Esta publicación describirá cómo personalizar la visualización de los paneles ELK y SIEM en ELK.
El artículo se divide en las siguientes secciones:
1- Descripción general de ELK SIEM
2- Paneles de control predeterminados
3- Creando tus primeros paneles
Título de todas las publicaciones.
- Integración con WAZUH
- alertando
- Informes
- Gestión de casos
Descripción general de 1-ELK SIEM
ELK SIEM se agregó recientemente a la pila de elk en la versión 7.2 el 25 de junio de 2019.
Esta es una solución SIEM creada por elastic.co para hacer la vida de un analista de seguridad mucho más fácil y menos tediosa.
En nuestra versión de trabajo, decidimos crear nuestro propio SIEM y elegir nuestro propio panel de control.
Pero creemos que es importante aprender ELK SIEM primero.
1.1- Sección de anfitriones de eventos
Primero veremos la partición del host. La sección de host le permitirá ver los eventos que se activan en el propio punto final.
Después de hacer clic en ver hosts, debería obtener algo como esto. Como puede ver, hay tres hosts conectados a esta computadora:
1 Ventanas 10.
2 Servidor Ubuntu 18.04.
Tenemos varias visualizaciones para mostrar, cada una mostrando un tipo diferente de evento.
Por ejemplo, el del medio muestra información de inicio de sesión en las tres máquinas.
Esta cantidad de datos que ve aquí se recopiló en cinco días. Esto explica la gran cantidad de inicios de sesión exitosos y fallidos. Probablemente tendrás una pequeña cantidad de registros, así que no te preocupes.
1.2- Sección de eventos de la red
Pasando a la sección de red, deberías obtener algo como esto. Esta sección le permitirá vigilar de cerca todo lo que sucede en su red, desde el tráfico HTTP/TLS hasta el tráfico DNS y alertas de eventos externos.
2- Paneles de control predeterminados
Para hacer la vida más fácil a los usuarios, los desarrolladores de elastic.co han creado una barra de herramientas predeterminada oficialmente respaldada por ELK. Nuestros ritmos no fueron una excepción a esta regla. Aquí tomaré como ejemplo el panel predeterminado de Packetbeat.
Si has seguido correctamente el paso del segundo artículo. Deberías tener una barra de herramientas personalizada esperándote. Entonces empecemos.
En la pestaña izquierda de Kibana, seleccione el símbolo del tablero. Este es el tercero, si cuentas desde arriba.
Ingrese el nombre del recurso compartido en la pestaña de búsqueda
Si hay varios módulos en un bit. Se creará un panel de control para cada uno de ellos. Pero sólo el que tenga el módulo activo mostrará datos que no estén vacíos.
Elija el que tenga el nombre de su módulo.
Esta es la plantilla principal. Paquete Beat.
Este es el panel de control de flujo de red. Nos informará sobre los paquetes entrantes y salientes, los orígenes y destinos de las direcciones IP y también brindará mucha información útil para el analista del centro de seguridad.
3 - Creando tus primeros paneles
3–1- Conceptos básicos
A- Tipos de cuadros de mando:
Estos son los diferentes tipos de visualizaciones que puede utilizar para visualizar sus datos.
por ejemplo tenemos:
- Histograma
- mapa
- Widget de rebajas
- Gráfico circular
B- KQL (lenguaje de consulta Kibana):
Este es el lenguaje utilizado en Kibana para facilitar la búsqueda de datos. Esto le permite verificar si existen ciertos datos y muchas otras funciones útiles. Para saber más, puedes consultar la información en este enlace.
Este es un ejemplo de una solicitud de búsqueda de host con un sistema Windows 10 pro.
C-Filtros:
Esta función le permitirá filtrar ciertos parámetros como nombre de host, código de evento o identificación, etc. Los filtros mejorarán enormemente la fase de investigación en términos de tiempo y esfuerzo dedicado a buscar pistas.
D- Primera representación:
Creemos una visualización para MITRE ATT & CK.
Primero tenemos que ir a Panel → Crear nuevo panel → crear nuevo → Panel circular
Establezca el tipo de patrón de índice y luego toque el nombre de su ritmo.
Presione Entrar. A estas alturas deberías ver una dona verde.
En la pestaña Depósitos a la izquierda encontrarás:
- Los sectores divididos dividirán el donut en diferentes partes dependiendo de la distribución de los datos.
- Dividir gráfico creará otro donut junto a este.
Usaremos rodajas partidas.
Visualizaremos nuestros datos dependiendo del término que elijamos. En este caso, el término se referiría a MITRE ATT & CK.
En Winlogbeat el campo que nos proporcionará esta información se llama:
winlog.event_data.RuleNameConfiguraremos una métrica de recuento para ordenar los eventos según el número de ocurrencias.
Active la función "Agrupar otros valores en un segmento separado".
Esto resultará útil si los términos que ha elegido tienen muchos significados diferentes derivados del ritmo. Esto ayuda a visualizar el resto de los datos en su conjunto. Esto le dará una idea del porcentaje de otros eventos.
Ahora que hemos terminado de configurar la pestaña de datos, pasemos a la pestaña de opciones
Debes hacer lo siguiente:
** Elimine la forma de dona para que aparezca un círculo completo en el renderizado.
** Seleccione la posición de la leyenda que desee. En este caso, los mostraremos a la derecha.
** Configure los valores de visualización para que aparezcan junto a su fragmento para facilitar la lectura y deje el resto como predeterminado
El truncamiento controla cuánto desea mostrar del nombre del evento.
Establezca la hora a la que desea que comience el renderizado y luego haga clic en el cuadro azul.
Deberías obtener algo como esto:
También puede agregar un filtro a su visualización para filtrar el host específico que desea verificar o cualquier opción que considere útil para su propósito. La visualización solo mostrará datos que coincidan con la regla colocada en el filtro. En este caso, solo mostraremos datos de MITRE ATT & CK provenientes de un host llamado win10.
3–2- Creando tu primer panel:
Un panel es una colección de muchas visualizaciones. Sus paneles deben ser claros, comprensibles y contener datos útiles y deterministas. A continuación se muestra un ejemplo de los paneles que creamos desde cero para winlogbeat.
Gracias por tu tiempo. Espero que este artículo te haya sido útil. Si deseas más información sobre el tema te recomendamos visitar .
Chat de Telegram en Elasticsearch:
Fuente: habr.com