Ĉi tiu afiŝo priskribos agordon de la bildigo de ELK kaj SIEM paneloj en ELK
La artikolo estas dividita en la sekvajn sekciojn:
1- ELK SIEM Recenzo
2- Defaŭltaj paneloj
3- Krei viajn unuajn panelojn
Enhavo de ĉiuj afiŝoj.
- Integriĝo kun WAZUH
- Alerta
- Raportado
- Kaza Administrado
1-ELK SIEM Recenzo
ELK SIEM estis ĵus aldonita al la alko-stako en versio 7.2 la 25-an de junio 2019.
Ĉi tio estas SIEM-solvo kreita de elastic.co por fari la vivon de sekureca analizisto multe pli facila kaj malpli teda.
En nia versio de la laboro, ni decidis krei nian propran SIEM kaj elekti nian propran kontrolpanelon.
Sed ni opinias, ke estas grave esplori ELK SIEM unue.
1.1- Sekcio pri gastigaj eventoj
Ni unue rigardos la gastigan sekcion. La gastiga sekcio permesos al vi vidi la eventojn, kiuj estas generitaj ĉe la finpunkto mem.
Post klako sur vidi gastigantojn vi devus ricevi ion tian. Kiel vi povas vidi, estas tri gastigantoj konektitaj al ĉi tiu komputilo:
1 Vindozo 10.
2 Ubuntu-Servilo 18.04.
Ni havas plurajn bildigojn montritaj, ĉiu reprezentante malsamajn specojn de eventoj.
Ekzemple, tiu en la mezo montras ensalutajn datumojn sur ĉiuj tri maŝinoj.
Ĉi tiu kvanto de datumoj, kiujn vi vidas ĉi tie, estis kolektita dum kvin tagoj. Ĉi tio klarigas la grandan nombron da malsukcesaj kaj sukcesaj ensalutoj. Vi verŝajne havos malgrandan nombron da ŝtipoj, do ne maltrankviliĝu
1.2- Sekcio pri Retaj eventoj
Transirante al la retsekcio, vi devus ricevi ion tian. Ĉi tiu sekcio permesos al vi atente rigardi ĉion, kio okazas en via reto, de HTTP/TLS-trafiko ĝis DNS-trafiko kaj eksteraj evento-atentigoj.
2- Defaŭltaj paneloj
Por faciligi la vivon al uzantoj, elastic.co-programistoj kreis defaŭltan ilobreton oficiale subtenata de ELK. Niaj taktoj ne estis escepto al ĉi tiu regulo. Ĉi tie mi uzos la defaŭltajn instrumentpanelojn de Packetbeat kiel ekzemplon.
Se vi sekvis la paŝon du de la artikolo ĝuste. Vi devus havi ilobreton starigita atendanta vin. Do ni komencu.
El la maldekstra langeto de Kibana, elektu la panelan simbolon. Ĉi tiu estas la tria, se vi kalkulas de la supro.
Enigu la kundividan nomon en la serĉa langeto
Se estas pluraj moduloj en la bito. Kontrolpanelo estos kreita por ĉiu el ili. Sed nur tiu kun la modulo aktiva montros nemalplenajn datumojn.
Elektu tiun kun via modulo nomo.
Ĉi tiu estas la ĉefa ŝablono PacketBeat.
Ĉi tio estas la reto-flua kontrolpanelo. Ĝi rakontos al ni pri la envenanta kaj elira pako, la fontoj kaj cellokoj de IP-adresoj, kaj ankaŭ provizas multajn utilajn informojn por analizisto de sekureca centro.
3 — Krei viajn unuajn panelojn
3–1- Bazaj Konceptoj
A- Tipoj de paneloj:
Ĉi tiuj estas la malsamaj specoj de bildigoj, kiujn vi povas uzi por bildigi viajn datumojn.
ekzemple ni havas:
- stango
- mapo
- Markdown fenestraĵo
- Torto
B- KQL (Kibana Demandlingvo):
Ĉi tiu estas la lingvo uzata en Kibana por facila serĉado de datumoj. Ĝi permesas vin kontroli ĉu certaj datumoj ekzistas kaj multaj aliaj utilaj funkcioj. Por ekscii pli, vi povas esplori la informojn ĉe ĉi tiu ligilo
Ĉi tio estas ekzemplodemando por trovi gastiganton, kiu funkcias Windows 10 profesiulo.
C- Filtriloj:
Ĉi tiu funkcio permesos al vi filtri iujn parametrojn kiel gastigan nomon, okazaĵkodon aŭ identigilon, ktp. Filtriloj multe plibonigos la enketfazon laŭ tempo kaj penado elspezita serĉante pruvojn.
D- Unua bildigo:
Ni kreu bildigon por MITRE ATT & CK.
Unue ni devas iri al Instrumentpanelo → Krei novan instrumentpanelon→kreu novan →Pie instrumentpanelon
Fiksu la tipon por la indeksa ŝablono, tiam premu la nomon de via takto.
Premu Enigu. Nun vi devus vidi verdan benkon.
En la langeto Siteloj maldekstre vi trovos:
— Split tranĉaĵoj dividos la benkon en malsamajn partojn depende de la disvastigo de la datumoj.
- Split Chart kreos alian bengon apud ĉi tiu.
Ni uzos dividitajn tranĉaĵojn.
Ni bildigos niajn datumojn depende de la termino, kiun ni elektas. En ĉi tiu kazo la termino referencos al MITRE ATT & CK.
En Winlogbeat, la kampo, kiu provizos al ni ĉi tiun informon, nomiĝas:
winlog.event_data.RuleNameNi starigos nombran metrikon por ordigi eventojn laŭ la nombro da fojoj kiam ili okazas.
Ebligu la funkcion "Grupu aliajn valorojn en aparta segmento".
Ĉi tio estos utila se la terminoj, kiujn vi elektas, havas multajn malsamajn signifojn laŭ ritmo. Ĉi tio helpas bildigi la reston de la datumoj kiel tuto. Ĉi tio donos al vi ideon pri la procento de ceteraj eventoj.
Nun kiam ni finis agordi la datuman langeton, ni transiru al la opcioj
Vi devas fari la jenon:
**Forigu la benbulformon por ke la bildigo montru plenan cirklon.
** Elektu la legendan pozicion, kiun vi ŝatas. En ĉi tiu kazo, ni montros ilin dekstre.
**Agordu montrajn valorojn por montri apud ilia fragmento por pli facila legado kaj lasu la reston defaŭlte
Detranĉo determinas kiom vi volas montri de la okazaĵonomo.
Agordu la tempon, kiam vi volas ke la bildigo komenciĝu, kaj tiam alklaku la bluan kvadraton.
Vi devus fini kun io kiel ĉi tio:
Vi ankaŭ povas aldoni filtrilon al via bildigo por filtri la specifan gastiganton, kiun vi volas kontroli, aŭ iujn ajn parametrojn, kiujn vi opinias utilaj por via celo. La bildigo nur montros datumojn, kiuj kongruas kun la regulo metita en la filtrilon. En ĉi tiu kazo, ni nur montros datumojn de MITRE ATT&CK venantaj de la gastiganto nomita win10.
3-2- Kreado de via unua panelo:
Instrumentpanelo estas kolekto de multaj bildigoj. Viaj paneloj devas esti klaraj, kompreneblaj kaj enhavi utilajn, determinismajn datumojn. Jen ekzemplo de la paneloj, kiujn ni kreis de nulo por winlogbeat.
Dankon pro via tempo. Mi esperas, ke vi trovis ĉi tiun artikolon utila. Se vi ŝatus pliajn informojn pri la temo, ni rekomendas vin viziti .
Telegram-babilejo ĉe Elasticsearch:
fonto: www.habr.com