У гэтым пасце будзе апісана налада візуалізацыі інфармацыйных панэляў ELK і SIEM у ELK
Артыкул падзелена на наступныя раздзелы:
1- Агляд ELK SIEM
2- Дашборды па змаўчанні
3- Стварэнне вашых першых дашбордаў
Змест усіх пастоў.
- Інтэграцыя з WAZUH
- Абвестка (Alerting)
- Справаздачнасць
- кіраванне справай
1-Агляд ELK SIEM
ELK SIEM быў нядаўна дададзены ў стэк elk у версіі 7.2 ад 25 чэрвеня 2019 г.
Гэта SIEM-рашэнне, створанае elastic.co, каб зрабіць жыццё аналітыка бяспекі нашмат прасцей і менш стомнай.
У нашай версіі працы мы вырашылі стварыць уласны SIEM і абраць уласную панэль кіравання.
Але мы лічым важным спачатку вывучыць ELK SIEM.
1.1- Раздзел Host events
Спачатку мы разгледзім хост-частка. Раздзел хаста дазволіць вам убачыць падзеі, якія генеруюцца ў самай канчатковай кропцы.
Пасля націску на прагляд хастоў вы павінны атрымаць нешта накшталт гэтага. Як бачыце, да гэтага кампутара падлучаныя тры хасты:
1 Windows 10.
2 Сервер Ubuntu 18.04/XNUMX.
У нас ёсць некалькі паказу візуалізацый, кожная з якіх адлюстроўвае розныя тыпы падзей.
Напрыклад, той, што пасярэдзіне, паказвае дадзеныя аб лагінах на ўсіх трох машынах.
Гэты аб'ём дадзеных, які вы бачыце тут, быў сабраны за пяць дзён. Гэта тлумачыць вялікую колькасць няўдалых і паспяховых уваходаў у сістэму. У вас, верагодна, будзе невялікая колькасць часопісаў, таму не хвалюйцеся
1.2- Раздзел сеткавых падзей
Пераходзячы да падзелу сеткі, вы павінны атрымаць нешта накшталт гэтага. Гэты падзел дазволіць вам уважліва сачыць за ўсім, што адбываецца ў вашай сетцы, ад трафіку HTTP / TLS да трафіку DNS і знешніх папярэджанняў аб падзеях.
2- Дашборды па змаўчанні
Каб палегчыць жыццё карыстачам, распрацоўнікі elastic.co стварылі панэль прылад па змаўчанні, афіцыйна падтрымоўваную ELK. Нашыя біты не былі выключэннем з гэтага правіла. Тут я буду браць у якасці прыкладу панэлі маніторынгу Packetbeat па змаўчанні.
Калі вы правільна выканалі крок другога артыкула. У вас павінна быць настроена панэль інструментаў, якая чакае вас. Такім чынам, прыступім.
На левай укладцы Kibana абярыце сімвал прыборнай панэлі. Гэта трэці, калі лічыць зьверху.
Увядзіце назву долі ва ўкладцы пошуку
Калі ў біце некалькі модуляў. Будзе створана панэль кіравання для кожнага з іх. Але толькі той, у каго актыўны модуль, будзе адлюстроўваць непустыя дадзеныя.
Абярыце той, у якога ёсць назва вашага модуля.
Гэта асноўны шаблон PacketBeat.
Гэта панэль кіравання сеткавымі струменямі. Яна паведаміць нам аб уваходным і выходным пакеце, крыніцах і прызначэннях IP-адрасоў, а таксама дасць шмат карыснай інфармацыі для аналітыка цэнтра бяспекі.
3 — Стварэнне вашых першых дашбордаў
3-1- Асноўныя паняцці
A- Тыпы дашбордаў:
Гэта розныя тыпы візуалізацый, якія вы можаце выкарыстоўваць для візуалізацыі вашых дадзеных.
напрыклад у нас ёсць:
- гістаграма
- Мапа
- Віджэт Markdown
- кругавая дыяграма
B- KQL (мова запытаў Kibana):
Гэта мова, які выкарыстоўваецца ў Кібана для зручнага пошуку ў дадзеных. Гэта дазваляе вам праверыць, ці існуюць пэўныя дадзеныя, і многія іншыя карысныя функцыі. Каб даведацца больш, вы можаце вывучыць інфармацыю па гэтай спасылцы
Гэта прыклад запыту на пошук хаста з сістэмай Windows 10 pro.
C- Фільтры:
Гэтая функцыя дазволіць вам фільтраваць вызначаныя параметры, напрыклад, імя хаста, код ці ідэнтыфікатар падзеі і т. Д. Фільтры значна палепшаць фазу расследавання з пункта гледжання часу і намаганняў, якія затрачваюцца на пошук доказаў.
D- Першая візуалізацыя:
Створым візуалізацыю для MITER ATT \uXNUMX CK.
Спачатку нам трэба перайсці ў Dashboard → Create new dashboard → create new → Pie dashboard
Усталюйце тып для індэкснага патэрна, затым краніце назвы свайго біта.
Націсніце Увод. Да гэтага моманту вы павінны ўбачыць зялёны пончык.
Ва ўкладцы Buckets злева вы знойдзеце:
- Split slices падзеліць пончык на розныя часткі ў залежнасці ад роскіду дадзеных.
- Split Chart створыць яшчэ адзін пончык побач з гэтым.
Мы будзем выкарыстоўваць падзеленыя зрэзы.
Мы будзем візуалізаваць нашыя дадзеныя ў залежнасці ад абранага намі тэрміна. У гэтым выпадку тэрмін будзе адносіцца да MITER ATT & CK.
У Winlogbeat поле, якое будзе прадастаўляць нам гэтую інфармацыю, называецца:
winlog.event_data.RuleNameМы ўсталюем метрыку падліку, каб упарадкаваць падзеі ў залежнасці ад колькасці іх з'яўленняў.
Уключыце функцыю "Групаваць іншыя значэння ў асобным сегменце".
Гэта будзе зручна, калі тэрміны, якія вы выбралі, маюць шмат розных значэнняў, якія выходзяць з рытму. Гэта дапамагае візуалізаваць астатнія дадзеныя як адзінае цэлае. Гэта дасць вам уяўленне аб працэнце астатніх падзей.
Цяпер, калі мы скончылі наладу ўкладкі дадзеных, пяройдзем да ўкладкі параметраў
Вы павінны здзейсніць наступныя:
** Выдаліце форму пончыкі, каб на візуалізацыі з'явіўся поўны круг.
** Абярыце пазіцыю легенды, якая вам падабаецца. У гэтым выпадку мы адлюструем іх справа.
** Усталюйце значэння адлюстравання, каб яны адлюстроўваліся побач з іх фрагментам для палягчэння чытання, а астатнія пакіньце па змаўчанні
Усячэнне вызначае, колькі вы хочаце адлюстраваць з імя падзеі.
Усталюйце час, з якога павінна пачынацца візуалізацыя, а затым пстрыкніце сіні квадрат.
У вас павінна атрымацца нешта падобнае:
Вы таксама можаце дадаць фільтр да сваёй візуалізацыі, каб адфільтраваць пэўны хост, які вы хочаце праверыць, ці любыя параметры, якія, на вашу думку, карысныя для вашай мэты. Візуалізацыя будзе адлюстроўваць толькі дадзеныя, якія адпавядаюць правілу, змешчанаму ў фільтр. У гэтым выпадку мы будзем адлюстроўваць дадзеныя MITER ATT & CK, якія паступаюць толькі з хаста з імем win10.
3–2- Стварэнне вашай першай інфармацыйнай панэлі:
Панэль маніторынгу - гэта набор мноства візуалізацый. Вашы інфармацыйныя панэлі павінны быць яснымі, зразумелымі і змяшчаць карысныя і дэтэрмінаваныя дадзеныя. Вось прыклад дашбордаў, якія мы стварылі з нуля для winlogbeat.
Дзякуй за ўдзел. Спадзяюся, гэты артыкул быў вам карысны. Калі вы хочаце атрымаць больш падрабязную інфармацыю па тэме, мы рэкамендуем вам наведаць .
Тэлеграм чат па Elasticsearch:
Крыніца: habr.com