Ovaj post će opisati postavljanje vizualizacije ELK i SIEM nadzornih ploča u ELK-u
Članak je podijeljen u sljedeće dijelove:
1- ELK SIEM pregled
2- Zadane kontrolne table
3- Kreiranje prve kontrolne table
Sadržaj svih postova.
- Integracija sa WAZUH-om
- Alerting
- Izvještavanje
- Case Management
1-ELK SIEM pregled
ELK SIEM je nedavno dodat u elk stack u verziji 7.2 25. juna 2019.
Ovo je SIEM rješenje koje je kreirao elastic.co kako bi život sigurnosnog analitičara učinio mnogo lakšim i manje zamornim.
U našoj verziji rada odlučili smo kreirati vlastiti SIEM i odabrati vlastitu kontrolnu ploču.
Ali mislimo da je važno prvo istražiti ELK SIEM.
1.1- Odjeljak za domaćine događaja
Prvo ćemo pogledati odjeljak domaćina. Odjeljak domaćina će vam omogućiti da vidite događaje koji se generiraju na samoj krajnjoj tački.
Nakon što kliknete na view hosts, trebali biste dobiti nešto poput ovoga. Kao što vidite, na ovaj računar su povezana tri hosta:
1 Windows 10.
2 Ubuntu Server 18.04.
Imamo nekoliko prikazanih vizualizacija, od kojih svaka predstavlja različite vrste događaja.
Na primjer, onaj u sredini prikazuje podatke za prijavu na sve tri mašine.
Ova količina podataka koju vidite ovdje je prikupljena tokom pet dana. Ovo objašnjava veliki broj neuspjelih i uspješnih prijava. Vjerovatno ćete imati mali broj dnevnika, tako da ne brinite
1.2- Odjeljak o mrežnim događajima
Prelazeći na odjeljak o mreži, trebali biste dobiti nešto poput ovoga. Ovaj odjeljak će vam omogućiti da pažljivo pratite sve što se dešava na vašoj mreži, od HTTP/TLS prometa do DNS saobraćaja i vanjskih upozorenja o događajima.
2- Zadane kontrolne table
Kako bi olakšali život korisnicima, programeri elastic.co su kreirali zadanu traku sa alatkama koju službeno podržava ELK. Naši taktovi nisu bili izuzetak od ovog pravila. Ovdje ću koristiti Packetbeat-ove zadane kontrolne ploče kao primjer.
Ako ste ispravno slijedili drugi korak iz članka. Trebalo bi da imate postavljenu traku sa alatkama koja vas čeka. Pa počnimo.
Na lijevoj kartici Kibana odaberite simbol na kontrolnoj tabli. Ovo je treći, ako se računa od vrha.
Unesite naziv dionice u karticu za pretraživanje
Ako postoji nekoliko modula u bitu. Za svaki od njih će biti kreiran kontrolni panel. Ali samo onaj s aktivnim modulom će prikazati neprazne podatke.
Odaberite onaj sa imenom vašeg modula.
Ovo je glavni šablon PacketBeat.
Ovo je kontrolni panel mrežnog toka. Reći će nam o dolaznom i odlaznom paketu, izvorima i odredištima IP adresa, a pruža i mnogo korisnih informacija za analitičara centra sigurnosti.
3 — Kreiranje prve kontrolne table
3–1- Osnovni koncepti
A- Vrste kontrolne table:
Ovo su različite vrste vizualizacija koje možete koristiti za vizualizaciju svojih podataka.
na primjer imamo:
- bar grafikona
- karta
- Markdown widget
- Pie chart
B- KQL (jezik upita Kibana):
Ovo je jezik koji se koristi u Kibani za jednostavno pretraživanje podataka. Omogućava vam da provjerite postoje li određeni podaci i mnoge druge korisne funkcije. Da biste saznali više, možete istražiti informacije na ovom linku
Ovo je primjer upita za pronalaženje hosta koji koristi Windows 10 pro.
C-Filteri:
Ova funkcija će vam omogućiti da filtrirate određene parametre kao što su ime hosta, kod događaja ili ID, itd. Filteri će uvelike poboljšati fazu istrage u smislu vremena i truda utrošenog na traženje dokaza.
D- Prva vizualizacija:
Kreirajmo vizualizaciju za MITER ATT & CK.
Prvo treba da odemo do Kontrolna tabla → Kreiraj novu kontrolnu tablu→kreiraj novu →Pie kontrolnu tablu
Postavite tip indeksnog uzorka, a zatim dodirnite naziv svog takta.
Pritisnite Enter. Do sada bi trebali vidjeti zelenu krofnu.
Na kartici Buckets s lijeve strane pronaći ćete:
— Podijeljene kriške će podijeliti krofnu na različite dijelove ovisno o širenju podataka.
- Split Chart će kreirati još jednu krofnu pored ove.
Koristićemo podeljene kriške.
Svoje podatke ćemo vizualizirati ovisno o terminu koji odaberemo. U ovom slučaju termin će se odnositi na MITRE ATT & CK.
U Winlogbeat-u, polje koje će nam pružiti ove informacije se zove:
winlog.event_data.RuleNamePostavit ćemo metriku broja za redoslijed događaja na osnovu broja dešavanja.
Omogućite funkciju "Grupiraj druge vrijednosti u poseban segment".
Ovo će biti korisno ako izrazi koje odaberete imaju mnogo različitih značenja na osnovu ritma. Ovo pomaže vizualizaciji ostalih podataka u cjelini. Ovo će vam dati predstavu o postotku preostalih događaja.
Sada kada smo završili sa podešavanjem kartice podataka, pređimo na karticu sa opcijama
Morate uraditi sljedeće:
**Uklonite oblik krofne tako da prikaz prikazuje puni krug.
**Odaberite poziciju legende koja vam se sviđa. U ovom slučaju, prikazat ćemo ih na desnoj strani.
**Podesite vrednosti prikaza da se prikazuju pored njihovog isečka radi lakšeg čitanja, a ostale ostavite kao zadane
Skraćivanje određuje koliko želite prikazati od naziva događaja.
Postavite vrijeme u kojem želite da renderiranje počne, a zatim kliknite na plavi kvadrat.
Trebalo bi da završite sa nečim poput ovoga:
Također možete dodati filter svojoj vizualizaciji da filtrirate određeni host koji želite provjeriti ili bilo koje parametre za koje mislite da su korisni za vašu svrhu. Vizualizacija će prikazati samo podatke koji odgovaraju pravilu postavljenom u filter. U ovom slučaju, prikazat ćemo samo MITER ATT&CK podatke koji dolaze od hosta pod nazivom win10.
3-2- Kreiranje vaše prve kontrolne table:
Kontrolna tabla je skup mnogih vizualizacija. Vaše kontrolne table trebaju biti jasne, razumljive i sadržavati korisne, determinističke podatke. Evo primjera nadzornih ploča koje smo kreirali od nule za winlogbeat.
Hvala vam na vašem vremenu. Nadam se da vam je ovaj članak bio od pomoći. Ako želite više informacija o ovoj temi, preporučujemo da posjetite .
Telegram chat na Elasticsearch:
izvor: www.habr.com