Hierdie pos sal beskryf hoe om die visualisering van ELK- en SIEM-kontroleskerms in ELK aan te pas
Die artikel is in die volgende afdelings verdeel:
1- Oorsig van ELK SIEM
2- Standaard dashboards
3- Skep jou eerste dashboards
Titel van alle plasings.
- Integrasie met WAZUH
- Waarskuwing
- Verslagdoening
- Gevallestudie
1-ELK SIEM Oorsig
ELK SIEM is onlangs op 7.2 Junie 25 by die elandstapel gevoeg in weergawe 2019.
Dit is 'n SIEM-oplossing wat deur elastic.co geskep is om die lewe van 'n sekuriteitsontleder baie makliker en minder vervelig te maak.
In ons weergawe van werk het ons besluit om ons eie SIEM te skep en ons eie beheerpaneel te kies.
Maar ons dink dit is belangrik om eers ELK SIEM te leer.
1.1- Gasheergeleenthede-afdeling
Ons sal eers na die gasheerpartisie kyk. Die gasheerafdeling sal jou toelaat om die gebeure te sien wat op die eindpunt self afgevuur word.
Nadat u op bekyk gashere geklik het, behoort u so iets te kry. Soos u kan sien, is daar drie gashere wat aan hierdie rekenaar gekoppel is:
1 Windows 10.
2 Ubuntu Server 18.04.
Ons het verskeie visualisasies om te vertoon, wat elkeen 'n ander soort gebeurtenis vertoon.
Die een in die middel wys byvoorbeeld aanmeldinligting op al drie masjiene.
Hierdie hoeveelheid data wat jy hier sien, is in vyf dae ingesamel. Dit verklaar die groot aantal mislukte en suksesvolle aanmeldings. Jy sal waarskynlik 'n klein hoeveelheid logs hê, so moenie bekommerd wees nie
1.2- Netwerkgebeurtenisse afdeling
As u na die netwerkafdeling gaan, behoort u so iets te kry. Hierdie afdeling sal jou toelaat om alles wat op jou netwerk gebeur fyn dop te hou, van HTTP/TLS-verkeer tot DNS-verkeer en eksterne gebeurteniswaarskuwings.
2- Standaard dashboards
Om die lewe vir gebruikers makliker te maak, het elastic.co-ontwikkelaars 'n versteknutsbalk geskep wat amptelik deur ELK ondersteun word. Ons ritme was geen uitsondering op hierdie reël nie. Hier sal ek die standaard Packetbeat-dashboard as voorbeeld neem.
As jy stap twee van die artikel korrek gevolg het. Jy moet 'n pasgemaakte nutsbalk hê wat vir jou wag. So kom ons begin.
Kies die dashboard-simbool op die linkeroortjie van Kibana. Dit is die derde een, as jy van bo af tel.
Voer die naam van die aandeel in die soekoortjie in
As daar verskeie modules in 'n bietjie. 'n Beheerpaneel sal vir elkeen van hulle geskep word. Maar slegs die een met die module aktief sal nie-leë data vertoon.
Kies die een met die naam van jou module.
Dit is die hoofsjabloon PacketBeat.
Dit is die netwerkvloeibeheerpaneel. Dit sal ons vertel van die inkomende en uitgaande pakkie, die bronne en bestemmings van IP-adresse, en sal ook baie nuttige inligting vir die sekuriteitsentrumontleder gee.
3 - Skep jou eerste Dashboards
3–1- Basiese konsepte
A- Tipes dashboards:
Dit is die verskillende soorte visualiserings wat jy kan gebruik om jou data te visualiseer.
ons het byvoorbeeld:
- staafgrafiek
- Map
- Markdown-legstuk
- Sirkelgrafiek
B- KQL (Kibana-navraagtaal):
Dit is die taal wat in Kibana gebruik word vir maklike datasoektog. Dit laat jou toe om te kyk of sekere data bestaan en baie ander nuttige kenmerke. Om meer te wete te kom, kan u die inligting op hierdie skakel nagaan.
Dit is 'n voorbeeld van 'n gasheersoektogversoek met 'n Windows 10 pro-stelsel.
C- Filters:
Hierdie kenmerk sal jou toelaat om sekere parameters soos gasheernaam, gebeurteniskode of ID, ens. te filter. Filters sal die ondersoekfase aansienlik verbeter in terme van tyd en moeite wat spandeer word om na leidrade te soek.
D- Eerste weergawe:
Kom ons skep 'n visualisering vir MITER ATT & CK.
Eers moet ons gaan na Dashboard → Skep nuwe dashboard → skep nuwe → Pie-dashboard
Stel die tipe vir die indekspatroon, en tik dan jou maatslagnaam.
Druk Enter. Teen hierdie tyd behoort jy 'n groen donut te sien.
In die Emmers-oortjie aan die linkerkant sal jy vind:
- Gesplete snye sal die doughnut in verskillende dele verdeel, afhangende van die verspreiding van die data.
- Split Chart sal 'n ander donut langs hierdie een skep.
Ons sal gesplete skywe gebruik.
Ons sal ons data visualiseer afhangende van die term wat ons kies. In hierdie geval sal die term verwys na MITER ATT & CK.
In Winlogbeat word die veld wat ons van hierdie inligting sal voorsien genoem:
winlog.event_data.RuleNameOns sal 'n telmetriek opstel om die gebeure te orden op grond van die aantal voorvalle.
Skakel die "Groep ander waardes in 'n aparte segment"-funksie aan.
Dit sal handig wees as die terme wat jy gekies het baie verskillende betekenisse het wat uit die ritme kom. Dit help om die res van die data as 'n geheel te visualiseer. Dit sal jou 'n idee gee van die persentasie ander gebeurtenisse.
Noudat ons klaar is met die opstel van die data-oortjie, kom ons gaan na die opsie-oortjie
Jy moet die volgende doen:
** Vee die doughnutvorm uit sodat 'n volle sirkel op die weergawe verskyn.
** Kies die legendeposisie waarvan jy hou. In hierdie geval sal ons hulle aan die regterkant vertoon.
** Stel die vertoonwaardes om langs hul brokkie te verskyn vir makliker lees, en laat die res as verstek
Afkapping beheer hoeveel jy wil wys vanaf die gebeurtenisnaam.
Stel die tyd wat jy wil hê die weergawe moet begin, en klik dan op die blou blokkie.
Jy behoort so iets te kry:
U kan ook 'n filter by u visualisering voeg om die spesifieke gasheer wat u wil nagaan of enige opsies wat u dink nuttig is vir u doel, uit te filter. Die visualisering sal slegs data vertoon wat ooreenstem met die reël wat in die filter geplaas is. In hierdie geval sal ons slegs MITER ATT & CK-data vertoon wat van 'n gasheer genaamd win10 kom.
3–2- Skep jou eerste dashboard:
'n Dashboard is 'n versameling van baie visualiserings. Jou kontroleskerms moet duidelik, verstaanbaar wees en nuttige en deterministiese data bevat. Hier is 'n voorbeeld van die dashboards wat ons van nuuts af vir winlogbeat geskep het.
Dankie vir jou tyd. Ek hoop hierdie artikel was nuttig vir jou. As jy meer inligting oor die onderwerp wil hê, beveel ons aan dat jy besoek .
Telegram-klets op Elasticsearch:
Bron: will.com