ELK SIEM lisati hiljuti 7.2. juunil 25 versioonis 2019 põdravirnasse.
See on elastic.co loodud SIEM-lahendus, et muuta turvaanalüütiku elu palju lihtsamaks ja vähem tüütuks.
Meie töö versioonis otsustasime luua oma SIEM-i ja valida oma juhtpaneeli.
Kuid meie arvates on oluline kõigepealt ELK SIEM-i uurida.
1.1- Host sündmuste jaotis
Kõigepealt vaatame hosti jaotist. Hostijaotis võimaldab teil näha sündmusi, mis on loodud lõpp-punktis endas.
Pärast hostide vaatamise klõpsamist peaksite saama midagi sellist. Nagu näete, on selle arvutiga ühendatud kolm hosti:
1 Windows 10.
2 Ubuntu server 18.04.
Meil on kuvatud mitu visualiseerimist, millest igaüks esindab erinevat tüüpi sündmusi.
Näiteks näitab keskel olev kõigi kolme masina sisselogimisandmeid.
See hulk andmeid, mida siin näete, koguti viie päeva jooksul. See seletab ebaõnnestunud ja edukate sisselogimiste suurt arvu. Tõenäoliselt on teil vähe palke, nii et ärge muretsege
1.2- Võrgusündmuste jaotis
Võrguosa juurde liikudes peaksite saama midagi sellist. See jaotis võimaldab teil hoida silma peal kõigel, mis teie võrgus toimub, alates HTTP/TLS-i liiklusest kuni DNS-liikluse ja väliste sündmuste hoiatusteni.
2- Vaikimisi armatuurlauad
Kasutajate elu lihtsamaks muutmiseks on elastic.co arendajad loonud vaiketööriistariba, mida ELK ametlikult toetab. Meie löögid ei olnud sellest reeglist erand. Siin kasutan näitena Packetbeati vaikimisi armatuurlaudu.
Kui järgisite artikli teist sammu õigesti. Teid peaks ootama seadistatud tööriistariba. Nii et alustame.
Valige Kibana vasakult vahekaardilt armatuurlaua sümbol. See on kolmas, kui lugeda ülalt.
Sisestage otsingu vahekaardile jagamise nimi
Kui bitis on mitu moodulit. Igaühele neist luuakse juhtpaneel. Kuid ainult see, mille moodul on aktiivne, kuvab mittetühjad andmed.
Valige see, millel on teie mooduli nimi.
See on peamine mall PacketBeat.
See on võrguvoo juhtpaneel. See räägib meile sissetulevast ja väljaminevast paketist, IP-aadresside allikatest ja sihtkohtadest ning annab ka palju kasulikku teavet turvakeskuse analüütikule.
3. Esimeste armatuurlaudade loomine
3–1- Põhimõisted
A- Armatuurlaudade tüübid:
Need on erinevat tüüpi visualiseeringud, mida saate oma andmete visualiseerimiseks kasutada.
näiteks meil on:
tulpdiagramm
kaart
Markdowni vidin
Sektordiagramm
B- KQL (Kibana päringukeel):
Seda keelt kasutatakse Kibanas andmete hõlpsaks otsimiseks. See võimaldab teil kontrollida, kas teatud andmed on olemas ja palju muid kasulikke funktsioone. Lisateabe saamiseks võite tutvuda sellel lingil oleva teabega
See on näidispäring Windows 10 proga töötava hosti leidmiseks.
C- filtrid:
See funktsioon võimaldab teil filtreerida teatud parameetreid, nagu hostinimi, sündmuse kood või ID jne. Filtrid parandavad oluliselt uurimisetappi, pidades silmas tõendite otsimisele kuluvat aega ja vaeva.
D- Esimene visualiseerimine:
Loome MITER ATT & CK jaoks visualiseeringu.
Kõigepealt peame minema Armatuurlaud → Loo uus armatuurlaud → loo uus → Pie armatuurlaud
Määrake indeksmustri tüüp ja seejärel puudutage oma löögi nime.
Vajutage sisestusklahvi. Nüüdseks peaksite nägema rohelist sõõrikut.
Vasakpoolselt vahekaardilt Ämbrid leiate:
— Tükeldatud viilud jagavad sõõriku erinevateks osadeks olenevalt andmete levikust.
- Jaotatud diagramm loob selle kõrvale teise sõõriku.
Kasutame poolitatud viile.
Visualiseerime oma andmed sõltuvalt valitud terminist. Sel juhul viitab termin MITER ATT & CK.
Winlogbeati välja, mis meile seda teavet annab, nimetatakse:
winlog.event_data.RuleName
Seadistame loendusmõõdiku sündmuste järjestamiseks nende toimumiskordade arvu alusel.
Lubage funktsioon "Muude väärtuste rühmitamine eraldi segmenti".
See on kasulik, kui teie valitud terminitel on rütmi põhjal palju erinevaid tähendusi. See aitab visualiseerida ülejäänud andmeid tervikuna. See annab teile ülevaate allesjäänud sündmuste protsendist.
Nüüd, kui oleme andmete vahekaardi seadistamise lõpetanud, liigume edasi vahekaardile suvandid
Peate tegema järgmist.
**Eemaldage sõõriku kuju, et renderdamisel oleks näha täisring.
**Valige endale meelepärane legendi asukoht. Sel juhul kuvame need paremal.
**Määrake kuvamisväärtused kuvamiseks nende koodilõigu kõrval, et neid oleks lihtsam lugeda, ja jätke ülejäänud vaikeväärtusteks
Kärbimine määrab, kui palju soovite sündmuse nimest kuvada.
Määrake kellaaeg, millal soovite renderdamist alustada, ja seejärel klõpsake sinist ruutu.
Peaksite lõppema millegi sellisega:
Saate lisada oma visualiseeringule ka filtri, et filtreerida välja konkreetne host, mida soovite kontrollida, või mis tahes parameetrid, mis teie arvates on teie eesmärgi jaoks kasulikud. Visualiseerimine kuvab ainult neid andmeid, mis vastavad filtrisse pandud reeglile. Sel juhul kuvame ainult MITER ATT&CK andmeid, mis pärinevad hostilt nimega win10.
3-2- Esimese armatuurlaua loomine:
Armatuurlaud on paljude visualisatsioonide kogum. Teie armatuurlauad peaksid olema selged, arusaadavad ning sisaldama kasulikke ja deterministlikke andmeid. Siin on näide armatuurlaudadest, mille me winlogbeati jaoks nullist lõime.
Täname teid teie aja eest. Loodan, et see artikkel oli teile kasulik. Kui soovite teema kohta rohkem teavet, soovitame külastada ametlikul kodulehel.