ELK SIEM byl nedávno přidán do elk stacku ve verzi 7.2 dne 25. června 2019.
Toto je řešení SIEM vytvořené společností elastic.co, aby bylo život bezpečnostního analytika mnohem jednodušší a méně únavný.
V naší verzi práce jsme se rozhodli vytvořit vlastní SIEM a zvolit si vlastní ovládací panel.
Ale myslíme si, že je důležité nejprve prozkoumat ELK SIEM.
1.1- Sekce hostitelských akcí
Nejprve se podíváme na hostitelskou sekci. Sekce hostitele vám umožní vidět události, které jsou generovány v samotném koncovém bodu.
Po kliknutí na zobrazit hostitele byste měli dostat něco takového. Jak vidíte, k tomuto počítači jsou připojeni tři hostitelé:
1 Windows 10.
2 Ubuntu Server 18.04.
Máme zobrazeno několik vizualizací, z nichž každá představuje různé typy událostí.
Například ten uprostřed ukazuje přihlašovací údaje na všech třech strojích.
Toto množství dat, které zde vidíte, bylo shromážděno během pěti dnů. To vysvětluje velký počet neúspěšných a úspěšných přihlášení. Pravděpodobně budete mít malý počet protokolů, takže se nebojte
1.2- Sekce síťových událostí
Když přejdeme do sekce sítě, měli byste dostat něco takového. Tato část vám umožní bedlivě sledovat vše, co se děje ve vaší síti, od provozu HTTP/TLS po provoz DNS a externí upozornění na události.
2- Výchozí řídicí panely
Aby uživatelům usnadnili život, vývojáři elastic.co vytvořili výchozí panel nástrojů oficiálně podporovaný společností ELK. Naše beaty nebyly výjimkou z tohoto pravidla. Zde jako příklad použiji výchozí dashboardy Packetbeat.
Pokud jste postupovali správně podle druhého kroku článku. Měli byste mít nastavenou lištu nástrojů. Pojďme tedy začít.
Na levé kartě Kibana vyberte symbol řídicího panelu. Toto je třetí, pokud počítáte shora.
Na kartě vyhledávání zadejte název sdílené položky
Pokud je v bitu několik modulů. Pro každý z nich bude vytvořen ovládací panel. Ale pouze ten s aktivním modulem zobrazí neprázdné údaje.
Vyberte modul s názvem vašeho modulu.
Toto je hlavní šablona PacketBeat.
Toto je ovládací panel toku sítě. Řekne nám o příchozím a odchozím paketu, zdrojích a cílech IP adres a také poskytne mnoho užitečných informací pro analytiky bezpečnostního centra.
3 — Vytvoření prvních řídicích panelů
3–1- Základní pojmy
A- Typy palubních desek:
Toto jsou různé typy vizualizací, které můžete použít k vizualizaci dat.
máme například:
Sloupcový graf
Mapa
Widget Markdown
Výsečový graf
B- KQL (Kibana Query Language):
Toto je jazyk používaný v Kibaně pro snadné vyhledávání dat. Umožňuje vám zkontrolovat, zda existují určitá data, a mnoho dalších užitečných funkcí. Chcete-li se dozvědět více, můžete prozkoumat informace na tomto odkazu
Toto je příklad dotazu k nalezení hostitele se systémem Windows 10 pro.
C-filtry:
Tato funkce vám umožní filtrovat určité parametry, jako je název hostitele, kód události nebo ID atd. Filtry výrazně zlepší fázi vyšetřování, pokud jde o čas a úsilí vynaložené na hledání důkazů.
D- První vizualizace:
Pojďme vytvořit vizualizaci pro MITRE ATT & CK.
Nejprve musíme jít Panel → Vytvořit nový panel → Vytvořit nový → Koláčový panel
Nastavte typ vzoru indexu a poté klepněte na název rytmu.
Stiskněte Enter. Nyní byste měli vidět zelenou koblihu.
Na kartě Buckets vlevo najdete:
— Dělené řezy rozdělí koblihu na různé části v závislosti na rozložení dat.
- Split Chart vytvoří další koblihu vedle tohoto.
Použijeme rozdělené plátky.
Naše data budeme vizualizovat v závislosti na termínu, který zvolíme. V tomto případě bude termín odkazovat na MITER ATT & CK.
Ve Winlogbeat se pole, které nám poskytne tyto informace, nazývá:
winlog.event_data.RuleName
Nastavíme metriku počtu pro seřazení událostí na základě toho, kolikrát k nim došlo.
Povolte funkci „Seskupit další hodnoty do samostatného segmentu“.
To bude užitečné, pokud termíny, které zvolíte, mají mnoho různých významů na základě rytmu. To pomáhá vizualizovat zbytek dat jako celek. To vám dá představu o procentu zbývajících událostí.
Nyní, když jsme dokončili nastavení karty data, přejděme na kartu možností
Musíte provést následující:
**Odstraňte tvar prstence tak, aby vykreslování ukazovalo celý kruh.
**Vyberte pozici legendy, která se vám líbí. V tomto případě je zobrazíme vpravo.
**Nastavte zobrazované hodnoty tak, aby se zobrazovaly vedle jejich úryvku pro snadnější čtení, a zbytek ponechte jako výchozí
Zkrácení určuje, kolik chcete zobrazit z názvu události.
Nastavte čas, kdy má vykreslování začít, a poté klikněte na modrý čtverec.
Měli byste skončit s něčím takovým:
Do vizualizace můžete také přidat filtr, který odfiltruje konkrétního hostitele, kterého chcete zkontrolovat, nebo jakékoli parametry, které považujete za užitečné pro váš účel. Vizualizace zobrazí pouze data, která odpovídají pravidlu umístěnému ve filtru. V tomto případě zobrazíme pouze data MITER ATT&CK pocházející z hostitele s názvem win10.
3-2- Vytvoření prvního řídicího panelu:
Řídicí panel je sbírka mnoha vizualizací. Vaše řídicí panely by měly být jasné, srozumitelné a obsahovat užitečná, deterministická data. Zde je příklad dashboardů, které jsme vytvořili od začátku pro winlogbeat.
Děkuji vám za Váš čas. Doufám, že vám tento článek pomohl. Pokud byste chtěli více informací k tématu, doporučujeme navštívit Oficiální internetové stránky.