Questu post descriverà a stallazione di a visualizazione di i pannelli ELK è SIEM in ELK
L'articulu hè divisu in e seguenti sezzioni:
1- ELK SIEM Review
2- Dashboards predeterminati
3- Crea i vostri primi dashboards
Tabella di cuntenutu di tutti i posti.
- Integrazione cù WAZUH
- Alerta
- Rapportu
- Case Management
1-ELK SIEM Review
ELK SIEM hè statu recentemente aghjuntu à a pila di alci in a versione 7.2 u 25 di ghjugnu 2019.
Questa hè una suluzione SIEM creata da elastic.co per fà a vita di un analista di sicurezza assai più faciule è menu tediosa.
In a nostra versione di u travagliu, avemu decisu di creà u nostru propiu SIEM è sceglie u nostru pannellu di cuntrollu.
Ma pensemu chì hè impurtante di scopra prima ELK SIEM.
1.1- Sezione di l'avvenimenti d'ospiti
Fighjemu prima a sezione di l'ospiti. A sezione di l'ospiti vi permetterà di vede l'avvenimenti chì sò generati à l'endpoint stessu.
Dopu à cliccà nantu à vede l'ospiti duvete ottene qualcosa cusì. Comu pudete vede, ci sò trè ospiti cunnessi à questu computer:
1 Windows 10.
2 Ubuntu Server 18.04.
Avemu parechje visualizazioni affissate, ognuna rapprisenta diversi tipi di avvenimenti.
Per esempiu, quellu in u mezzu mostra dati di login in tutti i trè machini.
Questa quantità di dati chì vede quì hè stata cullata in cinque ghjorni. Questu spiega u gran numaru di logins falluti è successu. Probabilmente avete un picculu numeru di logs, cusì ùn vi preoccupate micca
1.2- Sezione di avvenimenti di rete
Passendu à a seccione di a reta, duvete ottene qualcosa cusì. Questa rùbbrica vi permetterà di guardà un ochju vicinu à tuttu ciò chì succede in a vostra reta, da u trafficu HTTP / TLS à u trafficu DNS è l'alerta di l'avvenimenti esterni.
2- Dashboards predeterminati
Per fà a vita più faciule per l'utilizatori, i sviluppatori elastic.co anu creatu una toolbar predeterminata supportata ufficialmente da ELK. I nostri battiti ùn eranu micca eccezzioni à sta regula. Quì aghju aduprà i dashboards predeterminati di Packetbeat cum'è un esempiu.
Sè avete seguitu u passu dui di l'articulu currettamente. Duvete avè una toolbar stallata chì vi aspetta. Allora cuminciamu.
Da a tabulazione manca di Kibana, selezziunate u simbulu di u dashboard. Questu hè u terzu, se cuntate da a cima.
Inserite u nome di parte in a tabulazione di ricerca
Se ci sò parechji moduli in u bit. Un pannellu di cuntrollu serà creatu per ognunu di elli. Ma solu quellu cù u modulu attivu mostrarà dati micca vacanti.
Sceglite quellu cù u vostru nome di modulu.
Questu hè u mudellu principale PacketBeat.
Questu hè u pannellu di cuntrollu di u flussu di a rete. Ci hà da cuntà nantu à u pacchettu in entrata è in uscita, e fonti è destinazioni di l'indirizzi IP, è furnisce ancu assai infurmazioni utili per un analista di centru di sicurezza.
3 - Crià i vostri primi dashboards
3-1- Cuncepzioni basi
A- Tipi di dashboards:
Quessi sò i diversi tipi di visualizazioni chì pudete aduprà per visualizà i vostri dati.
per esempiu avemu:
- grafico a barre
- Mappa
- Widget Markdown
- Graficu a torta
B- KQL (Kibana Query Language):
Questa hè a lingua utilizata in Kibana per a ricerca faciule di dati. Permette di verificà se certi dati esistenu è parechje altre funziunalità utili. Per sapè di più, pudete scopre l'infurmazioni in stu ligame
Questa hè una dumanda di esempiu per truvà un òspite chì esegue Windows 10 pro.
C- Filtri:
Sta funziunalità vi permetterà di filtrà certi paràmetri, cum'è u nome di l'ospitu, u codice di l'avvenimentu o l'ID, etc. I filtri migliurà assai a fase d'investigazione in quantu à u tempu è u sforzu spentu per circà l'evidenza.
D- Prima visualizazione:
Creemu una visualizazione per MITRE ATT & CK.
Prima ci vole à andà Dashboard → Crea un novu dashboard → crea un novu →Pie dashboard
Definite u tipu per u mudellu d'indici, dopu toccu u nome di u vostru battutu.
Press Enter. Avà duvete vede un donut verde.
In a tabulazione Buckets à a manca truverete:
- Split slices dividerà a ciambella in diverse parti secondu a diffusione di e dati.
- Split Chart creà un altru donut accantu à questu.
Avemu aduprà fette split.
Avemu da visualizà i nostri dati secondu u termini chì scegliamu. In questu casu, u terminu si riferisce à MITRE ATT & CK.
In Winlogbeat, u campu chì ci darà sta infurmazione hè chjamatu:
winlog.event_data.RuleNameStabiliremu una metrica di conte per urdinà l'avvenimenti basatu annantu à u numeru di volte chì si verificanu.
Attivate a funzione "Gruppu altri valori in un segmentu separatu".
Questu serà utile se i termini chì sceglite anu parechji significati diffirenti basati nantu à u ritmu. Questu aiuta à visualizà u restu di e dati in tuttu. Questu vi darà una idea di u percentualità di l'avvenimenti restante.
Avà chì avemu finitu di stallà a tabulazione di dati, andemu à a tabulazione di l'opzioni
Duvete fà i seguenti:
** Rimuove a forma di donut in modu chì u rendering mostra un cerculu sanu.
** Sceglite a pusizione di legenda chì ti piace. In questu casu, avemu da vede nantu à a diritta.
** Stabilite i valori di visualizazione per vede accantu à u so snippet per una lettura più faciule è lasciate u restu predeterminatu
Truncamentu determina quantu vulete vede da u nome di l'avvenimentu.
Definite l'ora à quale vulete chì u rendering principia, è dopu cliccate nantu à u quadru blu.
Duvete finisce cù qualcosa cum'è questu:
Pudete ancu aghjunghje un filtru à a vostra visualizazione per filtrà l'ospite specificu chì vulete verificà o qualsiasi paràmetri chì pensate chì sò utili per u vostru scopu. A visualizazione mostrarà solu e dati chì currispondenu à a regula posta in u filtru. In questu casu, avemu da vede solu i dati MITRE ATT & CK chì venenu da l'ospite chjamatu win10.
3-2- Crea u vostru primu dashboard:
Un dashboard hè una cullizzioni di parechje visualizazioni. I vostri dashboards duveranu esse chjari, capiscenu, è cuntenenu dati utili, deterministici. Eccu un esempiu di i dashboards chì avemu creatu da zero per winlogbeat.
Grazie per u vostru tempu. Spergu chì avete trovu stu articulu utile. Se vulete più infurmazione nantu à u tema, vi cunsigliemu di visità .
Chat di Telegram nantu à Elasticsearch:
Source: www.habr.com