Tämä viesti kuvaa ELK- ja SIEM-kojelaudojen visualisoinnin määrittämistä ELK:ssa
Artikkeli on jaettu seuraaviin osiin:
1- ELK SIEM -arvostelu
2- Oletuskoontinäytöt
3- Luodaan ensimmäiset kojelautat
Kaikkien viestien sisällysluettelo.
- Integrointi WAZUHin kanssa
- Varoittaa
- raportointi
- Tapaushallinta
1-ELK SIEM -arvostelu
ELK SIEM lisättiin äskettäin hirvipinoon versiossa 7.2 25.
Tämä on elastic.co:n luoma SIEM-ratkaisu, joka tekee tietoturva-analyytikon elämästä paljon helpompaa ja vähemmän tylsää.
Teoksen versiossamme päätimme luoda oman SIEM:n ja valita oman ohjauspaneelimme.
Mutta mielestämme on tärkeää tutustua ELK SIEMiin ensin.
1.1- Isäntätapahtumat-osio
Katsotaan ensin isäntäosaa. Isäntäosion avulla voit nähdä itse päätepisteessä luodut tapahtumat.
Kun olet napsauttanut Näytä isännät, sinun pitäisi saada jotain tällaista. Kuten näet, tähän tietokoneeseen on kytketty kolme isäntä:
1 Windows 10.
2 Ubuntu Server 18.04.
Meillä on esillä useita visualisointeja, joista jokainen edustaa erityyppisiä tapahtumia.
Esimerkiksi keskellä oleva näyttää kaikkien kolmen koneen kirjautumistiedot.
Tämä tässä näkemäsi datamäärä on kerätty viiden päivän aikana. Tämä selittää epäonnistuneiden ja onnistuneiden kirjautumisten suuren määrän. Sinulla on todennäköisesti pieni määrä lokeja, joten älä huoli
1.2- Verkkotapahtumat-osio
Siirryttäessä verkko-osioon, sinun pitäisi saada jotain tällaista. Tämän osion avulla voit seurata tarkasti kaikkea, mitä verkossasi tapahtuu, HTTP/TLS-liikenteestä DNS-liikenteeseen ja ulkoisten tapahtumien hälytyksiin.
2- Oletuskoontinäytöt
Helpottaakseen käyttäjien elämää elastic.co:n kehittäjät ovat luoneet oletustyökalurivin, jota ELK tukee virallisesti. Meidän lyöntimme eivät olleet poikkeus tästä säännöstä. Tässä käytän Packetbeatin oletusarvoisia hallintapaneeleja esimerkkinä.
Jos noudatit artikkelin vaihetta kaksi oikein. Sinulla pitäisi olla työkalurivi, joka odottaa sinua. Joten aloitetaan.
Valitse Kibanan vasemmasta välilehdestä kojelaudan symboli. Tämä on kolmas, jos laskee ylhäältä.
Kirjoita jaetun nimi hakuvälilehdelle
Jos bitissä on useita moduuleja. Jokaiselle niistä luodaan ohjauspaneeli. Mutta vain se, jonka moduuli on aktiivinen, näyttää ei-tyhjät tiedot.
Valitse se, jolla on moduulisi nimi.
Tämä on päämalli PacketBeat.
Tämä on verkkovirran ohjauspaneeli. Se kertoo meille saapuvasta ja lähtevästä paketista, IP-osoitteiden lähteistä ja kohteista ja tarjoaa myös paljon hyödyllistä tietoa tietoturvakeskuksen analyytikolle.
3 — Luodaan ensimmäiset kojelautat
3–1- Peruskäsitteet
A- Kojelautatyypit:
Nämä ovat erilaisia visualisointeja, joita voit käyttää tietojesi visualisointiin.
meillä on esimerkiksi:
- pylväsdiagrammi
- kartta
- Markdown-widget
- Ympyrädiagrammi
B- KQL (Kibana-kyselykieli):
Tätä kieltä käytetään Kibanassa tietojen helppoon etsimiseen. Sen avulla voit tarkistaa, onko tiettyjä tietoja olemassa, ja monia muita hyödyllisiä ominaisuuksia. Jos haluat lisätietoja, voit tutustua tietoihin tästä linkistä
Tämä on esimerkkikysely Windows 10 pro -palvelimen löytämiseksi.
C- Suodattimet:
Tämän ominaisuuden avulla voit suodattaa tiettyjä parametreja, kuten isäntänimi, tapahtumakoodi tai tunnus jne. Suodattimet parantavat huomattavasti tutkintavaihetta todisteiden etsimiseen käytetyn ajan ja vaivan suhteen.
D- Ensimmäinen visualisointi:
Luodaan visualisointi MITER ATT & CK:lle.
Ensin meidän on mentävä Dashboard → Luo uusi kojelauta → luo uusi → Pie hallintapaneeli
Aseta indeksikuvion tyyppi ja napauta sitten lyöntisi nimeä.
Paina Enter. Tähän mennessä sinun pitäisi nähdä vihreä munkki.
Vasemmalla olevasta Kauhat-välilehdestä löydät:
— Jaetut viipaleet jakavat donitsin eri osiin tiedon leviämisen mukaan.
- Split Chart luo toisen donitsin tämän viereen.
Käytämme halkaistuja viipaleita.
Visualisoimme tietomme valitsemamme termin mukaan. Tässä tapauksessa termi viittaa MITER ATT & CK.
Winlogbeatissa kenttä, joka antaa meille nämä tiedot, on nimeltään:
winlog.event_data.RuleNameMääritämme laskentamittarin tapahtumien järjestämiseksi niiden esiintymiskertojen perusteella.
Ota käyttöön "Ryhmittele muut arvot erilliseen segmenttiin" -ominaisuus.
Tästä on hyötyä, jos valitsemillasi termeillä on monia erilaisia merkityksiä rytmin perusteella. Tämä auttaa visualisoimaan muun datan kokonaisuutena. Tämä antaa sinulle käsityksen jäljellä olevien tapahtumien prosenttiosuudesta.
Nyt kun olemme määrittäneet Data-välilehden, siirrytään asetusvälilehteen
Sinun on toimittava seuraavasti:
**Poista donitsimuoto, jotta renderöinti näyttää täyden ympyrän.
**Valitse haluamasi legendan sijainti. Tässä tapauksessa näytämme ne oikealla.
**Aseta näyttöarvot näytettäväksi katkelman vieressä helpottaaksesi lukemista ja jätä loput oletusarvoiksi
Katkaisu määrittää, kuinka paljon haluat näyttää tapahtuman nimestä.
Aseta aika, jolloin haluat renderöinnin alkavan, ja napsauta sitten sinistä neliötä.
Sinun pitäisi päätyä johonkin tämän kaltaiseen:
Voit myös lisätä visualisointiisi suodattimen, joka suodattaa pois tarkastettavan isännän tai mitkä tahansa parametrit, jotka uskot olevan hyödyllisiä tarkoitukseesi. Visualisointi näyttää vain tiedot, jotka vastaavat suodattimeen asetettua sääntöä. Tässä tapauksessa näytämme vain MITER ATT&CK -tiedot, jotka tulevat isännästä nimeltä win10.
3-2- Ensimmäisen kojelautasi luominen:
Kojelauta on kokoelma monia visualisointeja. Kojetaulujesi tulee olla selkeitä, ymmärrettäviä ja sisältää hyödyllistä, determinististä dataa. Tässä on esimerkki kojelaudoista, jotka loimme alusta alkaen winlogbeatille.
Kiitos ajastasi. Toivottavasti tästä artikkelista oli apua. Jos haluat lisätietoja aiheesta, suosittelemme vierailemaan .
Telegram-chat Elasticsearchissa:
Lähde: will.com