In diesem Beitrag wird beschrieben, wie Sie die Visualisierung von ELK- und SIEM-Dashboards in ELK anpassen
Der Artikel ist in folgende Abschnitte unterteilt:
1- Überblick über ELK SIEM
2- Standard-Dashboards
3- Erstellen Sie Ihre ersten Dashboards
Titel aller Beiträge.
- Integration mit WAZUH
- Alarmierung
- Berichterstattung
- Case Management
1-ELK SIEM-Übersicht
ELK SIEM wurde kürzlich am 7.2. Juni 25 in Version 2019 zum Elk-Stack hinzugefügt.
Hierbei handelt es sich um eine SIEM-Lösung, die von elastic.co entwickelt wurde, um das Leben eines Sicherheitsanalysten viel einfacher und weniger ermüdend zu machen.
In unserer Version der Arbeit haben wir beschlossen, unser eigenes SIEM zu erstellen und unser eigenes Control Panel auszuwählen.
Aber wir denken, dass es wichtig ist, zuerst ELK SIEM zu lernen.
1.1- Abschnitt „Veranstaltungen veranstalten“.
Wir werden uns zuerst die Host-Partition ansehen. Im Host-Bereich können Sie die Ereignisse sehen, die auf dem Endpunkt selbst ausgelöst werden.
Nachdem Sie auf „Hosts anzeigen“ geklickt haben, sollten Sie so etwas erhalten. Wie Sie sehen, sind drei Hosts mit diesem Computer verbunden:
1Windows10.
2 Ubuntu-Server 18.04.
Wir müssen mehrere Visualisierungen anzeigen, von denen jede eine andere Art von Ereignis darstellt.
Die mittlere zeigt beispielsweise die Anmeldeinformationen aller drei Maschinen an.
Die Datenmenge, die Sie hier sehen, wurde in fünf Tagen gesammelt. Dies erklärt die große Anzahl fehlgeschlagener und erfolgreicher Anmeldungen. Sie werden wahrscheinlich nur eine kleine Menge Protokolle haben, also machen Sie sich keine Sorgen
1.2- Abschnitt „Netzwerkereignisse“.
Wenn Sie zum Netzwerkbereich übergehen, sollten Sie so etwas erhalten. In diesem Abschnitt können Sie alles im Auge behalten, was in Ihrem Netzwerk passiert, vom HTTP/TLS-Verkehr über den DNS-Verkehr bis hin zu externen Ereigniswarnungen.
2- Standard-Dashboards
Um den Benutzern das Leben zu erleichtern, haben die Entwickler von elastic.co eine Standardsymbolleiste erstellt, die offiziell von ELK unterstützt wird. Unsere Beats waren keine Ausnahme von dieser Regel. Hier nehme ich das Standard-Packetbeat-Dashboard als Beispiel.
Wenn Sie Schritt zwei des Artikels korrekt befolgt haben. Es sollte eine angepasste Symbolleiste auf Sie warten. Also lasst uns anfangen.
Wählen Sie auf der linken Registerkarte von Kibana das Dashboard-Symbol aus. Dies ist der dritte, wenn man von oben zählt.
Geben Sie den Namen der Freigabe in die Suchregisterkarte ein
Wenn mehrere Module in einem Bit vorhanden sind. Für jeden von ihnen wird ein Bedienfeld erstellt. Aber nur das Modul mit aktivem Modul zeigt nicht leere Daten an.
Wählen Sie die mit dem Namen Ihres Moduls aus.
Dies ist die Hauptvorlage PacketBeat.
Dies ist das Netzwerkflusskontrollfeld. Es informiert uns über das ein- und ausgehende Paket, die Quellen und Ziele von IP-Adressen und liefert außerdem viele nützliche Informationen für den Sicherheitscenter-Analysten.
3 – Erstellen Ihrer ersten Dashboards
3–1- Grundkonzepte
A- Arten von Dashboards:
Dies sind die verschiedenen Arten von Visualisierungen, die Sie zur Visualisierung Ihrer Daten verwenden können.
zum Beispiel haben wir:
- Balkendiagramm
- Karte
- Markdown-Widget
- Kuchendiagramm
B-KQL (Kibana Query Language):
Dies ist die in Kibana verwendete Sprache zur einfachen Datensuche. Dies ermöglicht Ihnen die Überprüfung, ob bestimmte Daten vorhanden sind und viele weitere nützliche Funktionen. Um mehr zu erfahren, können Sie die Informationen unter diesem Link überprüfen.
Dies ist ein Beispiel für eine Host-Suchanfrage mit einem Windows 10 Pro-System.
C-Filter:
Mit dieser Funktion können Sie bestimmte Parameter wie Hostname, Ereigniscode oder -ID usw. filtern. Filter werden die Untersuchungsphase hinsichtlich des Zeit- und Arbeitsaufwands für die Suche nach Hinweisen erheblich verbessern.
D- Erstes Rendering:
Lassen Sie uns eine Visualisierung für MITRE ATT & CK erstellen.
Zuerst müssen wir gehen Dashboard → Neues Dashboard erstellen → Neues erstellen → Kreis-Dashboard
Legen Sie den Typ des Indexmusters fest und tippen Sie dann auf den Namen Ihres Beats.
Drücken Sie Enter. Jetzt sollten Sie einen grünen Donut sehen.
Auf der Registerkarte „Buckets“ auf der linken Seite finden Sie:
- Mit „Split Slices“ wird der Donut abhängig von der Datenverteilung in verschiedene Teile geteilt.
- Split Chart erstellt neben diesem einen weiteren Donut.
Wir werden geteilte Scheiben verwenden.
Abhängig vom gewählten Begriff visualisieren wir unsere Daten. In diesem Fall würde sich der Begriff auf MITRE ATT & CK beziehen.
In Winlogbeat heißt das Feld, das uns diese Informationen liefert:
winlog.event_data.RuleNameWir richten eine Zählmetrik ein, um die Ereignisse basierend auf der Anzahl des Vorkommens zu ordnen.
Aktivieren Sie die Funktion „Andere Werte in einem separaten Segment gruppieren“.
Dies ist praktisch, wenn die von Ihnen gewählten Begriffe viele verschiedene Bedeutungen haben, die sich aus dem Rhythmus ergeben. Dies hilft dabei, den Rest der Daten als Ganzes zu visualisieren. Dadurch erhalten Sie eine Vorstellung vom Prozentsatz anderer Ereignisse.
Nachdem wir nun die Konfiguration der Registerkarte „Daten“ abgeschlossen haben, gehen wir zur Registerkarte „Optionen“ über
Sie müssen Folgendes tun:
** Löschen Sie die Donutform, sodass auf dem Render ein vollständiger Kreis erscheint.
** Wählen Sie die gewünschte Legendenposition. In diesem Fall zeigen wir sie rechts an.
** Stellen Sie die Anzeigewerte so ein, dass sie zur leichteren Lesbarkeit neben ihrem Snippet angezeigt werden, und belassen Sie den Rest auf den Standardwerten
Die Kürzung steuert, wie viel vom Ereignisnamen angezeigt werden soll.
Legen Sie die Uhrzeit fest, zu der das Rendern beginnen soll, und klicken Sie dann auf das blaue Kästchen.
Sie sollten so etwas erhalten:
Sie können Ihrer Visualisierung auch einen Filter hinzufügen, um den spezifischen Host, den Sie überprüfen möchten, oder alle Optionen, die Sie für Ihren Zweck für nützlich halten, herauszufiltern. Die Visualisierung zeigt nur Daten an, die der im Filter platzierten Regel entsprechen. In diesem Fall zeigen wir nur MITRE ATT & CK-Daten an, die von einem Host namens win10 stammen.
3–2- Erstellen Sie Ihr erstes Dashboard:
Ein Dashboard ist eine Sammlung vieler Visualisierungen. Ihre Dashboards sollten klar und verständlich sein und nützliche und deterministische Daten enthalten. Hier ist ein Beispiel der Dashboards, die wir für winlogbeat von Grund auf erstellt haben.
Vielen Dank für Ihre Zeit. Ich hoffe, dieser Artikel war hilfreich für Sie. Wenn Sie weitere Informationen zum Thema wünschen, empfehlen wir Ihnen einen Besuch .
Telegram-Chat auf Elasticsearch:
Source: habr.com