Argitalpen honek ELK eta SIEM panelen bistaratzea deskribatuko du ELKn
Artikulua atal hauetan banatuta dago:
1- ELK SIEM Iritzia
2- Aginte-panel lehenetsiak
3- Zure lehen aginte-panelak sortzea
Mezu guztien aurkibidea.
- WAZUH-rekin integratzea
- Abisatzen
- Txostenak ematea
- Kasu kudeaketa
1-ELK SIEM Iritzia
ELK SIEM duela gutxi gehitu zen elk pilara 7.2 bertsioan 25ko ekainaren 2019ean.
Hau elastic.co-k sortutako SIEM irtenbide bat da segurtasun-analista baten bizitza askoz errazagoa eta ez hain aspergarria izan dadin.
Gure lanaren bertsioan, gure SIEM propioa sortzea eta gure kontrol panela aukeratzea erabaki genuen.
Baina uste dugu garrantzitsua dela ELK SIEM aztertzea lehenik.
1.1- Ostalari ekitaldiak atala
Ostalariaren atala ikusiko dugu lehenik. Ostalariaren atalak amaierako puntuan bertan sortzen diren gertaerak ikusteko aukera emango dizu.
Ikusi ostalariak klik egin ondoren horrelako zerbait lortu beharko zenuke. Ikus dezakezunez, hiru ostalari daude ordenagailu honetara konektatuta:
1 Windows 10.
2 Ubuntu zerbitzaria 18.04.
Hainbat bistaratze ditugu, bakoitzak gertaera mota desberdinak irudikatzen dituena.
Adibidez, erdian dagoenak hiru makinetan saio-hasiera-datuak erakusten ditu.
Hemen ikusten duzun datu kopuru hori bost egunetan bildu da. Horrek saio-hasiera huts eta arrakastatsuen kopuru handia azaltzen du. Seguruenik erregistro kopuru txiki bat izango duzu, beraz, ez kezkatu
1.2- Sareko ekitaldiak atala
Sareko atalera joanez, horrelako zerbait lortu beharko zenuke. Atal honek zure sarean gertatzen den guztia gertutik jarraitzeko aukera emango dizu, HTTP/TLS trafikotik DNS trafikoraino eta kanpoko gertaeren alertak.
2- Aginte-panel lehenetsiak
Erabiltzaileei bizitza errazteko, elastic.co-ko garatzaileek ELK-k ofizialki onartzen duen tresna-barra lehenetsi bat sortu dute. Gure erritmoak ez ziren arau honetatik salbuespena izan. Hemen Packetbeat-en aginte-panel lehenetsiak erabiliko ditut adibide gisa.
Artikuluko bigarren urratsa behar bezala jarraitu baduzu. Tresna-barra konfiguratu beharko zenuke zure zain. Beraz, has gaitezen.
Kibanaren ezkerreko fitxan, hautatu panelaren ikurra. Hau hirugarrena da, goitik zenbatzen baduzu.
Sartu partekatzeko izena bilaketa fitxan
Bitean hainbat modulu badaude. Horietako bakoitzarentzat kontrol-panel bat sortuko da. Baina modulua aktibo duenak bakarrik bistaratuko ditu hutsik gabeko datuak.
Hautatu zure moduluaren izena duena.
Hau da txantiloi nagusia PacketBeat.
Hau da sare-fluxua kontrolatzeko panela. Sarrerako eta irteerako paketearen berri emango digu, IP helbideen iturriak eta helmugak, eta informazio erabilgarria ere ematen du segurtasun zentroko analista bati.
3 β Zure lehen aginte-panelak sortzea
3β1- Oinarrizko kontzeptuak
A- Arbel motak:
Hauek dira zure datuak ikusteko erabil ditzakezun bistaratze mota desberdinak.
adibidez dugu:
- barra grafikoa
- Mapa
- Markdown widget-a
- Tarta diagrama
B- KQL (Kibana Query Language):
Hau da Kibana-n datuak erraz bilatzeko erabiltzen den hizkuntza. Datu batzuk existitzen diren eta beste ezaugarri erabilgarriak egiaztatzeko aukera ematen du. Gehiago jakiteko, esteka honetan arakatu dezakezu informazioa
Hau Windows 10 pro exekutatzen duen ostalari bat aurkitzeko kontsulta adibide bat da.
C- Iragazkiak:
Ezaugarri honek parametro jakin batzuk iragazteko aukera emango dizu, hala nola ostalariaren izena, gertaeren kodea edo IDa, etab. Iragazkiek ikerketa fasea asko hobetuko dute frogak bilatzeko denboran eta ahaleginean.
D- Lehen bistaratzea:
Sortu dezagun MITRE ATT eta CKren bistaratze bat.
Lehenik eta behin, bertara joan behar dugu Aginte-panela β Sortu aginte-panela β sortu berria βPie panela
Ezarri indize-ereduaren mota eta, ondoren, sakatu zure erritmoaren izena.
Sakatu Sartu. Honezkero erroskila berde bat ikusi beharko zenuke.
Ezkerreko Buckets fitxan aurkituko duzu:
β Zatitutako xerrak erroskila zati ezberdinetan banatuko du datuen hedapenaren arabera.
- Split Chart-ek beste donut bat sortuko du honen ondoan.
Zatitutako xerrak erabiliko ditugu.
Aukeratzen dugun terminoaren arabera bistaratuko ditugu gure datuak. Kasu honetan terminoa MITRE ATT & CK-ri erreferentzia egingo zaio.
Winlogbeat-en, informazio hori emango digun eremuari deitzen zaio:
winlog.event_data.RuleNameZenbaketa-neurri bat ezarriko dugu gertaerak gertatzen diren aldi kopuruaren arabera ordenatzeko.
Gaitu "Beste balioak beste segmentu batean taldekatu" funtzioa.
Hau erabilgarria izango da aukeratzen dituzun terminoek erritmoan oinarritutako esanahi ezberdin asko badituzte. Horrek gainerako datuak osotasunean ikusarazten laguntzen du. Horrek gainerako gertaeren ehunekoaren ideia bat emango dizu.
Orain datuen fitxa konfiguratzen amaitu dugunean, joan gaitezen aukeren fitxara
Honako hau egin behar duzu:
**Kendu erroskila forma errendatzeak zirkulu osoa erakusteko.
**Aukeratu gustuko duzun legendaren posizioa. Kasu honetan, eskuinaldean bistaratuko ditugu.
** Ezarri pantaila-balioak beren zatiaren ondoan erakusteko, irakurketa errazteko eta utzi gainerakoak lehenetsi gisa
Mozketak gertaeraren izenetik zenbat erakutsi nahi duzun zehazten du.
Ezarri errendatzea zein ordutan hastea nahi duzun, eta egin klik karratu urdinean.
Horrelako zerbait lortu beharko zenuke:
Iragazki bat ere gehi diezaiokezu bistaratzeari, egiaztatu nahi duzun ostalari zehatza edo zure helbururako erabilgarriak direla uste duzun parametroak iragazteko. Bistaratzeak iragazkian jarritako arauarekin bat datozen datuak soilik bistaratuko ditu. Kasu honetan, win10 izeneko ostalaritik datozen MITRE ATT&CK datuak soilik bistaratuko ditugu.
3-2- Zure lehen aginte-panela sortzea:
Arbel bat bistaratze askoren bilduma da. Zure aginte-panelak argiak, ulergarriak eta datu erabilgarriak eta deterministak izan behar ditu. Hona hemen winlogbeat-erako hutsetik sortu ditugun aginteen adibide bat.
Eskerrik asko zure denboragatik. Artikulu hau lagungarria iruditu zaizula espero dut. Gaiari buruzko informazio gehiago nahi baduzu, bisitatzea gomendatzen dizugu .
Telegram txata Elasticsearch-en:
Iturria: www.habr.com