ProHoster > بلوق > إدارة > ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

سيصف هذا المنشور كيفية تخصيص تصور لوحات معلومات ELK و SIEM في ELK
المقال مقسم إلى الأقسام التالية:

1- نظرة عامة على ELK SIEM
2- لوحات المعلومات الافتراضية
3- إنشاء لوحات المعلومات الأولى الخاصة بك

عنوان جميع المشاركات.

1-ELK SIEM نظرة عامة

تمت إضافة ELK SIEM مؤخرًا إلى مجموعة Elk stack في الإصدار 7.2 في 25 يونيو 2019.

هذا هو حل SIEM الذي تم إنشاؤه بواسطة elastic.co لجعل حياة محلل الأمن أسهل بكثير وأقل مملة.

في نسختنا من العمل ، قررنا إنشاء SIEM الخاص بنا واختيار لوحة التحكم الخاصة بنا.

لكننا نعتقد أنه من المهم تعلم ELK SIEM أولاً.

1.1- قسم استضافة الأحداث

سننظر في قسم المضيف أولاً. سيسمح لك قسم المضيف برؤية الأحداث التي يتم إطلاقها على نقطة النهاية نفسها.

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

بعد النقر على عرض المضيفين ، يجب أن تحصل على شيء مثل هذا. كما ترى ، هناك ثلاثة مضيفين متصلين بهذا الكمبيوتر:

1 نظام التشغيل Windows 10.

2 خادم أوبونتو 18.04.

لدينا العديد من المرئيات لعرضها ، كل منها يعرض نوعًا مختلفًا من الأحداث.

على سبيل المثال ، يعرض الشخص الموجود في المنتصف تفاصيل تسجيل الدخول على الأجهزة الثلاثة.

تم جمع هذا القدر من البيانات التي تراها هنا في خمسة أيام. وهذا ما يفسر العدد الكبير لعمليات تسجيل الدخول الفاشلة والناجحة. من المحتمل أن يكون لديك كمية صغيرة من السجلات ، لذلك لا تقلق

1.2- قسم أحداث الشبكة

بالانتقال إلى قسم الشبكة ، يجب أن تحصل على شيء كهذا. سيسمح لك هذا القسم بمراقبة كل ما يحدث على شبكتك عن كثب ، من حركة مرور HTTP / TLS إلى حركة مرور DNS وتنبيهات الأحداث الخارجية.

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

2- لوحات المعلومات الافتراضية

لتسهيل الحياة على المستخدمين ، أنشأ مطورو المطاط المطاطي شريط أدوات افتراضيًا مدعومًا رسميًا من ELK. دقاتنا لم تكن استثناء لهذه القاعدة. هنا سآخذ لوحة معلومات Packetbeat الافتراضية كمثال.

إذا كنت قد اتبعت الخطوة الثانية من المقالة بشكل صحيح. يجب أن يكون لديك شريط أدوات مخصص في انتظارك. اذا هيا بنا نبدأ.

في علامة التبويب اليسرى لـ Kibana ، حدد رمز لوحة القيادة. هذا هو الثالث ، إذا عدت من الأعلى.

أدخل اسم المشاركة في علامة تبويب البحث

إذا كان هناك عدة وحدات في بعض الشيء. سيتم إنشاء لوحة تحكم لكل منهم. ولكن فقط الوحدة النشطة ستعرض بيانات غير فارغة.

اختر اسم الوحدة الخاصة بك.

هذا هو القالب الرئيسي PacketBeat.

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

هذه هي لوحة التحكم في تدفق الشبكة. ستخبرنا عن الحزمة الواردة والصادرة ، ومصادر ووجهات عناوين IP ، وستوفر أيضًا الكثير من المعلومات المفيدة لمحلل مركز الأمان.

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

3 - إنشاء لوحات التحكم الأولى الخاصة بك

3-1- مفاهيم أساسية

أ- أنواع اللوحات:

هذه هي الأنواع المختلفة من المرئيات التي يمكنك استخدامها لتصور بياناتك.

على سبيل المثال لدينا:

  • شريط الرسم البياني
  • خريطة
  • القطعة Markdown
  • مخطط دائري

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

ب- KQL (لغة استعلام Kibana):

هذه هي اللغة المستخدمة في Kibana للبحث السهل عن البيانات. يتيح لك ذلك التحقق من وجود بيانات معينة والعديد من الميزات المفيدة الأخرى. لمعرفة المزيد ، يمكنك التحقق من المعلومات الموجودة على هذا الرابط.

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

هذا مثال على طلب بحث عن مضيف باستخدام نظام Windows 10 pro.

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

ج- المرشحات:

ستسمح لك هذه الميزة بتصفية معلمات معينة مثل اسم المضيف أو رمز الحدث أو المعرف وما إلى ذلك. ستعمل الفلاتر على تحسين مرحلة التحقيق بشكل كبير من حيث الوقت والجهد المبذول في البحث عن أدلة.

د- التقديم الأول:

لنقم بإنشاء تصور لـ MITER ATT & CK.

أولا نحن بحاجة للذهاب إلى لوحة القيادة ← إنشاء لوحة تحكم جديدة ← إنشاء لوحة معلومات جديدة ← فطيرة

قم بتعيين نوع نمط الفهرس ، ثم انقر فوق اسم إيقاعك.

اضغط دخول. الآن يجب أن ترى دونات خضراء.

ستجد في علامة تبويب المجموعات على اليسار:

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

- ستقسم الشرائح المنقسمة الدونات إلى أجزاء مختلفة حسب انتشار البيانات.

- ستعمل Split Chart على إنشاء كعكة مجوفة أخرى بجانب هذه.

سوف نستخدم شرائح مقسمة.

سوف نتخيل بياناتنا اعتمادًا على المصطلح الذي نختاره. في هذه الحالة ، يشير المصطلح إلى MITER ATT & CK.

في Winlogbeat ، يسمى الحقل الذي سيوفر لنا هذه المعلومات:

winlog.event_data.RuleName

سنقوم بإعداد مقياس حساب لترتيب الأحداث بناءً على عدد مرات الحدوث.

شغّل وظيفة "تجميع القيم الأخرى في مقطع منفصل".

سيكون هذا مفيدًا إذا كانت المصطلحات التي اخترتها لها العديد من المعاني المختلفة القادمة من الإيقاع. يساعد هذا في تصور بقية البيانات ككل. سيعطيك هذا فكرة عن النسبة المئوية للأحداث الأخرى.

الآن بعد أن انتهينا من تكوين علامة تبويب البيانات ، دعنا ننتقل إلى علامة تبويب الخيارات

يجب عليك القيام بما يلي:

** احذف الشكل الدائري بحيث تظهر دائرة كاملة على العرض.

** حدد موضع الأسطورة الذي تريده. في هذه الحالة ، سنعرضها على اليمين.

** اضبط قيم العرض لتظهر بجوار المقتطف الخاص بهم لتسهيل القراءة ، واترك الباقي كإعداد افتراضي

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

يتحكم الاقتطاع في المقدار الذي تريد عرضه من اسم الحدث.

عيّن الوقت الذي تريد أن يبدأ فيه العرض ، ثم انقر فوق المربع الأزرق.

يجب أن تحصل على شيء مثل هذا:

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

يمكنك أيضًا إضافة عامل تصفية إلى التصور الخاص بك لتصفية المضيف المحدد الذي تريد التحقق منه أو أي خيارات تعتقد أنها مفيدة لغرضك. سيعرض التمثيل البصري فقط البيانات التي تتطابق مع القاعدة الموضوعة في عامل التصفية. في هذه الحالة ، سنعرض فقط بيانات MITER ATT & CK القادمة من مضيف يسمى win10.

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

3–2- إنشاء أول لوحة تحكم:

لوحة المعلومات عبارة عن مجموعة من العديد من المرئيات. يجب أن تكون لوحات المعلومات الخاصة بك واضحة ومفهومة وتحتوي على بيانات مفيدة وحتمية. فيما يلي مثال على لوحات المعلومات التي أنشأناها من البداية لـ winlogbeat.

ELK SIEM Open Distro: تصور لوحي ELK و SIEM في ELK

شكرا لك على وقتك. آمل أن تكون هذه المقالة مفيدة لك. إذا كنت ترغب في مزيد من المعلومات حول هذا الموضوع ، فننصحك بزيارة الموقع الرسمي.

دردشة Telegram على Elasticsearch: https://t.me/elasticsearch_ru

المصدر: www.habr.com

إضافة تعليق