ይህ ልጥፍ በELK ውስጥ የELK እና SIEM ዳሽቦርዶችን እይታ እንዴት ማበጀት እንደሚቻል ይገልጻል
ጽሑፉ በሚከተሉት ክፍሎች ተከፍሏል.
1- የ ELK SIEM አጠቃላይ እይታ
2- ነባሪ ዳሽቦርዶች
3- የመጀመሪያዎን ዳሽቦርዶች መፍጠር
የሁሉም ልጥፎች ርዕስ።
- ከ WAZUH ጋር ውህደት
- ማንቂያ
- ሪፖርት ማድረግ
- የጉዳይ አስተዳደር
1-ELK SIEM አጠቃላይ እይታ
ELK SIEM በቅርቡ በጁን 7.2፣ 25 በስሪት 2019 ወደ ኤልክ ቁልል ታክሏል።
ይህ የደህንነት ተንታኝ ህይወትን በጣም ቀላል እና ያነሰ አድካሚ ለማድረግ በelastic.co የተፈጠረ የሲኢኤም መፍትሄ ነው።
በእኛ የሥራ ሥሪት, የራሳችንን SIEM ለመፍጠር እና የራሳችንን የቁጥጥር ፓነል ለመምረጥ ወስነናል.
ግን መጀመሪያ ELK SIEMን መማር አስፈላጊ ነው ብለን እናስባለን።
1.1- አስተናጋጅ ክስተቶች ክፍል
በመጀመሪያ የአስተናጋጁን ክፍልፋይ እንመለከታለን. የአስተናጋጁ ክፍል በመጨረሻው ነጥብ ላይ የተቃጠሉትን ክስተቶች እንዲመለከቱ ይፈቅድልዎታል.
የእይታ አስተናጋጆችን ጠቅ ካደረጉ በኋላ እንደዚህ ያለ ነገር ማግኘት አለብዎት። እንደምታየው፣ ከዚህ ኮምፒውተር ጋር የተገናኙ ሶስት አስተናጋጆች አሉ፡-
1 ዊንዶውስ 10.
2 ኡቡንቱ አገልጋይ 18.04.
የምናሳይባቸው በርካታ ምስላዊ እይታዎች አሉን ፣ እያንዳንዱም የተለየ ክስተት ያሳያል።
ለምሳሌ, በመሃል ላይ ያለው በሶስቱም ማሽኖች ላይ የመግቢያ መረጃን ያሳያል.
ይህ የሚያዩት የውሂብ መጠን በአምስት ቀናት ውስጥ ተሰብስቧል። ይህ ብዙ ያልተሳኩ እና የተሳካላቸው መግቢያዎችን ያብራራል። ምናልባት ትንሽ መጠን ያለው ምዝግብ ማስታወሻ ሊኖርዎት ይችላል, ስለዚህ አይጨነቁ
1.2- የአውታረ መረብ ክስተቶች ክፍል
ወደ አውታረ መረቡ ክፍል መሄድ, እንደዚህ ያለ ነገር ማግኘት አለብዎት. ይህ ክፍል ከኤችቲቲፒ/TLS ትራፊክ እስከ ዲ ኤን ኤስ ትራፊክ እና የውጭ ክስተት ማንቂያዎችን በኔትወርኩ ላይ የሚፈጸሙትን ሁሉንም ነገሮች በቅርበት እንዲከታተሉ ያስችልዎታል።
2- ነባሪ ዳሽቦርዶች
ለተጠቃሚዎች ህይወትን ቀላል ለማድረግ የelastic.co ገንቢዎች በኤልኬ የሚደገፍ ነባሪ የመሳሪያ አሞሌን ፈጥረዋል። የእኛ ድብደባ ከዚህ ደንብ የተለየ አልነበረም. እዚህ ነባሪውን የPacketbeat ዳሽቦርድ እንደ ምሳሌ እወስዳለሁ።
የሁለተኛውን ጽሑፍ ደረጃ በትክክል ከተከተሉ. የሚጠብቅህ ብጁ የመሳሪያ አሞሌ ሊኖርህ ይገባል። ስለዚህ እንጀምር።
በኪባና በግራ ትር ላይ የዳሽቦርድ ምልክቱን ይምረጡ። ይህ ሦስተኛው ነው, ከላይ ከተቆጠሩት.
በፍለጋ ትር ውስጥ የማጋራቱን ስም ያስገቡ
በጥቂቱ ውስጥ ብዙ ሞጁሎች ካሉ. ለእያንዳንዳቸው የቁጥጥር ፓነል ይፈጠራል. ነገር ግን ሞጁሉ ገባሪ ያለው ብቻ ባዶ ያልሆነ ውሂብ ያሳያል።
የሞጁሉን ስም የያዘውን ይምረጡ።
ይህ ዋናው አብነት ነው። PacketBeat.
ይህ የአውታረ መረብ ፍሰት መቆጣጠሪያ ፓነል ነው። ስለ መጪው እና ወጪ ፓኬት ፣ የአይፒ አድራሻዎች ምንጮች እና መድረሻዎች ይነግረናል እንዲሁም ለደህንነት ማእከል ተንታኝ ብዙ ጠቃሚ መረጃዎችን ይሰጣል ።
3 - የመጀመሪያዎን ዳሽቦርዶች መፍጠር
3-1- መሰረታዊ ጽንሰ-ሐሳቦች
ሀ - የዳሽቦርድ ዓይነቶች፡-
ውሂብህን በዓይነ ሕሊናህ ለማየት ልትጠቀምባቸው የምትችላቸው እነዚህ የተለያዩ የእይታ ዓይነቶች ናቸው።
ለምሳሌ እኛ አለን:
- የአሞሌ ገበታ
- ካርታ
- ምልክት ማድረጊያ ምግብር
- የፓይ ገበታ
B- KQL (የኪባና መጠይቅ ቋንቋ)
ይህ በኪባና ውስጥ ለቀላል መረጃ ፍለጋ የሚያገለግል ቋንቋ ነው። ይህ የተወሰኑ መረጃዎች መኖራቸውን እና ሌሎች ብዙ ጠቃሚ ባህሪያትን ለመፈተሽ ያስችልዎታል. የበለጠ ለማወቅ፣ በዚህ ሊንክ ላይ ያለውን መረጃ ማየት ትችላለህ።
ይህ በዊንዶውስ 10 ፕሮ ሲስተም የአስተናጋጅ ፍለጋ ጥያቄ ምሳሌ ነው።
ሲ - ማጣሪያዎች
ይህ ባህሪ እንደ አስተናጋጅ ስም፣ የክስተት ኮድ ወይም መታወቂያ ወዘተ ያሉ የተወሰኑ መለኪያዎች እንዲያጣሩ ይፈቅድልዎታል ። ማጣሪያዎች ፍንጭ ለመፈለግ ከሚያጠፉት ጊዜ እና ጥረት አንፃር የምርመራውን ሂደት በእጅጉ ያሻሽላሉ።
D- የመጀመሪያ አተረጓጎም፡-
ለ MITER ATT እና CK ምስላዊነት እንፍጠር።
መጀመሪያ ወደ መሄድ ያስፈልገናል ዳሽቦርድ → አዲስ ዳሽቦርድ ፍጠር → አዲስ →ፓይ ዳሽቦርድ ፍጠር
ለመረጃ ጠቋሚው ስርዓተ-ጥለት አይነት ያዘጋጁ፣ ከዚያ የድብደባ ስምዎን ይንኩ።
አስገባን ይጫኑ። አሁን አረንጓዴ ዶናት ማየት አለብዎት.
በግራ በኩል ባለው ባልዲዎች ትር ውስጥ የሚከተሉትን ያገኛሉ
- የተከፋፈሉ ቁርጥራጮች ዶናት እንደ መረጃው ስርጭት ወደ ተለያዩ ክፍሎች ይከፍላሉ ።
- የተከፈለ ገበታ ከዚህ ቀጥሎ ሌላ ዶናት ይፈጥራል።
የተከፋፈሉ ቁርጥራጮችን እንጠቀማለን.
በመረጥነው ቃል ላይ በመመስረት የእኛን ውሂብ በዓይነ ሕሊና እናሳያለን። በዚህ አጋጣሚ ቃሉ MITER ATT እና CKን ያመለክታል።
በዊንሎግቤአት ይህንን መረጃ የሚሰጠን መስክ ይባላል፡-
winlog.event_data.RuleNameበክስተቶች ብዛት ላይ በመመስረት ክስተቶቹን ለማዘዝ የመቁጠር መለኪያ እናዘጋጃለን።
የ"ቡድን ሌሎች እሴቶች በተለየ ክፍል" ተግባርን ያብሩ።
የመረጧቸው ቃላት ከሪትም የሚመጡ ብዙ የተለያዩ ትርጉሞች ካሏቸው ይህ ጠቃሚ ይሆናል። ይህ የቀረውን ውሂብ በአጠቃላይ በዓይነ ሕሊናህ ለማየት ይረዳል። ይህ የሌሎችን ክስተቶች መቶኛ ሀሳብ ይሰጥዎታል።
አሁን የዳታ ትርን ማዋቀር እንደጨረስን ወደ አማራጮች ትር እንሂድ
የሚከተሉትን ማድረግ አለብዎት:
** ሙሉ ክብ በምስል ላይ እንዲታይ የዶናት ቅርጹን ይሰርዙ።
** የሚወዱትን አፈ ታሪክ ቦታ ይምረጡ። በዚህ ሁኔታ, በቀኝ በኩል እናሳያቸዋለን.
** በቀላሉ ለማንበብ የማሳያ እሴቶቹን ከቅንጣያቸው አጠገብ እንዲታዩ ያቀናብሩ እና ቀሪውን እንደ ነባሪ ይተዉት።
መቆራረጥ ከክስተቱ ስም ምን ያህል ማሳየት እንደሚፈልጉ ይቆጣጠራል።
ቀረጻው እንዲጀምር የሚፈልጉትን ጊዜ ያዘጋጁ እና ከዚያ ሰማያዊውን ሳጥን ጠቅ ያድርጉ።
እንደዚህ ያለ ነገር ማግኘት አለብዎት:
እንዲሁም ሊፈትሹት የሚፈልጉትን ልዩ አስተናጋጅ ወይም ለእርስዎ ዓላማ ጠቃሚ ናቸው ብለው የሚያስቧቸውን አማራጮች ለማጣራት በእይታዎ ላይ ማጣሪያ ማከል ይችላሉ። ምስሉ በማጣሪያው ውስጥ ከተቀመጠው ደንብ ጋር የሚዛመድ ውሂብን ብቻ ያሳያል። በዚህ አጋጣሚ የ MITER ATT & CK ዳታ win10 ከተባለ አስተናጋጅ የሚመጣውን ብቻ እናሳያለን።
3–2- የመጀመሪያዎን ዳሽቦርድ መፍጠር፡-
ዳሽቦርድ የበርካታ እይታዎች ስብስብ ነው። ዳሽቦርዶችዎ ግልጽ፣ ሊረዱ የሚችሉ እና ጠቃሚ እና የሚወስን ውሂብ መያዝ አለባቸው። ለ winlogbeat ከባዶ የፈጠርናቸው ዳሽቦርዶች ምሳሌ እዚህ አለ።
ለጊዜዎት አመሰግናለሁ. ይህ ጽሑፍ ለእርስዎ ጠቃሚ እንደነበረ ተስፋ አደርጋለሁ። በርዕሱ ላይ ተጨማሪ መረጃ ከፈለጉ, እንዲጎበኙ እንመክራለን .
በ Elasticsearch ላይ የቴሌግራም ውይይት፡-
ምንጭ: hab.com