Bu yazı ELK-da ELK və SIEM idarə panellərinin vizuallaşdırılmasını təsvir edəcək
Məqalə aşağıdakı bölmələrə bölünür:
1- ELK SIEM İcmalı
2- Defolt idarə panelləri
3- İlk idarə panellərinizin yaradılması
Bütün yazıların məzmunu.
- WAZUH ilə inteqrasiya
- Xəbərdarlıq
- Hesabat
- Case Management
1-ELK SIEM İcmalı
ELK SIEM bu yaxınlarda 7.2 iyun 25-cu ildə 2019 versiyasında elk yığınına əlavə edildi.
Bu, təhlükəsizlik analitikinin həyatını daha asan və daha az yorucu etmək üçün elastic.co tərəfindən yaradılmış SIEM həllidir.
İşimizin versiyasında biz öz SIEM-imizi yaratmaq və öz idarəetmə panelimizi seçmək qərarına gəldik.
Ancaq ilk növbədə ELK SIEM-i araşdırmağın vacib olduğunu düşünürük.
1.1- Tədbirlərin keçirilməsi bölməsi
Əvvəlcə host bölməsinə baxacağıq. Ev sahibi bölməsi son nöqtənin özündə yaradılan hadisələri görməyə imkan verəcəkdir.
Baxış hostlarına kliklədikdən sonra buna bənzər bir şey almalısınız. Gördüyünüz kimi, bu kompüterə bağlı üç host var:
1 Windows 10.
2 Ubuntu Server 18.04.
Hər biri müxtəlif hadisələri təmsil edən bir neçə vizualizasiyamız var.
Məsələn, ortada olan hər üç maşında giriş məlumatlarını göstərir.
Burada gördüyünüz bu qədər data beş gün ərzində toplanıb. Bu, uğursuz və uğurlu girişlərin çoxluğunu izah edir. Yəqin ki, az sayda qeydiniz olacaq, narahat olmayın
1.2- Şəbəkə hadisələri bölməsi
Şəbəkə bölməsinə keçərək, buna bənzər bir şey almalısınız. Bu bölmə sizə HTTP/TLS trafikindən DNS trafikinə və xarici hadisə xəbərdarlığına qədər şəbəkənizdə baş verən hər şeyi yaxından izləməyə imkan verəcək.
2- Defolt idarə panelləri
İstifadəçilərin həyatını asanlaşdırmaq üçün elastic.co tərtibatçıları ELK tərəfindən rəsmi olaraq dəstəklənən standart alətlər paneli yaratdılar. Bizim vuruşlarımız bu qaydadan istisna deyildi. Burada nümunə olaraq Packetbeat-in standart idarə panellərindən istifadə edəcəyəm.
Məqalənin ikinci addımını düzgün yerinə yetirmisinizsə. Sizi gözləyən alətlər paneli qurulmalıdır. Beləliklə, başlayaq.
Kibana-nın sol nişanından idarə paneli simvolunu seçin. Əgər yuxarıdan hesablasanız, bu üçüncüdür.
Axtarış sekmesinde paylaşımın adını daxil edin
Bitdə bir neçə modul varsa. Onların hər biri üçün idarəetmə paneli yaradılacaq. Ancaq yalnız modul aktiv olanı boş olmayan məlumatları göstərəcək.
Modul adınız olan birini seçin.
Bu əsas şablondur PacketBeat.
Bu şəbəkə axını idarəetmə panelidir. O, bizə gələn və gedən paket, IP ünvanlarının mənbələri və təyinatları haqqında məlumat verəcək, həmçinin təhlükəsizlik mərkəzinin analitiki üçün çoxlu faydalı məlumatlar təqdim edəcək.
3 — İlk tablolarınızı yaratmaq
3–1- Əsas anlayışlar
A- İdarə panellərinin növləri:
Bunlar məlumatlarınızı vizuallaşdırmaq üçün istifadə edə biləcəyiniz müxtəlif vizuallaşdırma növləridir.
məsələn bizdə:
- bar chart
- xəritə
- Markdown vidceti
- Pasta diaqramı
B- KQL (Kibana Sorğu Dili):
Bu, məlumatların asan axtarışı üçün Kibana-da istifadə olunan dildir. Bu, müəyyən məlumatların və bir çox digər faydalı xüsusiyyətlərin mövcud olub olmadığını yoxlamağa imkan verir. Daha çox məlumat əldə etmək üçün bu linkdə məlumatı araşdıra bilərsiniz
Bu, Windows 10 pro ilə işləyən host tapmaq üçün nümunə sorğudur.
C- Filtrlər:
Bu funksiya sizə host adı, hadisə kodu və ya ID və s. kimi müəyyən parametrləri filtrləməyə imkan verəcək. Filtrlər sübut axtarışına sərf olunan vaxt və səy baxımından araşdırma mərhələsini xeyli yaxşılaşdıracaq.
D- İlk vizuallaşdırma:
MITER ATT & CK üçün vizuallaşdırma yaradaq.
Əvvəlcə getməliyik İdarə paneli → Yeni idarə paneli yaradın → yeni → Pasta tablosunu yaradın
İndeks nümunəsi üçün növü təyin edin, sonra vuruşunuzun adına toxunun.
Enter düyməsini basın. İndi yaşıl pişi görməlisiniz.
Sol tərəfdəki Buckets sekmesinde siz tapa bilərsiniz:
— Parçalanmış dilimlər məlumatın yayılmasından asılı olaraq pişi müxtəlif hissələrə böləcək.
- Split Chart bunun yanında başqa bir pişi yaradacaq.
Parçalanmış dilimlərdən istifadə edəcəyik.
Seçdiyimiz termindən asılı olaraq məlumatlarımızı vizuallaşdıracağıq. Bu halda termin MITER ATT & CK-a istinad edəcək.
Winlogbeat-da bizə bu məlumatı verəcək sahə adlanır:
winlog.event_data.RuleNameHadisələrin baş vermə sayına əsasən sifariş vermək üçün say göstəricisi quracağıq.
"Digər dəyərləri ayrıca seqmentdə qruplaşdır" funksiyasını aktivləşdirin.
Seçdiyiniz terminlər ritmə əsaslanan çoxlu müxtəlif mənalara malikdirsə, bu faydalı olacaq. Bu, məlumatların qalan hissəsini bütövlükdə vizuallaşdırmağa kömək edir. Bu, sizə qalan hadisələrin faizi haqqında fikir verəcəkdir.
İndi məlumat tabının qurulmasını bitirdik, gəlin seçimlər sekmesine keçək
Siz aşağıdakıları etməlisiniz:
**Donut formasını çıxarın ki, render tam dairəni göstərsin.
**Bəyəndiyiniz əfsanə mövqeyini seçin. Bu halda, biz onları sağda göstərəcəyik.
**Asan oxumaq üçün onların fraqmentinin yanında göstəriləcək displey dəyərlərini təyin edin və qalanını defolt olaraq buraxın
Kəsmə tədbir adından nə qədər göstərmək istədiyinizi müəyyən edir.
Renderin başlamasını istədiyiniz vaxtı təyin edin və sonra mavi kvadrat üzərinə klikləyin.
Siz belə bir şeylə bitirməlisiniz:
Yoxlamaq istədiyiniz xüsusi hostu və ya məqsədiniz üçün faydalı olduğunu düşündüyünüz hər hansı parametrləri süzgəcdən keçirmək üçün vizualizasiyanıza filtr əlavə edə bilərsiniz. Vizuallaşdırma yalnız filtrdə yerləşdirilmiş qaydaya uyğun gələn məlumatları göstərəcək. Bu halda biz yalnız win10 adlı hostdan gələn MITER ATT&CK məlumatlarını göstərəcəyik.
3-2- İlk idarə panelinizin yaradılması:
Tablosu bir çox vizualizasiyanın toplusudur. Panelləriniz aydın, başa düşülən olmalı və faydalı, deterministik məlumatları ehtiva etməlidir. Winlogbeat üçün sıfırdan yaratdığımız tablosuna bir nümunə.
Vaxt ayırdığınız üçün təşəkkür edirik. Ümid edirəm bu məqaləni faydalı tapdınız. Mövzu haqqında daha çox məlumat əldə etmək istəyirsinizsə, ziyarət etməyinizi tövsiyə edirik .
Elasticsearch-də Telegram çatı:
Mənbə: www.habr.com