Dizze post sil it ynstellen fan de fisualisaasje fan ELK- en SIEM-dashboards yn ELK beskriuwe
It artikel is ferdield yn de folgjende seksjes:
1- ELK SIEM Review
2- Standert dashboards
3- Jo earste dashboards oanmeitsje
Ynhâldsopjefte fan alle berjochten.
- Yntegraasje mei WAZUH
- Alert
- Ferslachjouwing
- Case Management
1-ELK SIEM Review
ELK SIEM waard koartlyn tafoege oan de elk-stapel yn ferzje 7.2 op 25 juny 2019.
Dit is in SIEM-oplossing makke troch elastic.co om it libben fan in befeiligingsanalist folle makliker en minder ferfeelsum te meitsjen.
Yn ús ferzje fan it wurk hawwe wy besletten om ús eigen SIEM te meitsjen en ús eigen kontrôlepaniel te kiezen.
Mar wy tinke dat it wichtich is om ELK SIEM earst te ferkennen.
1.1- Seksje foar host-eveneminten
Wy sille earst de hostseksje besjen. De host-seksje lit jo de eveneminten sjen dy't wurde generearre op it einpunt sels.
Nei it klikken op werjefte hosts moatte jo sa'n ding krije. Sa't jo sjen kinne, binne d'r trije hosts ferbûn mei dizze kompjûter:
1 Windows 10.
2 Ubuntu-tsjinner 18.04.
Wy hawwe ferskate fisualisaasjes werjûn, elk fertsjintwurdiget ferskate soarten eveneminten.
Bygelyks, de iene yn 'e midden toant oanmeldgegevens op alle trije masines.
Dizze hoemannichte gegevens dy't jo hjir sjogge is sammele oer fiif dagen. Dit ferklearret it grutte oantal mislearre en suksesfolle oanmeldingen. Jo sille wierskynlik in lyts oantal logs hawwe, dus meitsje jo gjin soargen
1.2- Seksje foar netwurkeveneminten
Trochgean nei it netwurk seksje, moatte jo sa'n ding krije. Dizze seksje lit jo alles yn 'e gaten hâlde wat op jo netwurk bart, fan HTTP / TLS-ferkear oant DNS-ferkear en warskôgings foar eksterne eveneminten.
2- Standert dashboards
Om it libben makliker te meitsjen foar brûkers, hawwe elastic.co-ûntwikkelders in standert arkbalke makke dy't offisjeel stipe wurdt troch ELK. Us beats wiene gjin útsûndering op dizze regel. Hjir sil ik de standert dashboards fan Packetbeat as foarbyld brûke.
As jo stap twa fan it artikel korrekt hawwe folge. Jo moatte in arkbalke ynsteld hawwe dy't op jo wachtet. Dus litte wy begjinne.
Selektearje it dashboardsymboal fan 'e linker ljepper fan Kibana. Dit is de tredde, as jo fan boppen rekkenje.
Fier de oandielnamme yn yn 'e sykbalke
As der ferskate modules yn it bytsje. Foar elk fan harren sil in kontrôlepaniel makke wurde. Mar allinnich de iene mei de module aktyf sil werjaan net-lege gegevens.
Selektearje de iene mei jo modulenamme.
Dit is de wichtichste sjabloan PacketBeat.
Dit is it kontrôlepaniel foar netwurkstream. It sil ús fertelle oer it ynkommende en útgeande pakket, de boarnen en bestimmingen fan IP-adressen, en leveret ek in protte nuttige ynformaasje foar in analist fan in feiligenssintrum.
3 - Jo earste dashboards oanmeitsje
3–1- Basisbegripen
A- Soarten dashboards:
Dit binne de ferskate soarten fisualisaasjes dy't jo kinne brûke om jo gegevens te visualisearjen.
wy hawwe bygelyks:
- staafgrafyk
- map
- Markdown widget
- Sirkeldiagram
B- KQL (Kibana Query Language):
Dit is de taal dy't brûkt wurdt yn Kibana foar maklik sykjen fan gegevens. It lit jo kontrolearje oft bepaalde gegevens bestean en in protte oare nuttige funksjes. Om mear te finen, kinne jo de ynformaasje ferkenne op dizze keppeling
Dit is in foarbyldfraach om in host te finen dy't rint Windows 10 pro.
C- Filters:
Dizze funksje sil tastean jo te filterjen bepaalde parameters lykas hostnamme, evenemint koade of ID, ensfh Filters sille gâns ferbetterje de ûndersyk faze yn termen fan tiid en muoite bestege oan it sykjen nei bewiis.
D- Earste fisualisaasje:
Litte wy in fisualisaasje meitsje foar MITER ATT & CK.
Earst moatte wy nei Dashboard → Meitsje nij dashboard → meitsje nij → Pie dashboard
Stel it type yn foar it yndekspatroan, tikje dan op de namme fan jo beat.
Druk op Enter. No moatte jo in griene donut sjen.
Yn it ljepblêd Buckets links fine jo:
- Splitse plakjes sille de donut ferdiele yn ferskate dielen ôfhinklik fan 'e fersprieding fan' e gegevens.
- Split Chart sil in oare donut oanmeitsje neist dizze.
Wy sille spjalte plakjes brûke.
Wy sille ús gegevens fisualisearje ôfhinklik fan 'e term dy't wy kieze. Yn dit gefal sil de term ferwize nei MITER ATT & CK.
Yn Winlogbeat hjit it fjild dat ús dizze ynformaasje sil leverje:
winlog.event_data.RuleNameWy sille in tellemetrik ynstelle om eveneminten te bestellen op basis fan it oantal kearen dat se foarkomme.
Aktivearje de funksje "Oare wearden groepearje yn in apart segmint".
Dit sil handich wêze as de termen dy't jo kieze in protte ferskillende betsjuttingen hawwe basearre op ritme. Dit helpt om de rest fan 'e gegevens as gehiel te visualisearjen. Dit sil jo in idee jaan fan it persintaazje oerbleaune eveneminten.
No't wy klear binne mei it ynstellen fan it ljepblêd gegevens, litte wy trochgean nei it ljepblêd opsjes
Jo moatte it folgjende dwaan:
** Ferwiderje de donutfoarm sadat de werjefte in folsleine sirkel toant.
** Kies de legindeposysje dy't jo leuk fine. Yn dit gefal sille wy se rjochts werjaan.
** Stel werjeftewearden yn om neist har snippet te sjen foar makliker lêzen en lit de rest as standert
Truncation bepaalt hoefolle jo wolle werjaan fan it evenemint namme.
Stel de tiid yn wêrop jo wolle dat de werjefte begjint, en klik dan op it blauwe plein.
Jo moatte einigje mei sa'n ding:
Jo kinne ek in filter tafoegje oan jo fisualisaasje om de spesifike host út te filterjen dy't jo wolle kontrolearje of alle parameters dy't jo tinke dat se nuttich binne foar jo doel. De fisualisaasje sil allinich gegevens werjaan dy't oerienkomme mei de regel pleatst yn it filter. Yn dit gefal sille wy allinich MITER ATT&CK-gegevens werjaan dy't komme fan 'e host mei de namme win10.
3-2- Jo earste dashboard oanmeitsje:
In dashboard is in samling fan in protte fisualisaasjes. Jo dashboards moatte dúdlik, begryplik wêze en nuttige, deterministyske gegevens befetsje. Hjir is in foarbyld fan 'e dashboards dy't wy fanôf it begjin makke hawwe foar winlogbeat.
Tankewol foar jo tiid. Ik hoopje dat jo dit artikel nuttich fûn hawwe. As jo mear ynformaasje oer it ûnderwerp wolle, riede wy oan dat jo besykje .
Telegram petear op Elasticsearch:
Boarne: www.habr.com