Cet article décrira comment personnaliser la visualisation des tableaux de bord ELK et SIEM dans ELK
L'article est divisé en sections suivantes :
1- Présentation d'ELK SIEM
2- Tableaux de bord par défaut
3- Créer vos premiers tableaux de bord
Table des matières de tous les articles.
- Intégration avec WAZUH
- Alerte
- Rapports
- La gestion de cas
1-ELK-SIEM - Vue d'Ensemble
ELK SIEM a été récemment ajouté à la pile elk dans la version 7.2 le 25 juin 2019.
Il s'agit d'une solution SIEM créée par elastic.co pour rendre la vie d'un analyste de sécurité beaucoup plus facile et moins fastidieuse.
Dans notre version du travail, nous avons décidé de créer notre propre SIEM et de choisir notre propre panneau de contrôle.
Mais nous pensons qu'il est important d'explorer d'abord ELK SIEM.
1.1- Section Organiser des événements
Nous examinerons d'abord la partition hôte. La section hôte vous permettra de voir les événements déclenchés sur le point de terminaison lui-même.
Après avoir cliqué sur Afficher les hôtes, vous devriez obtenir quelque chose comme ceci. Comme vous pouvez le voir, trois hôtes sont connectés à cet ordinateur :
1 Fenêtres 10.
2 Serveur Ubuntu 18.04.
Nous avons plusieurs visualisations à afficher, chacune affichant un type d'événement différent.
Par exemple, celui du milieu affiche les données de connexion sur les trois machines.
La quantité de données que vous voyez ici a été collectée sur cinq jours. Cela explique le grand nombre de connexions échouées et réussies. Vous aurez probablement un petit nombre de journaux, alors ne vous inquiétez pas
1.2- Rubrique événements du réseau
En passant à la section réseau, vous devriez obtenir quelque chose comme ceci. Cette section vous permettra de garder un œil attentif sur tout ce qui se passe sur votre réseau, du trafic HTTP/TLS au trafic DNS en passant par les alertes d'événements externes.
2- Tableaux de bord par défaut
Pour faciliter la vie des utilisateurs, les développeurs d'elastic.co ont créé une barre d'outils par défaut officiellement prise en charge par ELK. Nos beats ne faisaient pas exception à cette règle. Ici, je vais prendre le tableau de bord Packetbeat par défaut comme exemple.
Si vous avez suivi correctement la deuxième étape de l’article. Vous devriez avoir une barre d’outils configurée qui vous attend. Alors, commençons.
Sur l'onglet gauche de Kibana, sélectionnez le symbole du tableau de bord. C'est le troisième, si l'on compte à partir du haut.
Entrez le nom du partage dans l'onglet de recherche
S'il y a plusieurs modules dans un bit. Un panneau de contrôle sera créé pour chacun d’eux. Mais seul celui avec le module actif affichera des données non vides.
Choisissez celui avec le nom de votre module.
Ceci est le modèle principal Battement de paquets.
Il s'agit du panneau de contrôle du flux réseau. Il nous informera sur les paquets entrants et sortants, les sources et destinations des adresses IP, et donnera également de nombreuses informations utiles pour l'analyste du centre de sécurité.
3 — Créer vos premiers tableaux de bord
3–1- Concepts de base
A- Types de tableaux de bord :
Ce sont les différents types de visualisations que vous pouvez utiliser pour visualiser vos données.
par exemple nous avons :
- Graphique à barres
- Carte
- Widget de démarque
- Camembert
B- KQL (Langage de requête Kibana) :
Il s'agit du langage utilisé dans Kibana pour faciliter la recherche de données. Cela vous permet de vérifier si certaines données existent et de nombreuses autres fonctionnalités utiles. Pour en savoir plus, vous pouvez consulter les informations sur ce lien.
Il s'agit d'un exemple de requête pour trouver un hôte exécutant Windows 10 professionnel.
C- Filtres :
Cette fonctionnalité vous permettra de filtrer certains paramètres comme le nom d'hôte, le code ou l'identifiant de l'événement, etc. Les filtres amélioreront grandement la phase d'enquête en termes de temps et d'efforts consacrés à la recherche d'indices.
D- Première visualisation :
Créons une visualisation pour MITRE ATT & CK.
Nous devons d'abord aller à Tableau de bord → Créer un nouveau tableau de bord → créer un nouveau → Tableau de bord Pie
Définissez le type du motif d’index, puis appuyez sur le nom de votre rythme.
Appuyez sur Entrée. À présent, vous devriez voir un beignet vert.
Dans l'onglet Buckets à gauche, vous trouverez :
- Les tranches divisées diviseront le beignet en différentes parties en fonction de la répartition des données.
- Split Chart créera un autre beignet à côté de celui-ci.
Nous utiliserons des tranches divisées.
Nous visualiserons nos données en fonction du terme que nous choisirons. Dans ce cas, le terme ferait référence à MITRE ATT & CK.
Dans Winlogbeat, le champ qui nous fournira ces informations s'appelle :
winlog.event_data.RuleNameNous allons configurer une métrique de comptage pour classer les événements en fonction du nombre de fois qu'ils se produisent.
Activez la fonction "Regrouper les autres valeurs dans un segment séparé".
Cela s'avérera utile si les termes que vous avez choisis ont de nombreuses significations différentes provenant du rythme. Cela permet de visualiser le reste des données dans leur ensemble. Cela vous donnera une idée du pourcentage des autres événements.
Maintenant que nous avons fini de configurer l'onglet données, passons à l'onglet options
Vous devez procéder comme suit :
** Supprimez la forme du beignet pour qu'un cercle complet apparaisse sur le rendu.
** Sélectionnez la position de la légende que vous aimez. Dans ce cas, nous les afficherons à droite.
**Définissez les valeurs d'affichage à afficher à côté de leur extrait pour une lecture plus facile et laissez le reste par défaut
La troncature contrôle la quantité que vous souhaitez afficher à partir du nom de l'événement.
Définissez l’heure à laquelle vous souhaitez que le rendu démarre, puis cliquez sur la case bleue.
Vous devriez obtenir quelque chose comme ceci :
Vous pouvez également ajouter un filtre à votre visualisation pour filtrer l'hôte spécifique que vous souhaitez vérifier ou toute option que vous jugez utile pour votre objectif. La visualisation affichera uniquement les données qui correspondent à la règle placée dans le filtre. Dans ce cas, nous afficherons uniquement les données MITRE ATT & CK provenant d'un hôte nommé win10.
3-2- Création de votre premier tableau de bord :
Un tableau de bord est une collection de nombreuses visualisations. Vos tableaux de bord doivent être clairs, compréhensibles et contenir des données utiles et déterministes. Voici un exemple des tableaux de bord que nous avons créés de toutes pièces pour winlogbeat.
Merci pour votre temps. J'espère que vous avez trouvé cet article utile. Si vous souhaitez plus d'informations sur le sujet, nous vous recommandons de visiter .
Chat par télégramme sur Elasticsearch :
Source: habr.com