ELK SIEM blev for nylig tilføjet til elg-stakken i version 7.2 den 25. juni 2019.
Dette er en SIEM-løsning skabt af elastic.co for at gøre livet for en sikkerhedsanalytiker meget lettere og mindre kedeligt.
I vores version af arbejdet besluttede vi at lave vores egen SIEM og vælge vores eget kontrolpanel.
Men vi synes, det er vigtigt at udforske ELK SIEM først.
1.1- Sektion for værtsbegivenheder
Vi vil først se på værtssektionen. Værtssektionen giver dig mulighed for at se de hændelser, der genereres ved selve slutpunktet.
Når du har klikket på se værter, skulle du få noget som dette. Som du kan se, er der tre værter forbundet til denne computer:
1 Windows 10.
2 Ubuntu Server 18.04.
Vi har flere visualiseringer vist, der hver repræsenterer forskellige typer begivenheder.
For eksempel viser den i midten login-data på alle tre maskiner.
Denne mængde data, du ser her, blev indsamlet over fem dage. Dette forklarer det store antal mislykkede og vellykkede logins. Du vil sandsynligvis have et lille antal logfiler, så bare rolig
1.2- afsnittet Netværksbegivenheder
Går du videre til netværkssektionen, burde du få noget som dette. Denne sektion giver dig mulighed for at holde et vågent øje med alt, hvad der sker på dit netværk, fra HTTP/TLS-trafik til DNS-trafik og eksterne hændelsesalarmer.
2- Standard dashboards
For at gøre livet lettere for brugerne har udviklere af elastic.co oprettet en standardværktøjslinje, der officielt understøttes af ELK. Vores beats var ingen undtagelse fra denne regel. Her vil jeg bruge Packetbeats standard dashboards som eksempel.
Hvis du fulgte trin to i artiklen korrekt. Du bør have en værktøjslinje opsat, der venter på dig. Så lad os komme i gang.
Fra venstre fane i Kibana skal du vælge dashboard-symbolet. Dette er den tredje, hvis man tæller fra toppen.
Indtast aktienavnet i søgefanen
Hvis der er flere moduler i bit. Et kontrolpanel vil blive oprettet for hver af dem. Men kun den med modulet aktivt vil vise ikke-tomme data.
Vælg den med dit modulnavn.
Dette er hovedskabelonen PacketBeat.
Dette er kontrolpanelet for netværksflow. Det vil fortælle os om den indgående og udgående pakke, kilderne og destinationerne for IP-adresser og giver også en masse nyttig information til en sikkerhedscenteranalytiker.
3 — Oprettelse af dine første dashboards
3–1- Grundlæggende koncepter
A- Typer af dashboards:
Dette er de forskellige typer visualiseringer, som du kan bruge til at visualisere dine data.
for eksempel har vi:
Søjlediagram
map
Markdown-widget
Lagkagediagram
B- KQL (Kibana Query Language):
Dette er det sprog, der bruges i Kibana til nem søgning af data. Det giver dig mulighed for at kontrollere, om visse data findes, og mange andre nyttige funktioner. For at finde ud af mere kan du udforske oplysningerne på dette link
Dette er et eksempel på en forespørgsel for at finde en vært, der kører Windows 10 pro.
C-filtre:
Denne funktion giver dig mulighed for at filtrere visse parametre såsom værtsnavn, hændelseskode eller ID osv. Filtre vil i høj grad forbedre undersøgelsesfasen med hensyn til tid og kræfter brugt på at søge efter beviser.
D- Første visualisering:
Lad os skabe en visualisering til MITER ATT & CK.
Først skal vi gå til Dashboard → Opret nyt dashboard→ opret nyt →Pie-dashboard
Indstil typen for indeksmønsteret, og tryk derefter på navnet på dit beat.
Tryk på Enter. Nu skulle du se en grøn doughnut.
På fanen Bøtter til venstre finder du:
— Opdelte skiver vil opdele donuten i forskellige dele afhængigt af spredningen af dataene.
- Split Chart vil oprette en anden donut ved siden af denne.
Vi vil bruge delte skiver.
Vi vil visualisere vores data afhængigt af den term, vi vælger. I dette tilfælde vil udtrykket referere til MITRE ATT & CK.
I Winlogbeat hedder feltet, der vil give os disse oplysninger:
winlog.event_data.RuleName
Vi opsætter en optællingsmetrik for at sortere hændelser baseret på antallet af gange, de forekommer.
Aktiver funktionen "Grupper andre værdier i et separat segment".
Dette vil være nyttigt, hvis de udtryk, du vælger, har mange forskellige betydninger baseret på rytme. Dette hjælper med at visualisere resten af dataene som en helhed. Dette vil give dig en idé om procentdelen af resterende begivenheder.
Nu hvor vi er færdige med at opsætte fanen data, lad os gå videre til fanen indstillinger
Du skal gøre følgende:
**Fjern donutformen, så gengivelsen viser en hel cirkel.
**Vælg den forklaringsposition, du kan lide. I dette tilfælde vil vi vise dem til højre.
**Indstil displayværdier til at blive vist ved siden af deres uddrag for lettere læsning, og lad resten være standard
Trunkering bestemmer, hvor meget du vil vise fra begivenhedsnavnet.
Indstil det tidspunkt, hvor du vil have gengivelsen til at starte, og klik derefter på den blå firkant.
Du burde ende med noget som dette:
Du kan også tilføje et filter til din visualisering for at bortfiltrere den specifikke vært, du vil tjekke, eller parametre, du mener er nyttige til dit formål. Visualiseringen viser kun data, der matcher reglen placeret i filteret. I dette tilfælde vil vi kun vise MITER ATT&CK-data, der kommer fra værten med navnet win10.
3-2- Oprettelse af dit første dashboard:
Et dashboard er en samling af mange visualiseringer. Dine dashboards skal være klare, forståelige og indeholde nyttige, deterministiske data. Her er et eksempel på de dashboards, vi har oprettet fra bunden til winlogbeat.
Tak for din tid. Jeg håber, du fandt denne artikel nyttig. Hvis du ønsker mere information om emnet, anbefaler vi, at du besøger officielle hjemmeside.