Kini nga post maghulagway sa pag-set up sa visualization sa ELK ug SIEM dashboards sa ELK
Ang artikulo gibahin sa mosunod nga mga seksyon:
1- Pagrepaso sa ELK SIEM
2- Default nga mga dashboard
3- Paghimo sa imong unang mga dashboard
Talaan sa mga sulud sa tanan nga mga post.
- Paghiusa sa WAZUH
- Nagpaalerto
- Pagreport
- Pagdumala sa Kaso
1-ELK SIEM Review
Ang ELK SIEM bag-o lang gidugang sa elk stack sa bersyon 7.2 kaniadtong Hunyo 25, 2019.
Kini usa ka solusyon sa SIEM nga gihimo sa elastic.co aron mahimo ang kinabuhi sa usa ka analista sa seguridad nga labi kadali ug dili kaayo kapoy.
Sa among bersyon sa trabaho, nakahukom mi sa paghimo sa among kaugalingong SIEM ug pagpili sa among kaugalingong control panel.
Apan gihunahuna namon nga hinungdanon nga susihon una ang ELK SIEM.
1.1- Seksyon sa mga panghitabo sa host
Atong tan-awon una ang seksyon sa host. Ang seksyon sa host magtugot kanimo nga makita ang mga panghitabo nga nahimo sa katapusan nga punto mismo.
Pagkahuman sa pag-klik sa pagtan-aw sa mga host kinahanglan nimo nga makakuha usa ka butang nga sama niini. Sama sa imong makita, adunay tulo ka mga host nga konektado niini nga kompyuter:
1 Windows 10.
2 Ubuntu Server 18.04.
Adunay kami daghang mga visualization nga gipakita, ang matag usa nagrepresentar sa lainlaing mga lahi sa mga panghitabo.
Pananglitan, ang usa sa tunga nagpakita sa data sa pag-login sa tanan nga tulo ka mga makina.
Kining gidaghanon sa datos nga imong nakita dinhi nakolekta sulod sa lima ka adlaw. Gipatin-aw niini ang daghang gidaghanon sa mga napakyas ug malampuson nga pag-login. Tingali adunay ka gamay nga gidaghanon sa mga troso, busa ayaw kabalaka
1.2- Seksyon sa mga panghitabo sa network
Pagbalhin sa seksyon sa network, kinahanglan nimo nga makakuha usa ka butang nga sama niini. Kini nga seksyon magtugot kanimo nga magbantay pag-ayo sa tanan nga mahitabo sa imong network, gikan sa trapiko sa HTTP/TLS hangtod sa trapiko sa DNS ug mga alerto sa eksternal nga panghitabo.
2- Default nga mga dashboard
Aron mapasayon ββang kinabuhi alang sa mga tiggamit, ang mga developer sa elastic.co naghimo og default toolbar nga opisyal nga gisuportahan sa ELK. Ang among mga beats dili eksepsiyon niini nga lagda. Dinhi akong gamiton ang default dashboard sa Packetbeat isip usa ka pananglitan.
Kung gisunod nimo ang ikaduhang lakang sa artikulo sa husto. Kinahanglan nga adunay usa ka toolbar nga gipahimutang nga naghulat kanimo. So sugdan na nato.
Gikan sa wala nga tab sa Kibana, pilia ang simbolo sa dashboard. Kini ang ikatulo, kung mag-ihap ka gikan sa taas.
Isulod ang share name sa search tab
Kung adunay daghang mga module sa bit. Usa ka control panel ang pagabuhaton alang sa matag usa kanila. Apan ang usa ra nga adunay aktibo nga module ang magpakita nga walaβy sulod nga datos.
Pilia ang usa nga adunay ngalan sa imong module.
Kini ang panguna nga template PacketBeat.
Kini ang network flow control panel. Magsulti kini kanamo bahin sa umaabot ug mogawas nga pakete, ang mga gigikanan ug mga destinasyon sa mga adres sa IP, ug naghatag usab daghang mapuslanon nga kasayuran alang sa usa ka analista sa security center.
3 β Paghimo sa imong unang mga dashboard
3β1- Sukaranan nga mga Konsepto
A- Mga tipo sa dashboard:
Kini ang lain-laing mga matang sa visualizations nga imong magamit sa paghanduraw sa imong data.
pananglitan naa mi:
- tsart sa bar
- mapa
- Markdown nga widget
- Tsart sa pie
B- KQL (Kibana Query Language):
Kini ang pinulongan nga gigamit sa Kibana para sa sayon ββnga pagpangita sa datos. Gitugotan ka niini nga susihon kung adunay piho nga datos ug daghang uban pang mapuslanon nga mga bahin. Aron mahibal-an ang dugang, mahimo nimong susihon ang kasayuran sa kini nga link
Kini usa ka pananglitan nga pangutana aron makapangita usa ka host nga nagdagan Windows 10 pro.
C- Mga Filter:
Kini nga bahin magtugot kanimo sa pagsala sa pipila ka mga parameter sama sa hostname, event code o ID, ug uban pa.
D- Unang pagtan-aw:
Magbuhat ta ug visualization para sa MITER ATT & CK.
Una kinahanglan naton nga moadto Dashboard β Paghimo bag-ong dashboard β paghimo og bag-o β Pie dashboard
Itakda ang tipo para sa index pattern, unya i-tap ang ngalan sa imong beat.
Pindota ang Enter. Karon kinahanglan nimo nga makita ang usa ka berde nga donut.
Sa tab nga Balde sa wala makit-an nimo:
β Ang mga split slices magbahin sa donut sa lainlaing mga bahin depende sa pagkaylap sa datos.
- Ang Split Chart maghimo ug laing donut sunod niini.
Gigamit namon ang mga hiwa nga gibahin.
Atong lantawon ang atong datos depende sa termino nga atong pilion. Niini nga kaso ang termino magtumong sa MITRE ATT & CK.
Sa Winlogbeat, ang natad nga maghatag kanamo niini nga kasayuran gitawag:
winlog.event_data.RuleNameMag-set up mi ug count metric aron mag-order og mga panghitabo base sa gidaghanon sa mga higayon nga kini mahitabo.
I-enable ang bahin nga "Grupo ang ubang mga kantidad sa lahi nga bahin".
Mapuslanon kini kung ang mga termino nga imong gipili adunay daghang lainlaing mga kahulugan base sa ritmo. Makatabang kini nga mahanduraw ang nahabilin nga datos sa kinatibuk-an. Makahatag kini kanimo usa ka ideya sa porsyento sa nahabilin nga mga panghitabo.
Karon nga nahuman na naton ang pag-set up sa tab sa data, magpadayon kita sa tab nga mga kapilian
Kinahanglan nimong buhaton ang mosunod:
**Kuhaa ang porma sa donut aron ang rendering magpakita sa tibuok nga lingin.
** Pilia ang posisyon sa leyenda nga gusto nimo. Sa kini nga kaso, among ipakita sila sa tuo.
**Ibutang ang mga kantidad sa pagpakita aron ipakita sunod sa ilang snippet para sa dali nga pagbasa ug ibilin ang nahabilin nga default
Ang pagputol nagtino kung pila ang gusto nimo ipakita gikan sa ngalan sa panghitabo.
Itakda ang oras kung asa nimo gusto nga magsugod ang paghubad, ug dayon i-klik ang asul nga kwadro.
Kinahanglan nimong tapuson ang usa ka butang nga sama niini:
Mahimo ka usab makadugang usa ka filter sa imong visualization aron masala ang piho nga host nga gusto nimong susihon o bisan unsang mga parameter nga sa imong hunahuna mapuslanon alang sa imong katuyoan. Ang visualization magpakita lang sa datos nga mohaum sa lagda nga gibutang sa filter. Sa kini nga kaso, ipakita ra namon ang datos sa MITER ATT&CK gikan sa host nga ginganlag win10.
3-2- Paghimo sa imong unang dashboard:
Ang dashboard usa ka koleksyon sa daghang mga visualization. Ang imong mga dashboard kinahanglang klaro, masabtan, ug adunay mapuslanon, deterministikong datos. Ania ang usa ka pananglitan sa mga dashboard nga among gibuhat gikan sa wala alang sa winlogbeat.
Salamat sa imong oras. Nanghinaut ko nga nakatabang ka niining artikuloha. Kung gusto nimo ang dugang nga kasayuran sa hilisgutan, girekomenda namon nga bisitahan ka .
Telegram chat sa Elasticsearch:
Source: www.habr.com