Αυτή η ανάρτηση θα περιγράψει τη ρύθμιση της οπτικοποίησης των πινάκων εργαλείων ELK και SIEM στο ELK
Το άρθρο χωρίζεται στις ακόλουθες ενότητες:
1- ELK SIEM Review
2- Προεπιλεγμένοι πίνακες εργαλείων
3- Δημιουργία των πρώτων σας πινάκων εργαλείων
Πίνακας περιεχομένων όλων των αναρτήσεων.
- Ενσωμάτωση με το WAZUH
- Συναγερμός
- Αναφορά
- Διαχείριση υπόθεσης
1-ELK SIEM Review
Το ELK SIEM προστέθηκε πρόσφατα στη στοίβα elk στην έκδοση 7.2 στις 25 Ιουνίου 2019.
Αυτή είναι μια λύση SIEM που δημιουργήθηκε από την elastic.co για να κάνει τη ζωή ενός αναλυτή ασφαλείας πολύ πιο εύκολη και λιγότερο κουραστική.
Στην έκδοση της εργασίας μας, αποφασίσαμε να δημιουργήσουμε το δικό μας SIEM και να επιλέξουμε τον δικό μας πίνακα ελέγχου.
Αλλά πιστεύουμε ότι είναι σημαντικό να εξερευνήσετε πρώτα το ELK SIEM.
1.1- Ενότητα φιλοξενίας εκδηλώσεων
Θα δούμε πρώτα την ενότητα υποδοχής. Η ενότητα κεντρικού υπολογιστή θα σας επιτρέψει να δείτε τα συμβάντα που δημιουργούνται στο ίδιο το τελικό σημείο.
Αφού κάνετε κλικ στην προβολή κεντρικών υπολογιστών, θα πρέπει να λάβετε κάτι τέτοιο. Όπως μπορείτε να δείτε, υπάρχουν τρεις κεντρικοί υπολογιστές συνδεδεμένοι σε αυτόν τον υπολογιστή:
1 Windows 10.
2 Διακομιστής Ubuntu 18.04.
Εμφανίζονται πολλές απεικονίσεις, καθεμία από τις οποίες αντιπροσωπεύει διαφορετικούς τύπους συμβάντων.
Για παράδειγμα, αυτό που βρίσκεται στη μέση δείχνει δεδομένα σύνδεσης και στα τρία μηχανήματα.
Αυτός ο όγκος δεδομένων που βλέπετε εδώ συλλέχτηκε σε διάστημα πέντε ημερών. Αυτό εξηγεί τον μεγάλο αριθμό αποτυχημένων και επιτυχημένων συνδέσεων. Πιθανότατα θα έχετε μικρό αριθμό αρχείων καταγραφής, οπότε μην ανησυχείτε
1.2- Ενότητα συμβάντων δικτύου
Προχωρώντας στην ενότητα δικτύου, θα πρέπει να λάβετε κάτι σαν αυτό. Αυτή η ενότητα θα σας επιτρέψει να παρακολουθείτε στενά όλα όσα συμβαίνουν στο δίκτυό σας, από την κυκλοφορία HTTP/TLS έως την κυκλοφορία DNS και τις ειδοποιήσεις εξωτερικών συμβάντων.
2- Προεπιλεγμένοι πίνακες εργαλείων
Για να διευκολύνουν τη ζωή των χρηστών, οι προγραμματιστές του elastic.co δημιούργησαν μια προεπιλεγμένη γραμμή εργαλείων που υποστηρίζεται επίσημα από το ELK. Τα beats μας δεν ήταν εξαίρεση σε αυτόν τον κανόνα. Εδώ θα χρησιμοποιήσω τους προεπιλεγμένους πίνακες εργαλείων του Packetbeat ως παράδειγμα.
Εάν ακολουθήσατε σωστά το δεύτερο βήμα του άρθρου. Θα πρέπει να έχετε ρυθμίσει μια γραμμή εργαλείων να σας περιμένει. Ας ξεκινήσουμε λοιπόν.
Από την αριστερή καρτέλα του Kibana, επιλέξτε το σύμβολο του πίνακα ελέγχου. Αυτό είναι το τρίτο, αν μετρήσετε από την κορυφή.
Εισαγάγετε το όνομα της κοινής χρήσης στην καρτέλα αναζήτησης
Εάν υπάρχουν πολλές μονάδες στο bit. Θα δημιουργηθεί ένας πίνακας ελέγχου για καθένα από αυτά. Αλλά μόνο αυτό με ενεργή μονάδα θα εμφανίζει μη κενά δεδομένα.
Επιλέξτε αυτό με το όνομα της μονάδας σας.
Αυτό είναι το κύριο πρότυπο PacketBeat.
Αυτός είναι ο πίνακας ελέγχου ροής δικτύου. Θα μας ενημερώσει για το εισερχόμενο και εξερχόμενο πακέτο, τις πηγές και τους προορισμούς των διευθύνσεων IP και παρέχει επίσης πολλές χρήσιμες πληροφορίες για έναν αναλυτή κέντρου ασφαλείας.
3 — Δημιουργία των πρώτων σας πινάκων εργαλείων
3–1- Βασικές Έννοιες
Α- Τύποι ταμπλό:
Αυτοί είναι οι διαφορετικοί τύποι οπτικοποιήσεων που μπορείτε να χρησιμοποιήσετε για να οπτικοποιήσετε τα δεδομένα σας.
για παράδειγμα έχουμε:
- ραβδόγραμμα
- Χάρτης
- Γραφικό στοιχείο Markdown
- Διάγραμμα πίτας
B- KQL (Kibana Query Language):
Αυτή είναι η γλώσσα που χρησιμοποιείται στο Kibana για εύκολη αναζήτηση δεδομένων. Σας επιτρέπει να ελέγξετε εάν υπάρχουν ορισμένα δεδομένα και πολλές άλλες χρήσιμες λειτουργίες. Για να μάθετε περισσότερα, μπορείτε να εξερευνήσετε τις πληροφορίες σε αυτόν τον σύνδεσμο
Αυτό είναι ένα παράδειγμα ερωτήματος για να βρείτε έναν κεντρικό υπολογιστή με Windows 10 pro.
Γ- Φίλτρα:
Αυτή η δυνατότητα θα σας επιτρέψει να φιλτράρετε ορισμένες παραμέτρους όπως όνομα κεντρικού υπολογιστή, κωδικός συμβάντος ή αναγνωριστικό κ.λπ. Τα φίλτρα θα βελτιώσουν σημαντικά τη φάση της έρευνας όσον αφορά τον χρόνο και την προσπάθεια που δαπανάται για την αναζήτηση αποδεικτικών στοιχείων.
Δ- Πρώτη απεικόνιση:
Ας δημιουργήσουμε μια οπτικοποίηση για το MITER ATT & CK.
Πρώτα πρέπει να πάμε στο Πίνακας εργαλείων → Δημιουργία νέου πίνακα ελέγχου → δημιουργία νέου → πίνακα ελέγχου πίτας
Ορίστε τον τύπο για το μοτίβο ευρετηρίου και, στη συνέχεια, πατήστε το όνομα του ρυθμού σας.
Πατήστε Enter. Μέχρι τώρα θα πρέπει να δείτε ένα πράσινο ντόνατ.
Στην καρτέλα Κάδοι στα αριστερά θα βρείτε:
— Οι διαχωρισμένες φέτες θα χωρίσουν το ντόνατ σε διαφορετικά μέρη ανάλογα με την εξάπλωση των δεδομένων.
- Το Split Chart θα δημιουργήσει ένα άλλο ντόνατ δίπλα σε αυτό.
Θα χρησιμοποιήσουμε σπαστές φέτες.
Θα οπτικοποιήσουμε τα δεδομένα μας ανάλογα με τον όρο που θα επιλέξουμε. Στην περίπτωση αυτή ο όρος θα αναφέρεται σε MITER ATT & CK.
Στο Winlogbeat, το πεδίο που θα μας παρέχει αυτές τις πληροφορίες ονομάζεται:
winlog.event_data.RuleNameΘα ρυθμίσουμε μια μέτρηση μέτρησης για την παραγγελία συμβάντων με βάση τον αριθμό των φορών που συμβαίνουν.
Ενεργοποιήστε τη δυνατότητα "Ομαδοποίηση άλλων τιμών σε ξεχωριστό τμήμα".
Αυτό θα είναι χρήσιμο εάν οι όροι που επιλέγετε έχουν πολλές διαφορετικές σημασίες με βάση το ρυθμό. Αυτό βοηθά στην οπτικοποίηση των υπόλοιπων δεδομένων στο σύνολό τους. Αυτό θα σας δώσει μια ιδέα για το ποσοστό των υπολειπόμενων γεγονότων.
Τώρα που ολοκληρώσαμε τη ρύθμιση της καρτέλας δεδομένων, ας προχωρήσουμε στην καρτέλα επιλογές
Πρέπει να κάνετε τα εξής:
**Αφαιρέστε το σχήμα του ντόνατ έτσι ώστε η απόδοση να δείχνει έναν πλήρη κύκλο.
**Επιλέξτε τη θέση θρύλου που σας αρέσει. Σε αυτήν την περίπτωση, θα τα εμφανίσουμε στα δεξιά.
**Ορίστε τις τιμές εμφάνισης ώστε να εμφανίζονται δίπλα στο απόσπασμά τους για ευκολότερη ανάγνωση και αφήστε τις υπόλοιπες ως προεπιλογές
Η περικοπή καθορίζει πόσα θέλετε να εμφανίσετε από το όνομα του συμβάντος.
Ορίστε την ώρα κατά την οποία θέλετε να ξεκινήσει η απόδοση και, στη συνέχεια, κάντε κλικ στο μπλε τετράγωνο.
Θα πρέπει να καταλήξετε σε κάτι σαν αυτό:
Μπορείτε επίσης να προσθέσετε ένα φίλτρο στην οπτικοποίησή σας για να φιλτράρετε τον συγκεκριμένο κεντρικό υπολογιστή που θέλετε να ελέγξετε ή τυχόν παραμέτρους που πιστεύετε ότι είναι χρήσιμες για τον σκοπό σας. Η οπτικοποίηση θα εμφανίζει μόνο δεδομένα που ταιριάζουν με τον κανόνα που έχει τοποθετηθεί στο φίλτρο. Σε αυτήν την περίπτωση, θα εμφανίσουμε μόνο δεδομένα MITER ATT&CK που προέρχονται από τον κεντρικό υπολογιστή που ονομάζεται win10.
3-2- Δημιουργία του πρώτου σας πίνακα ελέγχου:
Ο πίνακας εργαλείων είναι μια συλλογή από πολλές απεικονίσεις. Οι πίνακες εργαλείων σας πρέπει να είναι σαφείς, κατανοητοί και να περιέχουν χρήσιμα, ντετερμινιστικά δεδομένα. Ακολουθεί ένα παράδειγμα των ταμπλό που δημιουργήσαμε από την αρχή για το winlogbeat.
Σας ευχαριστώ για το χρόνο σας. Ελπίζω να βρήκατε αυτό το άρθρο χρήσιμο. Εάν θέλετε περισσότερες πληροφορίες σχετικά με το θέμα, σας συνιστούμε να επισκεφθείτε .
Συνομιλία Telegram στο Elasticsearch:
Πηγή: www.habr.com