ELK SIEM Open Distro: Οπτικοποίηση πινάκων εργαλείων ELK και SIEM στο ELK

Αυτή η ανάρτηση θα καλύψει τον τρόπο ρύθμισης του πίνακα ελέγχου ELK και της οπτικοποίησης SIEM στο ELK.
Το άρθρο χωρίζεται στις ακόλουθες ενότητες:

1- Επισκόπηση ELK SIEM
2- Προεπιλεγμένοι πίνακες ελέγχου
3- Δημιουργία των πρώτων σας πινάκων ελέγχου

Πίνακας περιεχομένων για όλες τις αναρτήσεις.

• Εισαγωγή. Ανάπτυξη υποδομών και τεχνολογιών για SOC ως Υπηρεσία (SOCasS)
• Στοίβα ELK - εγκατάσταση και διαμόρφωση
• Μια βόλτα στην ανοιχτή διανομή
• Οπτικοποίηση των Dashboard και του ELK SIEM
• Ενσωμάτωση με το WAZUH
• Συναγερμός
• Αναφορά
• Διαχείριση υπόθεσης

Αξιολόγηση 1-ELK SIEM

Το ELK SIEM προστέθηκε πρόσφατα στο elk stack στην έκδοση 7.2 που κυκλοφόρησε στις 25 Ιουνίου 2019.

Πρόκειται για μια λύση SIEM που δημιουργήθηκε από την elastic.co για να κάνει τη ζωή ενός αναλυτή ασφαλείας πολύ πιο εύκολη και λιγότερο κουραστική.

Στην δική μας εκδοχή της εργασίας, αποφασίσαμε να δημιουργήσουμε το δικό μας SIEM και να επιλέξουμε τον δικό μας πίνακα ελέγχου.

Αλλά πιστεύουμε ότι είναι σημαντικό να μάθουμε πρώτα το ELK SIEM.

1.1- Ενότητα διοργάνωσης εκδηλώσεων

Αρχικά, θα εξετάσουμε την ενότητα κεντρικού υπολογιστή. Η ενότητα κεντρικού υπολογιστή θα σας επιτρέψει να δείτε τα συμβάντα που δημιουργούνται στο ίδιο το τελικό σημείο.

Αφού κάνετε κλικ στην επιλογή προβολή κεντρικών υπολογιστών, θα πρέπει να λάβετε κάτι τέτοιο. Όπως μπορείτε να δείτε, υπάρχουν τρεις κεντρικοί υπολογιστές συνδεδεμένοι σε αυτόν τον υπολογιστή:

1 Windows 10.

2 Διακομιστές Ubuntu 18.04.

Έχουμε εμφανίσει αρκετές απεικονίσεις, καθεμία από τις οποίες δείχνει διαφορετικούς τύπους συμβάντων.

Για παράδειγμα, αυτό στη μέση δείχνει τα στοιχεία σύνδεσης και στα τρία μηχανήματα.

Αυτή η ποσότητα δεδομένων που βλέπετε εδώ συλλέχθηκε σε διάστημα πέντε ημερών. Αυτό εξηγεί τον μεγάλο αριθμό αποτυχημένων και επιτυχημένων συνδέσεων. Πιθανότατα θα έχετε έναν μικρό αριθμό περιοδικών, οπότε μην ανησυχείτε.

1.2- Ενότητα Εκδηλώσεων Δικτύου

Προχωρώντας στην ενότητα δικτύου, θα πρέπει να λάβετε κάτι τέτοιο. Αυτή η ενότητα θα σας επιτρέψει να παρακολουθείτε στενά όλα όσα συμβαίνουν στο δίκτυό σας, από την κίνηση HTTP/TLS έως την κίνηση DNS και τις ειδοποιήσεις εξωτερικών συμβάντων.

2- Προεπιλεγμένοι πίνακες ελέγχου

Για να διευκολύνουν τη ζωή των χρηστών, οι προγραμματιστές του elastic.co έχουν δημιουργήσει μια προεπιλεγμένη γραμμή εργαλείων που υποστηρίζεται επίσημα από το ELK. Τα beats μας δεν αποτελούσαν εξαίρεση σε αυτόν τον κανόνα. Εδώ θα χρησιμοποιήσω ως παράδειγμα τον προεπιλεγμένο πίνακα ελέγχου Packetbeat.

Αν έχετε ολοκληρώσει σωστά το δεύτερο βήμα του άρθρου. Θα πρέπει να έχετε ρυθμίσει μια γραμμή εργαλείων και να σας περιμένει. Ας ξεκινήσουμε λοιπόν.

Στην αριστερή καρτέλα του Kibana, επιλέξτε το σύμβολο του πίνακα ελέγχου. Αυτό είναι το τρίτο από την κορυφή.

Εισαγάγετε το όνομα της κοινής χρήσης στην καρτέλα αναζήτησης

Εάν υπάρχουν αρκετές ενότητες σε ένα bit. Θα δημιουργηθεί ένας πίνακας ελέγχου για κάθε ένα από αυτά. Αλλά μόνο αυτός που έχει ενεργή την ενότητα θα εμφανίσει μη κενά δεδομένα.

Επιλέξτε αυτό που έχει το όνομα της ενότητας σας.

Αυτό είναι το κύριο πρότυπο PacketBeat.

Αυτός είναι ο πίνακας ελέγχου ροών δικτύου. Θα μας ενημερώσει για τα εισερχόμενα και εξερχόμενα πακέτα, τις πηγές και τους προορισμούς των διευθύνσεων IP και θα δώσει επίσης πολλές χρήσιμες πληροφορίες για τον αναλυτή του κέντρου ασφαλείας.

3 - Δημιουργήστε τους πρώτους σας πίνακες ελέγχου

3–1- Βασικές έννοιες

A- Τύποι πίνακα ελέγχου:

Αυτοί είναι οι διαφορετικοί τύποι οπτικοποιήσεων που μπορείτε να χρησιμοποιήσετε για να οπτικοποιήσετε τα δεδομένα σας.

για παράδειγμα έχουμε:

• ραβδόγραμμα
• Χάρτης
• Γραφικό στοιχείο Markdown
• Γράφημα πίτας

B- KQL (Kibana Query Language):

Αυτή είναι η γλώσσα που χρησιμοποιείται στην Κιμπάνα για να διευκολύνει την αναζήτηση δεδομένων. Αυτό σας επιτρέπει να ελέγξετε εάν υπάρχουν συγκεκριμένα δεδομένα και πολλές άλλες χρήσιμες λειτουργίες. Για να μάθετε περισσότερα, μπορείτε να δείτε τις πληροφορίες σε αυτόν τον σύνδεσμο

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

Αυτό είναι ένα παράδειγμα αιτήματος για εύρεση κεντρικού υπολογιστή με σύστημα Windows 10 pro.

C- Φίλτρα:

Αυτή η λειτουργία θα σας επιτρέψει να φιλτράρετε συγκεκριμένες παραμέτρους όπως το όνομα κεντρικού υπολογιστή, τον κωδικό συμβάντος ή το αναγνωριστικό κ.λπ. Τα φίλτρα θα βελτιώσουν σημαντικά τη φάση της έρευνας όσον αφορά τον χρόνο και την προσπάθεια που δαπανάται για την εύρεση ενδείξεων.

Δ- Πρώτη οπτικοποίηση:

Ας δημιουργήσουμε μια οπτικοποίηση για το MITRE ATT & CK.

Πρώτα πρέπει να πάμε στο Πίνακας ελέγχου → Δημιουργία νέου πίνακα ελέγχου → δημιουργία νέου → Πίνακας ελέγχου πίτας

Ορίστε τον τύπο για το μοτίβο ευρετηρίου και, στη συνέχεια, πατήστε το όνομα του ρυθμού σας.

Πατήστε Enter. Σε αυτό το σημείο θα πρέπει να δείτε ένα πράσινο ντόνατ.

Στην καρτέλα Κουβάδες στα αριστερά θα βρείτε:

— Η διαίρεση των φετών θα χωρίσει το ντόνατ σε διαφορετικά μέρη ανάλογα με την εξάπλωση των δεδομένων.

- Το Split Chart θα δημιουργήσει ένα άλλο ντόνατ δίπλα σε αυτό.

Θα χρησιμοποιήσουμε κομμένες φέτες.

Θα οπτικοποιήσουμε τα δεδομένα μας ανάλογα με τον όρο που θα επιλέξουμε. Σε αυτήν την περίπτωση, ο όρος θα αναφερόταν στο MITRE ATT&CK.

Στο Winlogbeat, το πεδίο που θα μας παρέχει αυτές τις πληροφορίες ονομάζεται:

winlog.event_data.RuleName

Θα ορίσουμε μια μέτρηση μέτρησης για να ταξινομήσουμε τα συμβάντα με βάση τον αριθμό των φορών που εμφανίζονται.

Ενεργοποιήστε τη λειτουργία "Ομαδοποίηση άλλων τιμών σε ξεχωριστό τμήμα".

Αυτό θα είναι χρήσιμο αν οι όροι που επιλέγετε έχουν πολλές διαφορετικές σημασίες που προέρχονται από τον ρυθμό. Αυτό βοηθά στην οπτικοποίηση των υπόλοιπων δεδομένων στο σύνολό τους. Αυτό θα σας δώσει μια ιδέα για το ποσοστό των υπολειπόμενων συμβάντων.

Τώρα που ολοκληρώσαμε τη ρύθμιση της καρτέλας δεδομένων, ας προχωρήσουμε στην καρτέλα επιλογών

Πρέπει να κάνετε τα εξής:

**Διαγράψτε το σχήμα του ντόνατ έτσι ώστε η απεικόνιση να δείχνει έναν πλήρη κύκλο.**

**Επιλέξτε τη θέση του υπομνήματος που σας αρέσει. Σε αυτήν την περίπτωση, θα τα εμφανίσουμε στα δεξιά.

** Ορίστε τις τιμές εμφάνισης ώστε να εμφανίζονται δίπλα στο απόσπασμά τους για ευκολότερη ανάγνωση και αφήστε τις υπόλοιπες ως προεπιλογή

Η περικοπή καθορίζει το ποσοστό του ονόματος του συμβάντος που θέλετε να εμφανίζεται.

Ορίστε την ώρα που θέλετε να ξεκινήσει η οπτικοποίηση και, στη συνέχεια, κάντε κλικ στο μπλε τετράγωνο.

Θα πρέπει να λάβετε κάτι σαν αυτό:

Μπορείτε επίσης να προσθέσετε ένα φίλτρο στην απεικόνισή σας για να φιλτράρετε έναν συγκεκριμένο κεντρικό υπολογιστή που θέλετε να ελέγξετε ή οποιεσδήποτε παραμέτρους πιστεύετε ότι είναι χρήσιμες για τον σκοπό σας. Η οπτικοποίηση θα εμφανίζει μόνο δεδομένα που ταιριάζουν με τον κανόνα που έχει τοποθετηθεί στο φίλτρο. Σε αυτήν την περίπτωση, θα εμφανίσουμε δεδομένα MITRE ATT&CK που προέρχονται μόνο από τον κεντρικό υπολογιστή με όνομα win10.

3–2- Δημιουργία του πρώτου σας πίνακα ελέγχου:

Ένας πίνακας ελέγχου είναι μια συλλογή από πολλαπλές απεικονίσεις. Οι πίνακες ελέγχου σας θα πρέπει να είναι σαφείς, κατανοητοί και να περιέχουν χρήσιμα, ντετερμινιστικά δεδομένα. Ακολουθεί ένα παράδειγμα των dashboards που δημιουργήσαμε από την αρχή για το winlogbeat.

Σας ευχαριστώ για τον χρόνο σας. Ελπίζω να βρήκατε αυτό το άρθρο χρήσιμο. Αν θέλετε να λάβετε πιο λεπτομερείς πληροφορίες σχετικά με αυτό το θέμα, σας προτείνουμε να επισκεφθείτε επίσημη ιστοσελίδα.

Συνομιλία Telegram στο Elasticsearch: https://t.me/elasticsearch_ru

Πηγή: www.habr.com