ELK SIEM engadiuse recentemente á pila de alces na versión 7.2 o 25 de xuño de 2019.
Esta é unha solución SIEM creada por elastic.co para facer a vida dun analista de seguridade moito máis fácil e menos tediosa.
Na nosa versión do traballo, decidimos crear o noso propio SIEM e escoller o noso propio panel de control.
Pero pensamos que é importante explorar primeiro ELK SIEM.
1.1- Sección de organizar eventos
Primeiro veremos a sección de host. A sección de host permitirache ver os eventos que se xeran no propio punto final.
Despois de facer clic en ver hosts, deberías obter algo así. Como podes ver, hai tres hosts conectados a este ordenador:
1 Windows 10.
2 Ubuntu Server 18.04.
Mostramos varias visualizacións, cada unha representando diferentes tipos de eventos.
Por exemplo, o do medio mostra os datos de inicio de sesión nas tres máquinas.
Esta cantidade de datos que ves aquí recompilouse durante cinco días. Isto explica o gran número de inicios de sesión errados e exitosos. Probablemente terás un pequeno número de rexistros, así que non te preocupes
1.2- Sección de eventos da rede
Pasando á sección de rede, deberías obter algo así. Esta sección permitirache estar atento a todo o que acontece na túa rede, desde o tráfico HTTP/TLS ata o tráfico DNS e as alertas de eventos externos.
2- Paneis predeterminados
Para facilitarlles a vida aos usuarios, os desenvolvedores de elastic.co crearon unha barra de ferramentas predeterminada admitida oficialmente por ELK. Os nosos ritmos non foron unha excepción a esta regra. Aquí usarei os paneis predeterminados de Packetbeat como exemplo.
Se seguiches o paso dous do artigo correctamente. Deberías ter unha barra de ferramentas configurada agardando por ti. Entón, imos comezar.
Na pestana esquerda de Kibana, selecciona o símbolo do panel. Este é o terceiro, se contas dende arriba.
Introduza o nome do recurso compartido na pestana de busca
Se hai varios módulos no bit. Crearase un panel de control para cada un deles. Pero só o que teña o módulo activo mostrará datos non baleiros.
Seleccione o que teña o nome do módulo.
Este é o modelo principal PacketBeat.
Este é o panel de control de fluxo de rede. Informaranos sobre o paquete entrante e saínte, as fontes e destinos dos enderezos IP e tamén ofrece moita información útil para un analista do centro de seguridade.
3 — Creando os teus primeiros paneis
3–1- Conceptos básicos
A- Tipos de paneis:
Estes son os diferentes tipos de visualizacións que pode usar para visualizar os seus datos.
por exemplo temos:
gráfico de barras
mapa
Widget de Markdown
Gráfico circular
B- KQL (Linguaxe de consulta Kibana):
Este é o idioma que se usa en Kibana para a busca fácil de datos. Permítelle comprobar se existen certos datos e moitas outras funcións útiles. Para saber máis, podes consultar a información nesta ligazón
Esta é unha consulta de exemplo para atopar un host con Windows 10 Pro.
C- Filtros:
Esta función permitirache filtrar certos parámetros como o nome de host, o código do evento ou o ID, etc. Os filtros mellorarán moito a fase de investigación en canto ao tempo e esforzo dedicado á procura de probas.
D- Primeira visualización:
Imos crear unha visualización para MITRE ATT & CK.
Primeiro temos que ir Panel → Crear un novo panel → crear un novo → Panel de control
Establece o tipo para o patrón de índice e, a continuación, toca o nome do teu ritmo.
Preme Intro. A estas alturas xa deberías ver unha rosca verde.
Na pestana Cubos da esquerda atoparás:
— As franxas divididas dividirán a rosca en diferentes partes dependendo da distribución dos datos.
- Split Chart creará outra rosquilla xunto a esta.
Usaremos franxas divididas.
Visualizaremos os nosos datos dependendo do termo que elixamos. Neste caso, o termo referirase a MITRE ATT & CK.
En Winlogbeat, o campo que nos proporcionará esta información chámase:
winlog.event_data.RuleName
Configuraremos unha métrica de reconto para ordenar eventos en función do número de veces que ocorren.
Activa a función "Agrupar outros valores nun segmento separado".
Isto será útil se os termos que escollas teñen moitos significados diferentes en función do ritmo. Isto axuda a visualizar o resto dos datos no seu conxunto. Isto darache unha idea da porcentaxe de eventos restantes.
Agora que rematamos de configurar a pestana de datos, pasemos á pestana de opcións
Debes facer o seguinte:
**Elimina a forma de rosca para que a representación mostre un círculo completo.
**Escolle a posición da lenda que che guste. Neste caso, mostrarémolos á dereita.
**Establece os valores de visualización para mostrar xunto ao seu fragmento para facilitar a lectura e deixa o resto como predeterminado
O truncamento determina canto quere mostrar a partir do nome do evento.
Establece a hora na que queres que comece a renderización e fai clic no cadrado azul.
Deberías acabar con algo así:
Tamén podes engadir un filtro á túa visualización para filtrar o host específico que queres comprobar ou calquera parámetro que creas útil para o teu propósito. A visualización só mostrará os datos que coincidan coa regra colocada no filtro. Neste caso, só mostraremos os datos MITRE ATT&CK procedentes do host chamado win10.
3-2- Creando o teu primeiro panel:
Un panel é unha colección de moitas visualizacións. Os teus paneis deben ser claros, comprensibles e conter datos útiles e deterministas. Aquí tes un exemplo dos paneis que creamos desde cero para winlogbeat.
Grazas polo teu tempo. Espero que este artigo che resulte útil. Se queres máis información sobre o tema, recomendámosche que visites web oficial.