ELK SIEM اخیراً در 7.2 ژوئن 25 به پشته elk در نسخه 2019 اضافه شد.
این یک راه حل SIEM است که توسط elastic.co ایجاد شده است تا زندگی یک تحلیلگر امنیتی را بسیار آسان تر و کمتر خسته کننده کند.
در نسخه مان از کار، تصمیم گرفتیم SIEM خودمان را ایجاد کنیم و کنترل پنل خود را انتخاب کنیم.
اما ما فکر می کنیم مهم است که ابتدا ELK SIEM را بررسی کنیم.
1.1- بخش رویدادهای میزبان
ابتدا قسمت میزبان را بررسی می کنیم. بخش میزبان به شما امکان می دهد رویدادهایی را که در خود نقطه پایانی ایجاد می شوند مشاهده کنید.
پس از کلیک بر روی view hosts باید چیزی شبیه به این دریافت کنید. همانطور که می بینید، سه هاست به این کامپیوتر متصل هستند:
1 ویندوز 10.
2 سرور اوبونتو 18.04.
ما چندین تجسم نمایش داده شده داریم که هر کدام نشان دهنده انواع مختلفی از رویدادها هستند.
برای مثال، یکی در وسط، داده های ورود به سیستم را در هر سه ماشین نشان می دهد.
این مقدار داده ای که در اینجا می بینید طی پنج روز جمع آوری شده است. این تعداد زیاد لاگین های ناموفق و موفق را توضیح می دهد. احتمالا تعداد کمی لاگ خواهید داشت، پس نگران نباشید
1.2- بخش رویدادهای شبکه
با رفتن به بخش شبکه، باید چیزی شبیه به این دریافت کنید. این بخش به شما این امکان را می دهد که همه چیزهایی را که در شبکه شما اتفاق می افتد، از ترافیک HTTP/TLS گرفته تا ترافیک DNS و هشدارهای رویداد خارجی، زیر نظر داشته باشید.
2- داشبوردهای پیش فرض
توسعه دهندگان elastic.co برای آسان تر کردن زندگی کاربران، نوار ابزار پیش فرضی را ایجاد کرده اند که به طور رسمی توسط ELK پشتیبانی می شود. ضربات ما هم از این قاعده مستثنی نبود. در اینجا من از داشبوردهای پیش فرض Packetbeat به عنوان مثال استفاده خواهم کرد.
اگر مرحله دو مقاله را به درستی دنبال کرده باشید. باید یک نوار ابزار در انتظار شما باشد. پس بیایید شروع کنیم.
از تب سمت چپ کیبانا، نماد داشبورد را انتخاب کنید. این سومی است، اگر از بالا بشمارید.
نام اشتراک را در تب جستجو وارد کنید
اگر چند ماژول در بیت وجود دارد. برای هر یک از آنها یک کنترل پنل ایجاد می شود. اما تنها موردی که ماژول آن فعال است داده های غیر خالی را نمایش می دهد.
یکی را با نام ماژول خود انتخاب کنید.
این قالب اصلی است PacketBeat.
این صفحه کنترل جریان شبکه است. این اطلاعات در مورد بسته های ورودی و خروجی، منابع و مقصد آدرس های IP به ما می گوید و همچنین اطلاعات مفید زیادی را برای یک تحلیلگر مرکز امنیتی ارائه می دهد.
3 - ایجاد اولین داشبورد خود
3-1- مفاهیم اساسی
الف- انواع داشبورد:
اینها انواع مختلفی از تجسم ها هستند که می توانید برای تجسم داده های خود از آنها استفاده کنید.
برای مثال داریم:
نمودار میله ای
نقشه
ویجت Markdown
نمودار پای
ب- KQL (زبان پرسش کیبانا):
این زبانی است که در کیبانا برای جستجوی آسان داده ها استفاده می شود. این به شما امکان می دهد تا بررسی کنید که آیا داده های خاصی وجود دارد و بسیاری از ویژگی های مفید دیگر. برای کسب اطلاعات بیشتر، می توانید اطلاعات را در این لینک بررسی کنید
این یک پرس و جو نمونه برای یافتن میزبانی است که ویندوز 10 پرو دارد.
ج- فیلترها:
این ویژگی به شما امکان می دهد تا پارامترهای خاصی مانند نام میزبان، کد رویداد یا شناسه و غیره را فیلتر کنید. فیلترها از نظر زمان و تلاش صرف شده برای جستجوی شواهد، مرحله تحقیق را تا حد زیادی بهبود می بخشند.
د- تجسم اول:
بیایید یک تصویرسازی برای MITER ATT & CK ایجاد کنیم.
ابتدا باید برویم به داشبورد → ایجاد داشبورد جدید → ایجاد جدید → داشبورد پای
نوع الگوی شاخص را تنظیم کنید، سپس روی نام بیت خود ضربه بزنید.
Enter را فشار دهید. تا الان باید یک دونات سبز ببینید.
در تب Buckets در سمت چپ خواهید دید:
- برشهای تقسیم شده، دونات را به قسمتهای مختلفی تقسیم میکنند، بسته به گستردگی دادهها.
- نمودار تقسیم یک دونات دیگر در کنار این یکی ایجاد می کند.
ما از برش های تقسیم شده استفاده خواهیم کرد.
بسته به اصطلاحی که انتخاب می کنیم، داده های خود را تجسم خواهیم کرد. در این مورد این اصطلاح به MITER ATT & CK اشاره خواهد کرد.
در Winlogbeat فیلدی که این اطلاعات را در اختیار ما قرار می دهد نامیده می شود:
winlog.event_data.RuleName
ما یک معیار شمارش برای سفارش دادن رویدادها بر اساس تعداد دفعاتی که رخ می دهند تنظیم می کنیم.
ویژگی «گروهبندی مقادیر دیگر در یک بخش جداگانه» را فعال کنید.
اگر عباراتی که انتخاب می کنید معانی مختلفی بر اساس ریتم داشته باشند، مفید خواهد بود. این به تجسم بقیه داده ها به عنوان یک کل کمک می کند. این به شما ایده ای از درصد رویدادهای باقی مانده می دهد.
اکنون که تنظیمات برگه داده را به پایان رساندیم، به تب گزینه ها می رویم
شما باید موارد زیر را انجام دهید:
**شکل دونات را بردارید تا رندر یک دایره کامل نشان دهد.
** موقعیت افسانه ای را که دوست دارید انتخاب کنید. در این صورت آنها را در سمت راست نمایش خواهیم داد.
**مقادیر نمایش را برای نمایش آسانتر در کنار قطعه آنها تنظیم کنید و بقیه را به عنوان پیش فرض بگذارید
Truncation تعیین می کند که چقدر می خواهید از نام رویداد نمایش داده شود.
زمانی را که می خواهید رندر شروع شود تنظیم کنید و سپس مربع آبی را کلیک کنید.
شما باید با چیزی شبیه به این نتیجه بگیرید:
همچنین میتوانید یک فیلتر به تجسم خود اضافه کنید تا میزبان خاصی را که میخواهید بررسی کنید یا هر پارامتری که فکر میکنید برای هدف شما مفید است، فیلتر کنید. تجسم فقط دادههایی را نشان میدهد که با قانون قرار داده شده در فیلتر مطابقت دارند. در این حالت، ما فقط داده های MITER ATT&CK را که از میزبانی به نام win10 می آید نمایش خواهیم داد.
3-2- ایجاد اولین داشبورد خود:
داشبورد مجموعه ای از تجسم های بسیاری است. داشبوردهای شما باید واضح، قابل فهم و حاوی داده های مفید و قطعی باشند. در اینجا نمونه ای از داشبوردهایی است که ما از ابتدا برای winlogbeat ایجاد کردیم.
ممنون بخاطر وقتی که گذاشتید. امیدوارم این مقاله برای شما مفید بوده باشد. اگر مایل به اطلاعات بیشتر در مورد موضوع هستید، توصیه می کنیم از آن بازدید کنید وب سایت رسمی شرکت.