Bydd y swydd hon yn disgrifio sut i addasu delweddu dangosfyrddau ELK a SIEM yn ELK
Rhennir yr erthygl i'r adrannau canlynol:
1- Trosolwg o ELK SIEM
2- dangosfyrddau diofyn
3- Creu eich dangosfyrddau cyntaf
Teitl pob post.
- Integreiddio Γ’ WAZUH
- Rhybuddio
- Adrodd
- Rheoli Achosion
1-ELK SIEM Trosolwg
Ychwanegwyd ELK SIEM yn ddiweddar at y pentwr elc yn fersiwn 7.2 ar Fehefin 25, 2019.
Datrysiad SIEM yw hwn a grΓ«wyd gan elastic.co i wneud bywyd dadansoddwr diogelwch yn llawer haws ac yn llai diflas.
Yn ein fersiwn ni o waith, fe benderfynon ni greu ein SIEM ein hunain a dewis ein panel rheoli ein hunain.
Ond rydyn ni'n meddwl ei bod hi'n bwysig dysgu ELK SIEM yn gyntaf.
1.1- Adran cynnal digwyddiadau
Byddwn yn edrych ar y rhaniad gwesteiwr yn gyntaf. Bydd yr adran gwesteiwr yn caniatΓ‘u ichi weld y digwyddiadau sy'n cael eu tanio ar y pwynt terfyn ei hun.
Ar Γ΄l clicio ar westeion gweld, dylech gael rhywbeth fel hyn. Fel y gwelwch, mae tri gwesteiwr wedi'u cysylltu Γ’'r cyfrifiadur hwn:
1 Windows 10.
2 Gweinydd Ubuntu 18.04.
Mae gennym nifer o ddelweddau i'w harddangos, pob un yn dangos math gwahanol o ddigwyddiad.
Er enghraifft, mae'r un yn y canol yn dangos gwybodaeth mewngofnodi ar y tri pheiriant.
Casglwyd y swm hwn o ddata a welwch yma mewn pum diwrnod. Mae hyn yn esbonio'r nifer fawr o fewngofnodi a fethwyd a llwyddiannus. Mae'n debyg y bydd gennych ychydig bach o foncyffion, felly peidiwch Γ’ phoeni
1.2- Adran digwyddiadau rhwydwaith
Gan symud ymlaen i'r adran rhwydwaith, dylech gael rhywbeth fel hyn. Bydd yr adran hon yn caniatΓ‘u ichi gadw llygad barcud ar bopeth sy'n digwydd ar eich rhwydwaith, o draffig HTTP / TLS i draffig DNS a rhybuddion digwyddiadau allanol.
2- dangosfyrddau diofyn
Er mwyn gwneud bywyd yn haws i ddefnyddwyr, mae datblygwyr elastic.co wedi creu bar offer diofyn a gefnogir yn swyddogol gan ELK. Nid oedd ein curiadau yn eithriad i'r rheol hon. Yma, byddaf yn cymryd y dangosfwrdd Packetbeat diofyn fel enghraifft.
Os ydych wedi dilyn cam dau yr erthygl yn gywir. Dylai fod gennych bar offer wedi'i addasu yn aros amdanoch chi. Felly gadewch i ni ddechrau.
Ar y tab chwith o Kibana, dewiswch y symbol dangosfwrdd. Dyma'r trydydd un, os ydych chi'n cyfrif o'r brig.
Rhowch enw'r gyfran yn y tab chwilio
Os oes sawl modiwl mewn ychydig. Bydd panel rheoli yn cael ei greu ar gyfer pob un ohonynt. Ond dim ond yr un sydd Γ’'r modiwl yn weithredol fydd yn dangos data nad yw'n wag.
Dewiswch yr un gydag enw eich modiwl.
Dyma'r prif dempled Curwch Pecyn.
Dyma'r panel rheoli llif rhwydwaith. Bydd yn dweud wrthym am y pecyn sy'n dod i mewn ac yn mynd allan, ffynonellau a chyrchfannau cyfeiriadau IP, a bydd hefyd yn rhoi llawer o wybodaeth ddefnyddiol i ddadansoddwr y ganolfan ddiogelwch.
3 - Creu Eich Dangosfyrddau Cyntaf
3β1- Cysyniadau sylfaenol
A- Mathau o ddangosfyrddau:
Dyma'r gwahanol fathau o ddelweddau y gallwch eu defnyddio i ddelweddu'ch data.
er enghraifft mae gennym ni:
- siart bar
- Map
- Teclyn Markdown
- Siart cylch
B- KQL (Iaith Ymholiad Kibana):
Dyma'r iaith a ddefnyddir yn Kibana ar gyfer chwilio data yn hawdd. Mae hyn yn caniatΓ‘u ichi wirio a oes data penodol yn bodoli a llawer o nodweddion defnyddiol eraill. I ddysgu mwy, gallwch wirio'r wybodaeth ar y ddolen hon.
Dyma enghraifft o gais chwilio gwesteiwr gyda system Windows 10 pro.
C- hidlwyr:
Bydd y nodwedd hon yn eich galluogi i hidlo paramedrau penodol fel enw gwesteiwr, cod digwyddiad neu id, ac ati. Bydd hidlwyr yn gwella'r cyfnod ymchwilio yn fawr o ran yr amser a'r ymdrech a dreulir yn chwilio am gliwiau.
D- Rendro cyntaf:
Gadewch i ni greu delweddiad ar gyfer MITER ATT & CK.
Yn gyntaf mae angen i ni fynd i Dangosfwrdd β Creu dangosfwrdd newydd β creu dangosfwrdd β Pie newydd
Gosodwch y math ar gyfer y patrwm mynegai, yna tapiwch eich enw curiad.
Pwyswch Enter. Erbyn hyn dylech weld toesen gwyrdd.
Yn y tab Bwcedi ar y chwith fe welwch:
- Bydd tafelli hollti yn rhannu'r toesen yn wahanol rannau yn dibynnu ar ledaeniad y data.
- Bydd Siart Hollti yn creu toesen arall wrth ymyl yr un hwn.
Byddwn yn defnyddio sleisys hollt.
Byddwn yn delweddu ein data yn dibynnu ar y term a ddewiswn. Yn yr achos hwn, byddai'r term yn cyfeirio at MITER ATT & CK.
Yn Winlogbeat, gelwir y maes a fydd yn darparu'r wybodaeth hon i ni:
winlog.event_data.RuleNameByddwn yn sefydlu metrig cyfrif i drefnu'r digwyddiadau yn seiliedig ar nifer y digwyddiadau.
Trowch ar y swyddogaeth "GrΕ΅p gwerthoedd eraill mewn segment ar wahΓ’n".
Bydd hyn yn ddefnyddiol os oes gan y termau rydych chi wedi'u dewis lawer o ystyron gwahanol yn dod o'r rhythm. Mae hyn yn helpu i ddelweddu gweddill y data yn ei gyfanrwydd. Bydd hyn yn rhoi syniad i chi o ganran y digwyddiadau eraill.
Nawr ein bod wedi gorffen ffurfweddu'r tab data, gadewch i ni symud ymlaen i'r tab opsiynau
Rhaid i chi wneud y canlynol:
** DilΓ«wch y siΓ’p toesen fel bod cylch llawn yn ymddangos ar y rendrad.
** Dewiswch y safle chwedl yr ydych yn ei hoffi. Yn yr achos hwn, byddwn yn eu harddangos ar y dde.
** Gosodwch y gwerthoedd arddangos i ymddangos wrth ymyl eu pytiau i'w darllen yn haws, a gadewch y gweddill fel rhagosodiad
Mae cwtogi yn rheoli faint rydych chi am ei ddangos o enw'r digwyddiad.
Gosodwch yr amser rydych chi am i'r rendro ddechrau, ac yna cliciwch ar y blwch glas.
Dylech gael rhywbeth fel hyn:
Gallwch hefyd ychwanegu hidlydd at eich delweddu i hidlo'r gwesteiwr penodol rydych chi am ei wirio neu unrhyw opsiynau rydych chi'n meddwl sy'n ddefnyddiol i'ch pwrpas. Bydd y delweddu yn dangos data sy'n cyfateb i'r rheol a osodwyd yn yr hidlydd yn unig. Yn yr achos hwn, dim ond data MITER ATT & CK sy'n dod o westeiwr o'r enw win10 y byddwn yn ei arddangos.
3β2- Creu eich dangosfwrdd cyntaf:
Mae dangosfwrdd yn gasgliad o lawer o ddelweddau. Dylai eich dangosfyrddau fod yn glir, yn ddealladwy, ac yn cynnwys data defnyddiol a phenderfynol. Dyma enghraifft o'r dangosfyrddau a grΓ«wyd gennym o'r dechrau ar gyfer winlogbeat.
Diolch am eich amser. Rwy'n gobeithio bod yr erthygl hon wedi bod o gymorth i chi. Os hoffech ragor o wybodaeth am y pwnc, rydym yn argymell eich bod yn ymweld .
Sgwrs Telegram ar Elasticsearch:
Ffynhonnell: hab.com