在複雜的資安監控場景難以勝任。

‧Splunk:雖然在日誌分析方面表現出色,但商業授權成本高昂,且儀表板功能不如Grafana完善。

實際操作說明

這裡使用了Grafana Cloud,用途是用於監控異常,以及使用Google Drive模擬伺服器檔案消失的事件,而在檔案消失時會出現特徵,則是這次監控的目標。在發現檔案消失後,會透過Grafana顯示在儀表板,告知工程師應該要去修復異常狀況。

首先,連到網址「https://grafana.net/」或Google直接搜尋「Grafana Cloud」,即可找到該網站。點選Register(註冊),如果已經有帳號,可以直接登入,如圖4所示。

圖4  Grafana Cloud的登入畫面。

登入後,就會出現Grafana的主畫面,如圖5所示。

圖5  Grafana登入後的主畫面。

在圖5最上方的搜尋框中搜尋「Synthetic Monitoring」,之後會跳出選單,如圖6所示。

圖6  Grafana搜尋框中搜尋「synthetic Monitoring」。

點選進入後,如圖7所示,可以看到以下帶有「Welcome to Grafana Cloud Synthetic Monitoring」的畫面。

圖7  初次進入Synthetic Monitoring的畫面。

點選圖7下方的「Initialize the plugin」,即可初始化並進入Synthetic Monitoring的頁面,按下「Create check」後點選HTTP,就能夠進入創建HTTP Check的設定畫面。

在Grafana設定後,開啟個人的Google Drive帳號,然後在任一資料夾創建一個空的資料夾,命名可依照個人喜好。完成後,開啟共享權限「知道連結的任何人」皆可存取,並複製連接,如圖8所示。

圖8  Google Drive創建共享資料夾。

接下來,如圖9所示,將剛剛雲端硬碟文件夾的共享網址填入Target欄位。中間Probe options(探測選項)可以設定要從Grafana部署在世界各地的節點進行探測。下方的Frequency(頻率)則可調整每次測試的間隔頻率與超過測試時間的秒數。

圖9  HTTP check填寫畫面。

往下拉,有個「Validation」,在找不到網頁(檔案)後一般會回傳「HTTP 404」的回應(意思是找不到對應的網頁),所以在「Valid status codes」填404,如圖10所示。

圖10  填寫Validation。

結束後,可以按下「Test」來測試剛剛設定。正常的話,會跳出「Success」,如圖11所示。也可以修改網址來模擬檔案消失的情況(會跳「Fail」),之後按下「Save」即可完成設定。

圖11  測試HTTP check設定。

最後,等待一小段時間(通常不超過1分鐘),在「Sythetic」即可查看到剛剛設定好的「HTTP check」,以及其對應的指標,如圖12所示。

圖12  synthetic中顯示剛剛設定完成的HTTP check。

點選「view dashboard」進入後,即可看到「HTTP check」的儀表板,如圖13所示。

圖13  設定完成的HTTP check儀表板。

然後,試試將剛剛的共享資料夾刪除,可以觀察到儀表板的Reachability(可及性)變成紅色的。

如圖14框選所示,此為探測到檔案消失的儀表板。

圖14  探測到檔案消失的儀表板。

情境演練

米恩是一家新興的電商公司,其網站是其業務的核心。每天,大量的客戶訂單和敏感的個人資訊透過網站傳輸,對網站的穩定性和安全性提出了極高的要求。米恩的工程團隊由經驗豐富的技術人員組成,他們負責維護網站的運作,並密切監控各種指標以確保網站的正常運作。

然而,在開業後不久,米恩的網站卻屢次出現嚴重的當機問題。網站的全部頁面無法載入,使用者無法完成購物流程,這不僅導致了巨大的營收損失,也嚴重損害米恩的品牌形象。工程團隊面對著巨大的壓力,他們試圖透過手動檢查各種指標和日誌來找出問題的原因,但往往需要數天時間才能定位問題,這讓米恩的網站一次又一次地陷入癱瘓狀態。

就在公司面臨破產邊緣之際,工程師成冠提出導入Grafana建立全面的監控系統。成冠認為,傳統的手動監控方式不僅效率低下,而且無法及時發現潛在的安全威脅。透過Grafana,可以將網站的各種指標可視化,並設置即時告警,一旦出現異常情況,就能立即獲知並採取措施。

在使用Grafana後的數日,公司迅速在儀表板上數秒內就能發現問題出在伺服器上的檔案系統,如圖15所示。

圖15  儀表板顯示異常的畫面。

首先,可以先觀察到在畫面的「uptime」(在線時間)與「Reachability」(可及性)皆為0(圖15最上方框選),往下看「Error Rate」(錯誤率)飆上了100%,再往下看「Response latency by probe」(探測的響應延遲)也都沒有資料,最下方Logs(紀錄)則顯示所探測到的問題。另外,畫面往下滑可以看到Grafana對於檔案的日誌,顯示出開始發生錯誤與開始發生錯誤的時間。從圖15下方的框選中可以看到檔案消失無法訪問。而調查後發現一個內部新開發的程式導致了檔案系統的崩潰,會將許多重要的資料損毀,這包括訂單資訊、客戶資料、產品圖片等,對業務運作造成巨大的影響。

在成冠與公司資訊團隊的通力處理與運作下,最終從之前的備份中成功還原了大部分丟失的檔案。在經歷了一段時間的困難時期後,公司學到了重要的教訓,包括定期備份檔案、提高系統的容錯性以及改進危機處理計畫。

結語

在這個數位時代,系統與設備的運作無時無刻不斷地產生大量的資料。這些資料就像是一座金礦,蘊藏著許多寶貴的資訊,但同時也可能成為駭客攻擊的目標。為了保護這些寶貴的資產,就需要一套強大的工具來監控系統的健康狀況,及早發現潛在的威脅。Grafana就是這樣一款利器,它能將雜亂無章的資料轉化為直觀易懂的圖表和儀表板,讓使用者一眼就能掌握系統的運行狀況。

<本文作者:社團法人台灣E化資安分析管理協會(ESAM, https://www.esam.io/)中央警察大學資訊密碼暨建構實驗室 & 情資安全與鑑識科學實驗室(ICCL & CFORENSICS)1998年成立,目前由王旭正教授領軍,並致力於資訊安全、情資安全與鑑識科學,資料隱藏與資料快速搜尋之研究,以為人們於網際網路(Internet)世界探索的安全保障(https://hera.secforensics.org)>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!