Déanfaidh an post seo cur síos ar bhunú léirshamhlú na ndeaiseanna ELK agus SIEM in ELK
Tá an t-alt roinnte sna hailt seo a leanas:
1- Athbhreithniú ELK SIEM
2 - Deais réamhshocraithe
3- Ag cruthú do chéad dashboards
Clár ábhar na bpostálacha go léir.
- Comhtháthú le WAZUH
- Ag airdeall
- Tuairisciú
- Cásbhainistíochta
Athbhreithniú 1-ELK SIEM
Cuireadh ELK SIEM leis an stoc eilc i leagan 7.2 le déanaí ar 25 Meitheamh, 2019.
Is réiteach SIEM é seo cruthaithe ag elastic.co chun saol anailísí slándála a dhéanamh i bhfad níos éasca agus níos lú tedious.
Inár leagan den obair, shocraigh muid ár SIEM féin a chruthú agus ár bpainéal rialaithe féin a roghnú.
Ach is dóigh linn go bhfuil sé tábhachtach iniúchadh a dhéanamh ar ELK SIEM ar dtús.
1.1- Rannóg imeachtaí óstaigh
Breathnóimid ar an rannóg óstaigh ar dtús. Tabharfaidh an rannóg óstach deis duit na himeachtaí a ghintear ag an gcríochphointe féin a fheiceáil.
Tar éis duit cliceáil ar hóstach radhairc ba cheart duit rud éigin mar seo a fháil. Mar a fheiceann tú, tá trí óstach ceangailte leis an ríomhaire seo:
1 Windows 10.
2 Freastalaí Ubuntu 18.04.
Tá roinnt léirshamhlú léirithe againn, gach ceann acu ag léiriú cineálacha éagsúla imeachtaí.
Mar shampla, taispeánann an ceann sa lár sonraí logáil isteach ar na trí mheaisín.
Bailíodh an méid sonraí seo a fheiceann tú anseo thar cúig lá. Míníonn sé seo an líon mór logáil isteach ar theip orthu agus ar éirigh leo. Is dócha go mbeidh líon beag logs agat, mar sin ná bíodh imní ort
1.2- Rannóg imeachtaí líonra
Ag bogadh ar aghaidh go dtí an rannóg líonra, ba cheart duit rud éigin mar seo a fháil. Tabharfaidh an chuid seo deis duit súil ghéar a choinneáil ar gach rud a tharlaíonn ar do líonra, ó thrácht HTTP/TLS go trácht DNS agus foláirimh imeachtaí seachtracha.
2 - Deais réamhshocraithe
Chun an saol a dhéanamh níos éasca d'úsáideoirí, chruthaigh forbróirí elastic.co barra uirlisí réamhshocraithe le tacaíocht oifigiúil ELK. Ní haon eisceacht don riail seo ár buillí. Anseo úsáidfidh mé daais réamhshocraithe Packetbeat mar shampla.
Má lean tú céim a dó den alt i gceart. Ba chóir go mbeadh barra uirlisí socraithe agat ag fanacht leat. Mar sin a ligean ar tús a chur leis.
Ón chluaisín clé de Kibana, roghnaigh siombail an deais. Is é seo an tríú ceann, má chomhaireamh tú ón mbarr.
Cuir isteach an t-ainm scaire sa chluaisín cuardaigh
Má tá roinnt modúil sa ghiotán. Cruthófar painéal rialaithe do gach ceann acu. Ach ní thaispeánfaidh ach an ceann a bhfuil an modúl gníomhach aige sonraí neamhfholamh.
Roghnaigh an ceann a bhfuil ainm do mhodúil air.
Is é seo an príomh-theimpléad PaicéadBeat.
Is é seo an painéal rialaithe sreabhadh líonra. Inseoidh sé dúinn faoin bpaicéad isteach agus amach, foinsí agus cinn scríbe seoltaí IP, agus soláthraíonn sé go leor faisnéise úsáideach freisin d'anailísí ionad slándála.
3 - Ag cruthú do chéad dashboards
3–1- Bunchoincheapa
A- Cineálacha deais:
Is iad seo na cineálacha éagsúla léirshamhlú is féidir leat a úsáid chun do shonraí a léirshamhlú.
mar shampla tá:
- barraghraf
- léarscáil
- Giuirléid Markdown
- Píchairt
B- KQL (Teanga Iarratas Kibana):
Is í seo an teanga a úsáidtear i Kibana chun sonraí a chuardach go héasca. Ligeann sé duit seiceáil an bhfuil sonraí áirithe ann agus go leor gnéithe úsáideacha eile. Chun tuilleadh a fháil amach, is féidir leat an fhaisnéis a iniúchadh ag an nasc seo
Seo ceist shamplach chun óstach a rith ag rith Windows 10 pro a aimsiú.
C- Scagairí:
Ligfidh an ghné seo duit paraiméadair áirithe a scagadh mar óstainm, cód imeachta nó ID, etc. Feabhsóidh na scagairí an chéim imscrúdaithe go mór i dtéarmaí ama agus iarrachta a chaitear ag cuardach fianaise.
D- An chéad léirshamhlú:
Cruthaímid léirshamhlú le haghaidh MITER ATT & CK.
Ar dtús caithfimid dul go dtí Painéal na nIonstraimí → Cruthaigh deais nua → cruthaigh nua → Painéal na nIonstraimí
Socraigh an cineál don phatrún innéacs, ansin tapáil ainm do bhuille.
Brúigh Iontráil. Faoin am seo ba chóir duit donut glas a fheiceáil.
Sa chluaisín Buicéad ar thaobh na láimhe clé gheobhaidh tú:
— Roinnfidh slisní scoilte an donut ina gcodanna éagsúla ag brath ar scaipeadh na sonraí.
- Cruthóidh Cairt Scoilte donut eile in aice leis an gceann seo.
Bainfimid úsáid as slisní scoilte.
Déanfaimid ár sonraí a shamhlú ag brath ar an téarma a roghnaíonn muid. Sa chás seo tagróidh an téarma do MITER ATT & CK.
In Winlogbeat, tugtar an réimse seo a leanas ar an réimse a sholáthróidh an fhaisnéis seo dúinn:
winlog.event_data.RuleNameSocróimid méadrach comhairimh chun imeachtaí a ordú bunaithe ar an líon uaireanta a tharlaíonn siad.
Cumasaigh an ghné “Grúpa luachanna eile i ndeighleog ar leith”.
Beidh sé seo úsáideach má tá go leor bríonna éagsúla ag na téarmaí a roghnaíonn tú bunaithe ar rithim. Cuidíonn sé seo leis an gcuid eile de na sonraí ina n-iomláine a shamhlú. Tabharfaidh sé seo smaoineamh duit ar chéatadán na n-imeachtaí atá fágtha.
Anois agus an cluaisín sonraí déanta againn, bogaimis ar aghaidh go dtí an cluaisín roghanna
Caithfidh tú an méid seo a leanas a dhéanamh:
**Bain an cruth donut ionas go dtaispeánann an rindreáil ciorcal iomlán.
**Roghnaigh an suíomh finscéal is mian leat. Sa chás seo, taispeánfaimid iad ar dheis.
**Socraigh luachanna taispeána le taispeáint in aice lena mblúire le haghaidh léamh níos éasca agus fág an chuid eile mar réamhshocrú
Cinneann teascadh cé mhéad is mian leat a thaispeáint ó ainm an imeachta.
Socraigh an t-am ar mian leat an rindreáil a thosú, agus ansin cliceáil ar an gcearnóg ghorm.
Ba cheart duit deireadh a chur le rud éigin mar seo:
Is féidir leat scagaire a chur le do léirshamhlú freisin chun an t-óstach sonrach a theastaíonn uait a sheiceáil nó aon pharaiméadair a cheapann tú atá úsáideach chun críche a scagadh amach. Ní thaispeánfaidh an léirshamhlú ach sonraí a mheaitseálann an riail a chuirtear sa scagaire. Sa chás seo, ní thaispeánfaimid ach sonraí MITER ATT&CK ón óstach ainmnithe win10.
3-2- Ag cruthú do chéad deais:
Is éard is painéal ann ná bailiúchán de go leor léirshamhlú. Ba chóir go mbeadh do dheaisanna soiléir, sothuigthe, agus go mbeadh sonraí úsáideacha cinntitheacha iontu. Seo sampla de na deais a chruthaigh muid ón tús le haghaidh winlogbeat.
Go raibh maith agat as do chuid ama. Tá súil agam gur chabhraigh an t-alt seo leat. Más mian leat tuilleadh eolais a fháil ar an ábhar, molaimid duit cuairt a thabhairt .
Comhrá teileagram ar Elasticsearch:
Foinse: will.com