ELK SIEM es va afegir recentment a la pila elk a la versió 7.2 el 25 de juny de 2019.
Aquesta és una solució SIEM creada per elastic.co per fer la vida d'un analista de seguretat molt més fàcil i menys tediosa.
En la nostra versió del treball, vam decidir crear el nostre propi SIEM i triar el nostre propi panell de control.
Però creiem que és important explorar primer ELK SIEM.
1.1- Secció d'acollida d'esdeveniments
Primer mirarem la secció d'amfitrió. La secció d'amfitrió us permetrà veure els esdeveniments que es generen al punt final.
Després de fer clic a Mostra els amfitrions, hauríeu d'obtenir alguna cosa com això. Com podeu veure, hi ha tres hosts connectats a aquest ordinador:
1 Windows 10.
2 Ubuntu Server 18.04.
Tenim diverses visualitzacions mostrades, cadascuna amb diferents tipus d'esdeveniments.
Per exemple, el del mig mostra les dades d'inici de sessió a les tres màquines.
Aquesta quantitat de dades que veieu aquí es va recopilar durant cinc dies. Això explica el gran nombre d'inicis de sessió fallits i exitosos. Probablement tindreu un petit nombre de registres, així que no us preocupeu
1.2- Secció d'esdeveniments de xarxa
Passant a la secció de xarxa, hauríeu d'obtenir alguna cosa com això. Aquesta secció us permetrà vigilar de prop tot el que passa a la vostra xarxa, des del trànsit HTTP/TLS fins al trànsit DNS i les alertes d'esdeveniments externs.
2- Taulers de comandament per defecte
Per facilitar la vida als usuaris, els desenvolupadors d'elastic.co han creat una barra d'eines predeterminada amb el suport oficial d'ELK. Els nostres ritmes no van ser una excepció a aquesta regla. Aquí faré servir els taulers predeterminats de Packetbeat com a exemple.
Si heu seguit el pas dos de l'article correctament. Hauríeu de tenir una barra d'eines configurada esperant-vos. Així que comencem.
A la pestanya esquerra de Kibana, seleccioneu el símbol del tauler. Aquest és el tercer, si es compta des de dalt.
Introduïu el nom de la compartició a la pestanya de cerca
Si hi ha diversos mòduls al bit. Es crearà un panell de control per a cadascun d'ells. Però només el que tingui el mòdul actiu mostrarà dades no buides.
Seleccioneu el que tingui el nom del vostre mòdul.
Aquesta és la plantilla principal PacketBeat.
Aquest és el tauler de control de flux de xarxa. Ens informarà sobre el paquet entrant i sortint, les fonts i les destinacions de les adreces IP i també proporciona molta informació útil per a un analista del centre de seguretat.
3 — Creació dels vostres primers quadres de comandament
3–1- Conceptes bàsics
A- Tipus de quadres de comandament:
Aquests són els diferents tipus de visualitzacions que podeu utilitzar per visualitzar les vostres dades.
per exemple tenim:
gràfic de barres
Mapa
Giny Markdown
Gràfic circular
B- KQL (Llenguatge de consulta Kibana):
Aquest és l'idioma utilitzat a Kibana per a la cerca fàcil de dades. Et permet comprovar si existeixen determinades dades i moltes altres funcions útils. Per saber-ne més, podeu consultar la informació en aquest enllaç
Aquesta és una consulta d'exemple per trobar un amfitrió amb Windows 10 pro.
C- Filtres:
Aquesta característica us permetrà filtrar determinats paràmetres com el nom d'amfitrió, el codi d'esdeveniment o l'identificador, etc. Els filtres milloraran molt la fase d'investigació pel que fa al temps i l'esforç dedicat a la recerca de proves.
D- Primera visualització:
Creem una visualització per a MITRE ATT & CK.
Primer hem d'anar a Tauler de control → Crea un tauler de comandament nou → crea un tauler de control nou → Tauler de control de Pie
Estableix el tipus per al patró d'índex i, a continuació, toca el nom del teu ritme.
Premeu Intro. A hores d'ara hauríeu de veure un bunyol verd.
A la pestanya Cubs de l'esquerra trobareu:
— Les rodanxes dividides dividiran el bunyol en diferents parts en funció de la difusió de les dades.
- Split Chart crearà un altre bunyol al costat d'aquest.
Utilitzarem rodanxes dividides.
Visualitzarem les nostres dades en funció del terme que triem. En aquest cas, el terme es referirà a MITRE ATT & CK.
A Winlogbeat, el camp que ens proporcionarà aquesta informació s'anomena:
winlog.event_data.RuleName
Configurarem una mètrica de recompte per ordenar els esdeveniments en funció del nombre de vegades que es produeixen.
Activeu la funció "Agrupa altres valors en un segment separat".
Això serà útil si els termes que trieu tenen molts significats diferents segons el ritme. Això ajuda a visualitzar la resta de dades com un tot. Això us donarà una idea del percentatge d'esdeveniments restants.
Ara que hem acabat de configurar la pestanya de dades, passem a la pestanya d'opcions
Heu de fer el següent:
**Elimineu la forma del donut perquè la representació mostri un cercle complet.
** Trieu la posició de la llegenda que us agradi. En aquest cas, els mostrarem a la dreta.
**Configureu els valors de visualització per mostrar-los al costat del seu fragment per facilitar la lectura i deixeu la resta com a predeterminat
El truncament determina quant voleu mostrar des del nom de l'esdeveniment.
Definiu l'hora en què voleu que comenci la representació i, a continuació, feu clic al quadrat blau.
Hauríeu d'acabar amb alguna cosa com això:
També podeu afegir un filtre a la vostra visualització per filtrar l'amfitrió específic que voleu comprovar o qualsevol paràmetre que cregueu útils per al vostre propòsit. La visualització només mostrarà dades que coincideixin amb la regla col·locada al filtre. En aquest cas, només mostrarem les dades MITRE ATT&CK provinents de l'amfitrió anomenat win10.
3-2- Creació del vostre primer tauler de control:
Un tauler és una col·lecció de moltes visualitzacions. Els vostres taulers de control han de ser clars, entenedors i contenir dades útils i deterministes. Aquí teniu un exemple dels taulers de control que hem creat des de zero per a winlogbeat.
Gràcies pel teu temps. Espero que aquest article us sigui útil. Si voleu més informació sobre el tema, us recomanem que la visiteu lloc web oficial.