ELK SIEM наскоро беше добавен към стека на elk във версия 7.2 на 25 юни 2019 г.
Това е SIEM решение, създадено от elastic.co, за да направи живота на анализатора по сигурността много по-лесен и по-малко досаден.
В нашата версия на работа решихме да създадем собствен SIEM и да изберем собствен контролен панел.
Но смятаме, че е важно първо да научите ELK SIEM.
1.1- Секция за организиране на събития
Първо ще разгледаме дяла на хоста. Секцията за хост ще ви позволи да видите събитията, които се задействат в самата крайна точка.
След като щракнете върху преглед на хостове, трябва да получите нещо подобно. Както можете да видите, към този компютър са свързани три хоста:
1 Windows 10.
2 Ubuntu Server 18.04.
Имаме няколко визуализации за показване, всяка от които показва различен тип събитие.
Например този в средата показва информация за влизане и на трите машини.
Това количество данни, което виждате тук, е събрано за пет дни. Това обяснява големия брой неуспешни и успешни влизания. Вероятно ще имате малко количество трупи, така че не се притеснявайте
1.2- Секция за мрежови събития
Преминавайки към мрежовия раздел, трябва да получите нещо подобно. Този раздел ще ви позволи да следите отблизо всичко, което се случва във вашата мрежа, от HTTP/TLS трафик до DNS трафик и предупреждения за външни събития.
2- Табла по подразбиране
За да улеснят живота на потребителите, разработчиците на elastic.co създадоха лента с инструменти по подразбиране, официално поддържана от ELK. Нашите бийтове не бяха изключение от това правило. Тук ще взема таблото за управление на Packetbeat по подразбиране като пример.
Ако сте изпълнили стъпка две от статията правилно. Трябва да имате персонализирана лента с инструменти, която ви очаква. Така че да започваме.
В левия раздел на Kibana изберете символа на таблото. Това е третият, ако се брои отгоре.
Въведете името на споделянето в раздела за търсене
Ако има няколко модула в малко. За всеки от тях ще бъде създаден контролен панел. Но само този с активен модул ще показва непразни данни.
Изберете този с името на вашия модул.
Това е основният шаблон PacketBeat.
Това е контролният панел на мрежовия поток. Той ще ни разкаже за входящия и изходящия пакет, източниците и дестинациите на IP адресите, а също така ще даде много полезна информация за анализатора на центъра за сигурност.
3 - Създаване на вашите първи табла за управление
3–1- Основни понятия
A- Видове табла за управление:
Това са различните типове визуализации, които можете да използвате, за да визуализирате вашите данни.
например имаме:
стълбовидна диаграма
Карта
Markdown Widget
Кръгова диаграма
B- KQL (Език за заявки Kibana):
Това е езикът, използван в Kibana за лесно търсене на данни. Това ви позволява да проверите дали съществуват определени данни и много други полезни функции. За да научите повече, можете да проверите информацията на тази връзка.
Това е пример за заявка за търсене на хост със система Windows 10 pro.
C- Филтри:
Тази функция ще ви позволи да филтрирате определени параметри като име на хост, код на събитие или идентификатор и т.н. Филтрите значително ще подобрят фазата на разследване по отношение на времето и усилията, изразходвани за търсене на улики.
D- Първо изобразяване:
Нека създадем визуализация за MITER ATT & CK.
Първо трябва да отидем до Табло → Създаване на ново табло → създаване на ново → Пай табло
Задайте типа за модела на индекса, след което докоснете името на вашия ритъм.
Натиснете Enter. Досега трябва да видите зелена поничка.
В раздела Кофи отляво ще намерите:
- Разделените резени ще разделят поничката на различни части в зависимост от разпространението на данните.
- Разделената диаграма ще създаде друга поничка до тази.
Ще използваме разделени резени.
Ще визуализираме нашите данни в зависимост от избрания от нас термин. В този случай терминът ще се отнася до MITER ATT & CK.
В Winlogbeat полето, което ще ни предостави тази информация, се нарича:
winlog.event_data.RuleName
Ще настроим показател за отчитане, за да подредим събитията въз основа на броя на срещанията.
Включете функцията „Групиране на други стойности в отделен сегмент“.
Това ще бъде полезно, ако термините, които сте избрали, имат много различни значения, идващи от ритъма. Това помага да се визуализират останалите данни като цяло. Това ще ви даде представа за процента на други събития.
Сега, след като приключихме с конфигурирането на раздела с данни, нека преминем към раздела с опции
Трябва да направите следното:
** Изтрийте формата на поничка, така че върху рендера да се появи пълен кръг.
** Изберете позицията на легендата, която харесвате. В този случай ще ги покажем вдясно.
** Задайте показваните стойности да се показват до техния фрагмент за по-лесно четене и оставете останалите по подразбиране
Отрязването контролира колко искате да покажете от името на събитието.
Задайте часа, в който искате да започне изобразяването, и след това щракнете върху синята кутия.
Трябва да получите нещо подобно:
Можете също да добавите филтър към вашата визуализация, за да филтрирате конкретния хост, който искате да проверите, или всякакви опции, които смятате, че са полезни за вашата цел. Визуализацията ще покаже само данни, които отговарят на правилото, поставено във филтъра. В този случай ние ще покажем само MITER ATT & CK данни, идващи от хост с име win10.
3–2- Създаване на вашето първо табло за управление:
Таблото за управление е колекция от много визуализации. Вашите табла за управление трябва да са ясни, разбираеми и да съдържат полезни и детерминистични данни. Ето пример за таблата за управление, които създадохме от нулата за winlogbeat.
Благодаря ви за отделеното време. Надявам се тази статия да ви е била полезна. Ако искате повече информация по темата, препоръчваме ви да посетите Официален сайт.