Bidh an dreuchd seo a’ toirt cunntas air a bhith a’ stèidheachadh sealladh de chlàran-deasachaidh ELK agus SIEM ann an ELK
Tha an artaigil air a roinn anns na roinnean a leanas:
1- Lèirmheas ELK SIEM
2- Deas-bhòrd bunaiteach
3- A’ cruthachadh a’ chiad deas-bhòrd agad
Clàr-innse a h-uile post.
- Amalachadh le WAZUH
- A' rabhadh
- Ag aithris
- Stiùireadh cùise
Lèirmheas 1-ELK SIEM
Chaidh ELK SIEM a chuir ris a’ chruach elk o chionn ghoirid ann an dreach 7.2 air 25 Ògmhios, 2019.
Is e fuasgladh SIEM a tha seo a chaidh a chruthachadh le elastic.co gus beatha sgrùdaiche tèarainteachd a dhèanamh gu math nas fhasa agus nas tedious.
Anns an dreach againn den obair, chuir sinn romhainn ar SIEM fhèin a chruthachadh agus ar pannal smachd fhèin a thaghadh.
Ach tha sinn den bheachd gu bheil e cudromach sgrùdadh a dhèanamh air ELK SIEM an toiseach.
1.1- Thoir aoigheachd do roinn thachartasan
Bheir sinn sùil air an roinn aoigheachd an toiseach. Leigidh an roinn aoigheachd dhut na tachartasan a thèid a chruthachadh aig a’ cheann-uidhe fhèin fhaicinn.
Às deidh dhut briogadh air luchd-aoigheachd seallaidh bu chòir dhut rudeigin mar seo fhaighinn. Mar a chì thu, tha trì aoighean ceangailte ris a’ choimpiutair seo:
1 Windows 10.
2 Ubuntu Server 18.04.
Tha grunn dhealbhan againn air an taisbeanadh, gach fear a’ riochdachadh diofar sheòrsaichean de thachartasan.
Mar eisimpleir, tha am fear sa mheadhan a’ sealltainn dàta logadh a-steach air na trì innealan.
Chaidh an àireamh seo de dhàta a chì thu an seo a chruinneachadh thairis air còig latha. Tha seo a’ mìneachadh an àireamh mhòr de logaichean a dh’ fhàillig agus soirbheachail. Is dòcha gum bi àireamh bheag de logaichean agad, mar sin na gabh dragh
1.2- Earrann tachartasan lìonraidh
A 'gluasad air adhart gu roinn an lìonraidh, bu chòir dhut rudeigin mar seo fhaighinn. Leigidh an earrann seo leat sùil gheur a chumail air a h-uile càil a thachras air an lìonra agad, bho thrafaig HTTP/TLS gu trafaic DNS agus rabhaidhean tachartais a-muigh.
2- Deas-bhòrd bunaiteach
Gus beatha a dhèanamh nas fhasa do luchd-cleachdaidh, tha luchd-leasachaidh elastic.co air bàr inneal bunaiteach a chruthachadh le taic oifigeil bho ELK. Cha robh na buillean againn mar eisgeachd don riaghailt seo. An seo cleachdaidh mi na clàran-deasachaidh bunaiteach aig Packetbeat mar eisimpleir.
Ma lean thu ceum a dhà den artaigil gu ceart. Bu chòir dhut bàr-inneal a chuir air dòigh a’ feitheamh riut. Mar sin leig leinn tòiseachadh.
Bho taba clì Kibana, tagh samhla an deas-bhòrd. Is e seo an treas fear, ma tha thu a’ cunntadh bhon mhullach.
Cuir a-steach an t-ainm co-roinn anns an taba sgrùdaidh
Ma tha grunn mhodalan anns a 'bhid. Thèid pannal smachd a chruthachadh airson gach fear dhiubh. Ach is e dìreach am fear leis a’ mhodal gnìomhach a sheallas dàta neo-falamh.
Tagh am fear le ainm a’ mhodal agad.
Is e seo am prìomh theamplaid PacaidBeat.
Is e seo am pannal smachd sruthadh lìonra. Innsidh e dhuinn mun phasgan a tha a’ tighinn a-steach agus a-mach, stòran agus cinn-uidhe seòlaidhean IP, agus bidh e cuideachd a’ toirt seachad tòrr fiosrachaidh feumail airson sgrùdaiche ionad tèarainteachd.
3 - A’ cruthachadh a’ chiad chlàran-deasachaidh agad
3–1- Bun-bheachdan
A- Seòrsan deas-bhòrd:
Is iad seo na diofar sheòrsaichean de dhealbhan as urrainn dhut a chleachdadh gus an dàta agad fhaicinn.
mar eisimpleir tha againn:
- graf bàr
- map
- Widget markdown
- Clàr-cearcaill
B- KQL (Cànan Ceist Kibana):
Is e seo an cànan a thathas a’ cleachdadh ann an Kibana airson lorg dàta gu furasta. Leigidh e leat dearbhadh a bheil dàta sònraichte ann agus mòran fheartan feumail eile. Gus tuilleadh fhaighinn a-mach, faodaidh tu am fiosrachadh a sgrùdadh aig a’ cheangal seo
Is e seo eisimpleir de cheist gus aoigheachd a lorg a ’ruith Windows 10 pro.
C- sìoltachain:
Leigidh am feart seo leat crìochan sònraichte a shìoladh leithid ainm aoigheachd, còd tachartais no ID, msaa. Leasaichidh sìoltachain gu mòr an ìre sgrùdaidh a thaobh ùine agus oidhirp a thèid a chaitheamh a’ lorg fianais.
D- A’ chiad sealladh:
Nach cruthaich sinn fradharc airson MITER ATT & CK.
An toiseach feumaidh sinn a dhol gu Deas-bhòrd → Cruthaich deas-bhòrd ùr → cruthaich deas-bhòrd → Pie ùr
Suidhich an seòrsa airson a’ phàtran clàr-amais, agus an uairsin thoir gnogag air ainm do bhuille.
Brùth Enter. Roimhe seo bu chòir dhut donut uaine fhaicinn.
Anns an taba Buckets air an taobh chlì gheibh thu:
- Roinnidh sliseagan roinnte an donut gu diofar phàirtean a rèir sgaoileadh an dàta.
- Cruthaichidh Cairt Split donut eile ri taobh an tè seo.
Cleachdaidh sinn sliseagan sgoltadh.
Seallaidh sinn an dàta againn a rèir an teirm a thaghas sinn. Anns a 'chùis seo bidh an teirm a' toirt iomradh air MITER ATT & CK.
Ann an Winlogbeat, canar an raon a bheir dhuinn am fiosrachadh seo dhuinn:
winlog.event_data.RuleNameStèidhichidh sinn meatrach cunntais gus tachartasan òrdachadh stèidhichte air an àireamh de thursan a thachras iad.
Dèan comas air feart “Buidheann luachan eile ann an roinn air leth”.
Bidh seo feumail ma tha iomadh ciall eadar-dhealaichte aig na teirmean a thaghas tu stèidhichte air ruitheam. Cuidichidh seo le bhith a’ faicinn a’ chòrr den dàta gu h-iomlan. Bheir seo beachd dhut air an àireamh sa cheud de thachartasan a tha air fhàgail.
A-nis gu bheil sinn deiseil a’ stèidheachadh an taba dàta, gluaisidh sinn air adhart chun taba roghainnean
Feumaidh tu na leanas a dhèanamh:
** Thoir air falbh an cruth donut gus am bi an riochdachadh a’ sealltainn cearcall slàn.
** Tagh an suidheachadh uirsgeulach as toil leat. Anns a 'chùis seo, bidh sinn gan taisbeanadh air an làimh dheis.
** Suidhich luachan taisbeanaidh gus an sealltainn ri taobh a’ chriomag aca airson leughadh nas fhasa agus fàg an còrr mar an àbhaist
Bidh truncation a’ dearbhadh dè an ìre a tha thu airson a thaisbeanadh bho ainm an tachartais.
Suidhich an ùine aig a bheil thu airson gun tòisich an riochdachadh, agus an uairsin cliog air a’ cheàrnag ghorm.
Bu chòir dhut rudeigin mar seo a chrìochnachadh:
Faodaidh tu cuideachd criathrag a chuir ris an t-sealladh agad gus an aoigh sònraichte a tha thu airson sgrùdadh a shìoladh a-mach no paramadairean sam bith a tha thu a’ smaoineachadh a tha feumail airson do adhbhar. Cha seall an t-sealladh ach dàta a tha a rèir an riaghailt a chaidh a chuir sa chriathrag. Anns a’ chùis seo, cha bhith sinn a’ taisbeanadh ach dàta MITER ATT&CK a’ tighinn bhon aoigh ainmichte win10.
3-2- A’ cruthachadh a’ chiad deas-bhòrd agad:
Tha deas-bhòrd na chruinneachadh de dh’ iomadh sealladh. Bu chòir do chlàran-deasachaidh a bhith soilleir, so-thuigsinn, agus dàta feumail, cinntiche a bhith ann. Seo eisimpleir de na clàran-dannsa a chruthaich sinn bhon fhìor thoiseach airson winlogbeat.
Tapadh leibh airson an ùine agad. Tha mi an dòchas gun d'fhuair thu feum air an artaigil seo. Ma tha thu ag iarraidh barrachd fiosrachaidh mun chuspair, tha sinn a’ moladh gun tadhail thu .
Còmhradh teileagram air Elasticsearch:
Source: www.habr.com