ELK SIEM Open Distro: تجسم داشبوردهای ELK و SIEM در ELK

این پست تنظیم تجسم داشبوردهای ELK و SIEM در ELK را شرح می دهد
مقاله به بخش های زیر تقسیم می شود:

1- بررسی ELK SIEM
2- داشبوردهای پیش فرض
3- ایجاد اولین داشبوردهای خود

فهرست مطالب همه پست ها

• معرفی. استقرار زیرساخت ها و فناوری ها برای SOC به عنوان یک سرویس (SOCasS)
• پشته ELK - نصب و پیکربندی
• از طریق Distro باز قدم بزنید
• تجسم داشبوردها و ELK SIEM
• ادغام با WAZUH
• هشدار دهنده
• گزارش نویسی
• مدیریت پرونده

بررسی 1-ELK SIEM

ELK SIEM اخیراً در 7.2 ژوئن 25 به پشته elk در نسخه 2019 اضافه شد.

این یک راه حل SIEM است که توسط elastic.co ایجاد شده است تا زندگی یک تحلیلگر امنیتی را بسیار آسان تر و کمتر خسته کننده کند.

در نسخه مان از کار، تصمیم گرفتیم SIEM خودمان را ایجاد کنیم و کنترل پنل خود را انتخاب کنیم.

اما ما فکر می کنیم مهم است که ابتدا ELK SIEM را بررسی کنیم.

1.1- بخش رویدادهای میزبان

ابتدا قسمت میزبان را بررسی می کنیم. بخش میزبان به شما امکان می دهد رویدادهایی را که در خود نقطه پایانی ایجاد می شوند مشاهده کنید.

پس از کلیک بر روی view hosts باید چیزی شبیه به این دریافت کنید. همانطور که می بینید، سه هاست به این کامپیوتر متصل هستند:

1 ویندوز 10.

2 سرور اوبونتو 18.04.

ما چندین تجسم نمایش داده شده داریم که هر کدام نشان دهنده انواع مختلفی از رویدادها هستند.

برای مثال، یکی در وسط، داده های ورود به سیستم را در هر سه ماشین نشان می دهد.

این مقدار داده ای که در اینجا می بینید طی پنج روز جمع آوری شده است. این تعداد زیاد لاگین های ناموفق و موفق را توضیح می دهد. احتمالا تعداد کمی لاگ خواهید داشت، پس نگران نباشید

1.2- بخش رویدادهای شبکه

با رفتن به بخش شبکه، باید چیزی شبیه به این دریافت کنید. این بخش به شما این امکان را می دهد که همه چیزهایی را که در شبکه شما اتفاق می افتد، از ترافیک HTTP/TLS گرفته تا ترافیک DNS و هشدارهای رویداد خارجی، زیر نظر داشته باشید.

2- داشبوردهای پیش فرض

توسعه دهندگان elastic.co برای آسان تر کردن زندگی کاربران، نوار ابزار پیش فرضی را ایجاد کرده اند که به طور رسمی توسط ELK پشتیبانی می شود. ضربات ما هم از این قاعده مستثنی نبود. در اینجا من از داشبوردهای پیش فرض Packetbeat به عنوان مثال استفاده خواهم کرد.

اگر مرحله دو مقاله را به درستی دنبال کرده باشید. باید یک نوار ابزار در انتظار شما باشد. پس بیایید شروع کنیم.

از تب سمت چپ کیبانا، نماد داشبورد را انتخاب کنید. این سومی است، اگر از بالا بشمارید.

نام اشتراک را در تب جستجو وارد کنید

اگر چند ماژول در بیت وجود دارد. برای هر یک از آنها یک کنترل پنل ایجاد می شود. اما تنها موردی که ماژول آن فعال است داده های غیر خالی را نمایش می دهد.

یکی را با نام ماژول خود انتخاب کنید.

این قالب اصلی است PacketBeat.

این صفحه کنترل جریان شبکه است. این اطلاعات در مورد بسته های ورودی و خروجی، منابع و مقصد آدرس های IP به ما می گوید و همچنین اطلاعات مفید زیادی را برای یک تحلیلگر مرکز امنیتی ارائه می دهد.

3 - ایجاد اولین داشبورد خود

3-1- مفاهیم اساسی

الف- انواع داشبورد:

اینها انواع مختلفی از تجسم ها هستند که می توانید برای تجسم داده های خود از آنها استفاده کنید.

برای مثال داریم:

• نمودار میله ای
• نقشه
• ویجت Markdown
• نمودار پای

ب- KQL (زبان پرسش کیبانا):

این زبانی است که در کیبانا برای جستجوی آسان داده ها استفاده می شود. این به شما امکان می دهد تا بررسی کنید که آیا داده های خاصی وجود دارد و بسیاری از ویژگی های مفید دیگر. برای کسب اطلاعات بیشتر، می توانید اطلاعات را در این لینک بررسی کنید

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

این یک پرس و جو نمونه برای یافتن میزبانی است که ویندوز 10 پرو دارد.

ج- فیلترها:

این ویژگی به شما امکان می دهد تا پارامترهای خاصی مانند نام میزبان، کد رویداد یا شناسه و غیره را فیلتر کنید. فیلترها از نظر زمان و تلاش صرف شده برای جستجوی شواهد، مرحله تحقیق را تا حد زیادی بهبود می بخشند.

د- تجسم اول:

بیایید یک تصویرسازی برای MITER ATT & CK ایجاد کنیم.

ابتدا باید برویم به داشبورد → ایجاد داشبورد جدید → ایجاد جدید → داشبورد پای

نوع الگوی شاخص را تنظیم کنید، سپس روی نام بیت خود ضربه بزنید.

Enter را فشار دهید. تا الان باید یک دونات سبز ببینید.

در تب Buckets در سمت چپ خواهید دید:

- برش‌های تقسیم شده، دونات را به قسمت‌های مختلفی تقسیم می‌کنند، بسته به گستردگی داده‌ها.

- نمودار تقسیم یک دونات دیگر در کنار این یکی ایجاد می کند.

ما از برش های تقسیم شده استفاده خواهیم کرد.

بسته به اصطلاحی که انتخاب می کنیم، داده های خود را تجسم خواهیم کرد. در این مورد این اصطلاح به MITER ATT & CK اشاره خواهد کرد.

در Winlogbeat فیلدی که این اطلاعات را در اختیار ما قرار می دهد نامیده می شود:

winlog.event_data.RuleName

ما یک معیار شمارش برای سفارش دادن رویدادها بر اساس تعداد دفعاتی که رخ می دهند تنظیم می کنیم.

ویژگی «گروه‌بندی مقادیر دیگر در یک بخش جداگانه» را فعال کنید.

اگر عباراتی که انتخاب می کنید معانی مختلفی بر اساس ریتم داشته باشند، مفید خواهد بود. این به تجسم بقیه داده ها به عنوان یک کل کمک می کند. این به شما ایده ای از درصد رویدادهای باقی مانده می دهد.

اکنون که تنظیمات برگه داده را به پایان رساندیم، به تب گزینه ها می رویم

شما باید موارد زیر را انجام دهید:

**شکل دونات را بردارید تا رندر یک دایره کامل نشان دهد.

** موقعیت افسانه ای را که دوست دارید انتخاب کنید. در این صورت آنها را در سمت راست نمایش خواهیم داد.

**مقادیر نمایش را برای نمایش آسانتر در کنار قطعه آنها تنظیم کنید و بقیه را به عنوان پیش فرض بگذارید

Truncation تعیین می کند که چقدر می خواهید از نام رویداد نمایش داده شود.

زمانی را که می خواهید رندر شروع شود تنظیم کنید و سپس مربع آبی را کلیک کنید.

شما باید با چیزی شبیه به این نتیجه بگیرید:

همچنین می‌توانید یک فیلتر به تجسم خود اضافه کنید تا میزبان خاصی را که می‌خواهید بررسی کنید یا هر پارامتری که فکر می‌کنید برای هدف شما مفید است، فیلتر کنید. تجسم فقط داده‌هایی را نشان می‌دهد که با قانون قرار داده شده در فیلتر مطابقت دارند. در این حالت، ما فقط داده های MITER ATT&CK را که از میزبانی به نام win10 می آید نمایش خواهیم داد.

3-2- ایجاد اولین داشبورد خود:

داشبورد مجموعه ای از تجسم های بسیاری است. داشبوردهای شما باید واضح، قابل فهم و حاوی داده های مفید و قطعی باشند. در اینجا نمونه ای از داشبوردهایی است که ما از ابتدا برای winlogbeat ایجاد کردیم.

ممنون بخاطر وقتی که گذاشتید. امیدوارم این مقاله برای شما مفید بوده باشد. اگر مایل به اطلاعات بیشتر در مورد موضوع هستید، توصیه می کنیم از آن بازدید کنید وب سایت رسمی شرکت.

چت تلگرام در Elasticsearch: https://t.me/elasticsearch_ru

منبع: www.habr.com