کتاب Data Engineering for Cybersecurity

مهندسی داده شامل ساخت زیرساخت‌هایی است که می‌توانند داده‌ها را از چندین منبع دریافت کنند، آنها را فرمت‌بندی یا یکپارچه کنند و سپس برای تحلیل در پایگاه‌های داده ذخیره نمایند. بسیاری از سازمان‌ها برای ردیابی اطلاعاتی مانند معیارهای تعامل با مشتری، تراکنش‌های مالی و نوسانات بازار سهام به مهندسان داده نیاز دارند. اما در حوزه امنیت سایبری، مهندسان داده برای اتصال سنسورها به تحلیلگرانی که می‌توانند حوادث را شناسایی کنند، بسیار حیاتی هستند.

اگرچه ابزارهایی که داده‌ها را از یک مکان به مکان دیگر ارسال می‌کنند، معمولاً به جز برای مدیرانشان نامرئی هستند، اما زیربنای برنامه‌های امنیت سایبری محسوب می‌شوند. پیش از آنکه یک تحلیلگر بتواند مشکلی را شناسایی کند، هشدارها و لاگ‌های رویداد مرتبط باید از ایستگاه‌های کاری و سرورهای سازمان خارج شده و در یک پایگاه داده مرکزی قرار بگیرند.

در کتاب Data Engineering for Cybersecurity، شما یاد خواهید گرفت که چگونه رویدادها را با استفاده از ابزارهای رایگان و متن‌باز استخراج، تبدیل، استانداردسازی و بهینه‌سازی کنید. همچنین نحوه متمرکزسازی مدیریت لاگ‌ها، انجام غنی‌سازی داده‌ها، و توزیع رویدادها به فناوری‌ها و پایگاه‌های داده مختلف برای تحلیل را فرا خواهید گرفت.

مخاطبان کتاب Data Engineering for Cybersecurity

این کتاب برای هر کسی که وظیفه ایجاد یک سیستم نظارت بر امنیت سایبری یا متمرکزسازی لاگ‌های یک کسب و کار را بر عهده دارد، مفید است. ممکن است کتاب Data Engineering for Cybersecurity به ویژه برای کسانی که با بودجه‌های محدود کار می‌کنند، کاربردی باشد، اما برای کسانی که با بودجه‌های سازمانی نیز فعالیت می‌کنند، مرتبط است.

مدافعان شبکه می‌توانند از این کتاب برای تبدیل رویدادهای گرفته شده از سیستم‌ها و ابزارهای مختلف به یک فرمت استاندارد قبل از ذخیره‌سازی آنها استفاده کنند. مدیران و مهندسان نیز می‌توانند از کتاب Data Engineering for Cybersecurity برای مدیریت لاگ‌های سلامت دستگاه‌های متعددی که در شبکه جریان دارند، بهره ببرند.

تسترها و حمله‌کنندگان (Offensive testers) نیز می‌توانند از آن برای خواندن و تبدیل خروجی‌های مختلف ابزارهای هک به منظور ذخیره‌سازی آنها برای گزارش‌های مشتری، خودکارسازی مقایسه نتایج، و اجرای اقدامات ابزاری اضافی استفاده کنند. کسانی که به دنبال خودکارسازی اقدامات دفاعی یا حمله‌ای هستند نیز ممکن است متمرکزسازی و استانداردسازی لاگ‌ها را مفید بیابند.

محتوای کتاب Data Engineering for Cybersecurity

ما ابزارهای مورد نیاز یک مهندس داده را برای کارهایی از جمله رمزگذاری ارتباطات شبکه، استخراج داده‌ها از میزبان‌ها، و تبدیل و پاکسازی آن داده‌ها پوشش خواهیم داد. همچنین ابزارهایی که داده‌ها را به مکان‌های دیگر ارسال می‌کنند، نرم‌افزارهای اتوماسیون و ابزارهای کشینگ را بررسی خواهیم کرد. در ادامه، بخش‌ها و فصل‌های کتاب Data Engineering for Cybersecurity و آنچه در هر فصل خواهید آموخت، آمده است:

بخش اول: مبانی مهندسی داده امن

این بخش اولیه، پایه‌ای برای بقیه کتاب ایجاد می‌کند. شما زیرساخت TLS خود را پیکربندی خواهید کرد، کلیدهای SSH را آماده خواهید ساخت و از Git برای متمرکزسازی و مدیریت فایل‌های پروژه خود استفاده خواهید کرد.

• فصل ۱: مبانی مهندسی داده: در مورد اهداف یک مهندس داده بیاموزید: ساخت خطوط لوله‌ای که داده‌ها را متمرکز، استاندارد و غنی می‌کنند. معماری‌های رایج برای زیرساخت لاگینگ یک سازمان را بررسی کنید. سپس، فرمت‌های JSON، ECS و YAML را مرور کرده و ابزارهایی که در طول کتاب Data Engineering for Cybersecurity استفاده خواهیم کرد را نصب کنید.
• فصل ۲: رمزگذاری شبکه: رمزگذاری داده‌های شبکه برای محافظت از داده‌ها مهم است، اما برخی افراد پیکربندی آن را دشوار می‌دانند، بنابراین هنگام یادگیری یک ابزار جدید از آن صرف‌نظر می‌کنند. در این فصل از کتاب Data Engineering for Cybersecurity، شما با استفاده از رمزگذاری شبکه راحت خواهید شد و یک زیرساخت TLS را راه‌اندازی می‌کنید که می‌توانید از آن برای رمزگذاری ترافیک ابزار در فصل‌های بعدی استفاده کنید. همچنین با پیکربندی SSH برای اتصال به سرورهای راه دور آشنا خواهید شد.
• فصل ۳: مدیریت منبع و پیکربندی: یاد بگیرید که چگونه از Git برای مدیریت منبع استفاده کنید تا در حین ایجاد پیکربندی‌ها در کتاب Data Engineering for Cybersecurity، بتوانید هر تغییری را که ایجاد کرده‌اید ردیابی کرده و در صورت نیاز آن‌ها را بازگردانید. شما از Git به صورت محلی برای مدیریت فایل‌ها و از راه دور برای پشتیبان‌گیری و به عنوان یک مرکز برای کار خود استفاده خواهید کرد.

بخش دوم: استخراج و مدیریت لاگ

برای شروع ساخت خطوط لوله داده، باید داده‌ها را از میزبان‌های مختلف و شبکه استخراج کنید. این بخش ابزارها و رویکردهای لازم برای این کار را پوشش می‌دهد. شما از ابزارهایی برای لینوکس و ویندوز و همچنین ابزارهایی که داده‌های شبکه را از لوازم یا سنسورها دریافت می‌کنند، استفاده خواهید کرد.

• فصل ۴: داده‌های نقطه پایانی و شبکه: با Filebeat برای استخراج داده‌ها از میزبان‌های لینوکس و اتصال به سرویس‌های شبکه برای دریافت لاگ‌ها کار کنید. شما با فایل‌های محلی تعامل خواهید داشت، داده‌ها را از طریق شبکه دریافت خواهید کرد، و به طور فعال برای دریافت داده‌ها به منابع خارجی دسترسی خواهید یافت.
• فصل ۵ کتاب Data Engineering for Cybersecurity: لاگ‌های ویندوز: از Winlogbeat برای خواندن لاگ رویداد ویندوز استفاده کنید. ویژگی‌های امنیتی ویندوز مانند Sysmon و لاگ‌گیری پیشرفته PowerShell را فعال و استفاده کنید، و لاگ‌های رویداد غیرمعمول حاوی داده‌های امنیتی مفید را بررسی کنید.
• فصل ۶: یکپارچه‌سازی و ذخیره‌سازی داده‌ها: پایگاه داده Elasticsearch و رابط کاربری فرانت‌اند آن، Kibana را بررسی کنید. کار با Elastic Agent را یاد بگیرید، که ویژگی‌های Filebeat، Winlogbeat و سایر ابزارها را در یک رابط کاربری گرافیکی مبتنی بر مرورگر ترکیب می‌کند. داده‌های سطح میزبان را بخوانید، سپس ابرداده‌های شبکه را مستقیماً از میزبان جمع‌آوری کنید. همچنین در مورد خطوط لوله ورودی (ingest pipelines) و دارایی‌های مورد نیاز برای تبدیل داده‌های لاگ در داخل Elasticsearch بیاموزید.
• فصل ۷ کتاب Data Engineering for Cybersecurity: کار با داده‌های Syslog: از Rsyslog برای خواندن و نوشتن فایل‌های محلی و برای دریافت و انتقال داده‌ها از طریق شبکه استفاده کنید. پلاگین‌های Rsyslog برای OpenSSL و Kafka را بررسی کنید.

بخش سوم: تبدیل و استانداردسازی داده‌ها

استانداردسازی بخش مهمی از مهندسی داده است. شما یاد خواهید گرفت که چگونه چندین فرمت داده را از فناوری‌های مختلف به یک قرارداد نامگذاری استاندارد با استفاده از ساختارهای JSON تبدیل و تجزیه کنید. این مرحله تبدیل داده برای تحلیلگران امنیتی، ابزارهای پاسخ خودکار و یادگیری ماشین مفید است.

• فصل ۸: خطوط لوله دستکاری داده‌ها: در مورد ورودی‌ها و خروجی‌های Logstash بیاموزید، سیستم‌ها را به Logstash متصل کنید، و این ابزار را با سرویس‌هایی مانند APIها، Amazon S3 و Redis پیوند دهید.
• فصل ۹: فیلترهای تبدیل: از فیلترهای Logstash برای تبدیل و دستکاری رویدادهای ورودی برای تصحیح زمان‌بندی‌ها، غنی‌سازی و حذف داده‌ها، استانداردسازی نام فیلدهای جفت داده‌های کلید-مقدار، استخراج مقادیر و نوشتن کد Ruby سفارشی استفاده کنید.

بخش چهارم: متمرکزسازی، اتوماسیون و غنی‌سازی داده‌ها

در این بخش، از Kafka برای متمرکزسازی فیدهای داده خود استفاده خواهید کرد و به شما امکان می‌دهد رویدادهای لاگینگ خود را به صورت بلادرنگ توزیع و تحلیل کنید. یاد خواهید گرفت که بسیاری از فرآیندهای توضیح داده شده در فصل‌های قبلی را با استفاده از Ansible خودکار کنید. در نهایت، از ابزارهای کشینگ برای افزودن یک فرآیند غنی‌سازی اطلاعات تهدیدات سایبری به خط لوله داده خود استفاده خواهید کرد.

• فصل ۱۰: متمرکزسازی داده‌های امنیتی: Kafka را به گونه‌ای پیکربندی کنید که به عنوان زیرساخت مرکزی برای خطوط لوله داده شما عمل کند. موضوعاتی را برای سازماندهی داده‌ها ایجاد کنید و سپس از ابزارهایی مانند Filebeat و Logstash برای ارسال و دریافت داده‌ها از Kafka استفاده کنید.
• فصل ۱۱: خودکارسازی پیکربندی ابزارها: Ansible را بررسی کنید، که به شما امکان می‌دهد وظایف مدیریت سیستم را در چندین میزبان به طور همزمان اسکریپت‌نویسی و خودکار کنید.
• فصل ۱۲: وظایف و Playbookهای Ansible: روش‌های مختلف استفاده از Ansible برای نصب و پیکربندی ابزارهای مورد بحث در کتاب Data Engineering for Cybersecurity را یاد بگیرید. ایجاد گواهینامه TLS و استقرار خط لوله داده خود را خودکار کنید، و چندین اقدام خودکار را به صورت متوالی اجرا کنید.

• فصل ۱۳: کشینگ داده‌های اطلاعات تهدید: از ابزارهای کشینگ Redis و Memcached برای ذخیره داده‌ها با استفاده از کش درون حافظه استفاده کنید، که سرعت جستجوی داده‌ها و فعالیت‌های غنی‌سازی را افزایش می‌دهد. یک فرآیند غنی‌سازی اطلاعات تهدیدات سایبری توزیع‌شده را مستقیماً در خط لوله داده خود ایجاد کنید.