Bydd y swydd hon yn ymdrin â sefydlu delweddu dangosfyrddau ELK a SIEM yn ELK
Mae'r erthygl wedi'i rhannu i'r adrannau canlynol:
1- Trosolwg o ELK SIEM
2- Dangosfyrddau diofyn
3- Creu eich dangosfyrddau cyntaf
Tabl cynnwys yr holl bostiadau.
- Integreiddio â WAZUH
- Rhybudd
- Adrodd
- Rheoli Achosion
Adolygiad 1-ELK SIEM
Ychwanegwyd ELK SIEM at y pentwr elk yn ddiweddar yn fersiwn 7.2 ar Fehefin 25, 2019.
Dyma ddatrysiad SIEM a grëwyd gan elastic.co i wneud bywyd dadansoddwr diogelwch yn llawer haws ac yn llai diflas.
Yn ein fersiwn ni o'r gwaith, penderfynon ni greu ein SIEM ein hunain a dewis ein panel rheoli ein hunain.
Ond rydyn ni'n meddwl ei bod hi'n bwysig dysgu am ELK SIEM yn gyntaf.
1.1- Adran cynnal digwyddiadau
Yn gyntaf, gadewch i ni edrych ar yr adran gwesteiwr. Mae'r adran gwesteiwr yn caniatáu ichi weld digwyddiadau a gynhyrchir yn y pwynt terfynol ei hun.
Ar ôl clicio ar Gweld Gwesteiwyr, dylech weld rhywbeth fel hyn. Fel y gallwch weld, mae tri gwesteiwr wedi'u cysylltu â'r cyfrifiadur hwn:
1 Windows 10.
2 Сервер Ubuntu 18.04.
Mae gennym ni sawl delweddiad ar ddangos, pob un yn dangos gwahanol fathau o ddigwyddiadau.
Er enghraifft, mae'r un yn y canol yn dangos manylion mewngofnodi ar gyfer y tri pheiriant.
Casglwyd y swm o ddata a welwch yma dros bum niwrnod. Mae hyn yn egluro'r nifer fawr o fewngofnodiadau aflwyddiannus a llwyddiannus. Mae'n debyg y bydd gennych nifer fach o gofnodion, felly peidiwch â phoeni.
1.2- Adran Digwyddiadau Rhwydwaith
Gan symud ymlaen i'r adran rhwydwaith, dylech weld rhywbeth fel hyn. Bydd yr adran hon yn caniatáu ichi fonitro popeth sy'n digwydd ar eich rhwydwaith yn agos, o draffig HTTP/TLS i draffig DNS a rhybuddion digwyddiadau allanol.
2- Dangosfyrddau diofyn
Er mwyn gwneud bywyd yn haws i ddefnyddwyr, creodd datblygwyr elastic.co ddangosfwrdd diofyn a gefnogir yn swyddogol gan ELK. Nid oedd ein curiadau yn eithriad i'r rheol hon. Yma, byddaf yn defnyddio dangosfwrdd diofyn Packetbeat fel enghraifft.
Os dilynoch gam dau o'r erthygl hon yn gywir, dylai fod gennych ddangosfwrdd wedi'i addasu yn aros amdanoch. Felly, gadewch i ni ddechrau.
Yn y tab Kibana ar y chwith, dewiswch symbol y dangosfwrdd. Dyma'r trydydd un o'r brig.
Rhowch enw'r gyfran yn y tab chwilio
Os oes sawl modiwl mewn bit, bydd panel rheoli yn cael ei greu ar gyfer pob un ohonynt. Fodd bynnag, dim ond yr un gyda'r modiwl gweithredol fydd yn arddangos data nad yw'n wag.
Dewiswch yr un sydd ag enw eich modiwl.
Dyma'r prif dempled PacketBeat.
Dangosfwrdd llif rhwydwaith yw hwn. Bydd yn adrodd ar becynnau sy'n dod i mewn ac allan, ffynonellau a chyrchfannau cyfeiriadau IP, ac yn darparu cyfoeth o wybodaeth ddefnyddiol i ddadansoddwr canolfan ddiogelwch.
3 - Creu eich dangosfyrddau cyntaf
3–1- Cysyniadau sylfaenol
A- Mathau o ddangosfwrdd:
Dyma'r gwahanol fathau o ddelweddau y gallwch eu defnyddio i ddelweddu eich data.
Er enghraifft, mae gennym ni:
- siart bar
- Map
- Teclyn marcio i lawr
- Siart cylch
B- KQL (Iaith Ymholiad Kibana):
Dyma'r iaith a ddefnyddir yn Kibana ar gyfer chwilio data yn hawdd. Mae'n caniatáu ichi wirio a yw data penodol yn bodoli, ynghyd â llawer o swyddogaethau defnyddiol eraill. I ddysgu mwy, gallwch archwilio'r wybodaeth yn y ddolen hon.
Это пример запроса на поиск хоста с системой Windows 10 proffesiynol.
Hidlau C:
Bydd y nodwedd hon yn caniatáu ichi hidlo paramedrau penodol fel enw'r gwesteiwr, cod neu ID y digwyddiad, ac ati. Bydd hidlwyr yn gwella'r cyfnod ymchwilio yn sylweddol o ran yr amser a'r ymdrech a dreulir yn chwilio am gliwiau.
D- Delweddu cyntaf:
Gadewch i ni greu delweddiad ar gyfer MITRE ATT a CK.
Yn gyntaf mae angen i ni fynd i Dangosfwrdd → Creu dangosfwrdd newydd→creu newydd →Dangosfwrdd Pie
Gosodwch y math ar gyfer y patrwm mynegai, yna tapiwch enw eich curiad.
Pwyswch Enter. Erbyn hyn dylech weld toesen werdd.
Yn y tab Bwcedi ar y chwith fe welwch:
— Bydd sleisys hollti yn rhannu'r toesen yn wahanol rannau yn dibynnu ar y lledaeniad data.
— Bydd Rhannu Siart yn creu toesen arall wrth ymyl yr un hon.
Byddwn yn defnyddio sleisys hollt.
Byddwn yn delweddu ein data yn seiliedig ar y term a ddewiswn. Yn yr achos hwn, bydd y term yn ymwneud â MITRE ATT&CK.
Yn Winlogbeat, enw'r maes a fydd yn rhoi'r wybodaeth hon i ni yw:
winlog.event_data.RuleNameByddwn yn sefydlu metrig cyfrif i drefnu digwyddiadau yn seiliedig ar y nifer o weithiau y maent yn digwydd.
Galluogi'r nodwedd "Grwpio gwerthoedd eraill mewn bwced ar wahân".
Mae hyn yn ddefnyddiol os oes gan y termau rydych chi wedi'u dewis lawer o ystyron gwahanol sy'n gysylltiedig â rhythm. Mae'n helpu i ddelweddu gweddill y data yn ei gyfanrwydd. Bydd hyn yn rhoi syniad i chi o ganran y digwyddiadau eraill.
Nawr ein bod wedi gorffen sefydlu'r tab data, gadewch i ni symud ymlaen i'r tab opsiynau
Rhaid i chi wneud y canlynol:
**Dileu siâp y toesen fel bod y ddelweddu'n dangos cylch llawn.**
Dewiswch y safle allwedd sydd orau gennych. Yn yr achos hwn, byddwn yn eu harddangos ar y dde.
** Gosodwch y gwerthoedd arddangos i ymddangos wrth ymyl eu darn bach er mwyn eu darllen yn haws, a gadewch y gweddill yn ddiofyn
Mae cwtogi yn pennu faint o enw'r digwyddiad rydych chi am ei arddangos.
Gosodwch yr amser rydych chi eisiau i'r delweddu ddechrau, yna cliciwch ar y sgwâr glas.
Dylech chi gael rhywbeth fel hyn:
Gallwch hefyd ychwanegu hidlydd at eich delweddiad i hidlo gwesteiwr penodol rydych chi am ei archwilio neu unrhyw baramedrau rydych chi'n eu hystyried yn ddefnyddiol at eich diben. Dim ond data sy'n cyd-fynd â'r rheol a osodwyd yn yr hidlydd y bydd y delweddiad yn ei arddangos. Yn yr achos hwn, byddwn yn arddangos data MITRE ATT&CK sy'n dod o'r gwesteiwr o'r enw win10 yn unig.
3-2- Creu eich dangosfwrdd cyntaf:
Mae dangosfwrdd yn gasgliad o ddelweddau lluosog. Dylai eich dangosfyrddau fod yn glir, yn ddealladwy, a chynnwys data defnyddiol a phenderfynol. Dyma enghraifft o'r dangosfyrddau a adeiladwyd gennym o'r dechrau ar gyfer winlogbeat.
Diolch am eich amser. Gobeithio i chi gael yr erthygl hon yn ddefnyddiol. Os hoffech gael rhagor o wybodaeth am y pwnc hwn, rydym yn argymell eich bod yn ymweld .
Sgwrs Telegram Elasticsearch:
Ffynhonnell: hab.com
