🥇ईएलके सिएम ओपन डिस्ट्रो: ईएलके में ईएलके और सिएम डैशबोर्ड का विज़ुअलाइज़ेशन

यह पोस्ट ईएलके में ईएलके और एसआईईएम डैशबोर्ड के विज़ुअलाइज़ेशन की स्थापना का वर्णन करेगी
लेख निम्नलिखित अनुभागों में विभाजित है:

1- एल्क सिएम समीक्षा
2- डिफ़ॉल्ट डैशबोर्ड
3- अपना पहला डैशबोर्ड बनाना

सभी पोस्ट की सामग्री तालिका.

परिचय। एक सेवा के रूप में एसओसी के लिए बुनियादी ढांचे और प्रौद्योगिकियों की तैनाती (एसओसीएएसएस)
ईएलके स्टैक - स्थापना और कॉन्फ़िगरेशन
खुले डिस्ट्रो में टहलें
डैशबोर्ड और ईएलके सिएम का विज़ुअलाइज़ेशन
WAZUH के साथ एकीकरण
सूचना देने वाले
रिपोर्टिंग
मामला प्रबंधन

1-ईएलके सिएम समीक्षा

ELK SIEM को हाल ही में 7.2 जून, 25 को संस्करण 2019 में एल्क स्टैक में जोड़ा गया था।

यह एक सुरक्षा विश्लेषक के जीवन को अधिक आसान और कम कठिन बनाने के लिए इलास्टिक.को द्वारा बनाया गया एक एसआईईएम समाधान है।

कार्य के हमारे संस्करण में, हमने अपना स्वयं का सिएम बनाने और अपना स्वयं का नियंत्रण कक्ष चुनने का निर्णय लिया।

लेकिन हमारा मानना है कि पहले ईएलके सिएम का पता लगाना महत्वपूर्ण है।

1.1- मेजबान कार्यक्रम अनुभाग

हम पहले मेज़बान अनुभाग को देखेंगे। होस्ट अनुभाग आपको उन घटनाओं को देखने की अनुमति देगा जो समापन बिंदु पर ही उत्पन्न होती हैं।

व्यू होस्ट्स पर क्लिक करने के बाद आपको कुछ इस तरह मिलना चाहिए। जैसा कि आप देख सकते हैं, इस कंप्यूटर से तीन होस्ट जुड़े हुए हैं:

1 विंडोज 10।

2 उबंटू सर्वर 18.04।

हमारे पास कई विज़ुअलाइज़ेशन प्रदर्शित हैं, जिनमें से प्रत्येक विभिन्न प्रकार की घटनाओं का प्रतिनिधित्व करता है।

उदाहरण के लिए, बीच वाला तीनों मशीनों पर लॉगिन डेटा दिखाता है।

यहां आप जो डेटा देख रहे हैं वह पांच दिनों में एकत्र किया गया था। यह बड़ी संख्या में विफल और सफल लॉगिन की व्याख्या करता है। आपके पास संभवतः कम संख्या में लॉग होंगे, इसलिए चिंता न करें

1.2- नेटवर्क इवेंट अनुभाग

नेटवर्क अनुभाग पर आगे बढ़ते हुए, आपको कुछ इस तरह मिलना चाहिए। यह अनुभाग आपको HTTP/TLS ट्रैफ़िक से लेकर DNS ट्रैफ़िक और बाहरी ईवेंट अलर्ट तक, आपके नेटवर्क पर होने वाली हर चीज़ पर कड़ी नज़र रखने की अनुमति देगा।

2- डिफ़ॉल्ट डैशबोर्ड

उपयोगकर्ताओं के जीवन को आसान बनाने के लिए,astic.co डेवलपर्स ने आधिकारिक तौर पर ELK द्वारा समर्थित एक डिफ़ॉल्ट टूलबार बनाया है। हमारी धड़कनें इस नियम की अपवाद नहीं थीं। यहां मैं उदाहरण के तौर पर पैकेटबीट के डिफ़ॉल्ट डैशबोर्ड का उपयोग करूंगा।

यदि आपने लेख के चरण दो का सही ढंग से पालन किया है। आपके पास एक टूलबार सेटअप होना चाहिए जो आपका इंतजार कर रहा हो। तो चलो शुरू हो जाओ।

किबाना के बाएं टैब से, डैशबोर्ड प्रतीक का चयन करें। यदि आप ऊपर से गिनती करें तो यह तीसरा है।

खोज टैब में शेयर नाम दर्ज करें

यदि बिट में कई मॉड्यूल हैं। उनमें से प्रत्येक के लिए एक नियंत्रण कक्ष बनाया जाएगा. लेकिन केवल सक्रिय मॉड्यूल वाला ही गैर-रिक्त डेटा प्रदर्शित करेगा।

अपने मॉड्यूल नाम वाला एक चुनें.

यह मुख्य टेम्पलेट है पैकेटबीट.

यह नेटवर्क प्रवाह नियंत्रण कक्ष है. यह हमें इनकमिंग और आउटगोइंग पैकेट, आईपी पते के स्रोतों और गंतव्यों के बारे में बताएगा, और एक सुरक्षा केंद्र विश्लेषक के लिए बहुत उपयोगी जानकारी भी प्रदान करता है।

3 - अपना पहला डैशबोर्ड बनाना

3-1- बुनियादी अवधारणाएँ

A- डैशबोर्ड के प्रकार:

ये विभिन्न प्रकार के विज़ुअलाइज़ेशन हैं जिनका उपयोग आप अपने डेटा को विज़ुअलाइज़ करने के लिए कर सकते हैं।

उदाहरण के लिए हमारे पास है:

बार चार्ट
नक्शा
मार्कडाउन विजेट
पाई चार्ट

बी- केक्यूएल (किबाना क्वेरी भाषा):

डेटा की आसान खोज के लिए किबाना में इस भाषा का उपयोग किया जाता है। यह आपको यह जाँचने की अनुमति देता है कि क्या कुछ डेटा मौजूद है और कई अन्य उपयोगी सुविधाएँ हैं। अधिक जानने के लिए, आप इस लिंक पर जानकारी देख सकते हैं

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

यह विंडोज़ 10 प्रो चलाने वाले होस्ट को खोजने के लिए एक उदाहरण क्वेरी है।

सी- फिल्टर:

यह सुविधा आपको कुछ मापदंडों जैसे होस्टनाम, ईवेंट कोड या आईडी आदि को फ़िल्टर करने की अनुमति देगी। फ़िल्टर साक्ष्य की खोज में लगने वाले समय और प्रयास के संदर्भ में जांच चरण में काफी सुधार करेंगे।

डी- पहला दृश्य:

आइए MITER ATT & CK के लिए एक विज़ुअलाइज़ेशन बनाएं।

सबसे पहले हमें जाना होगा डैशबोर्ड → नया डैशबोर्ड बनाएं → नया बनाएं → पाई डैशबोर्ड

इंडेक्स पैटर्न के लिए प्रकार सेट करें, फिर अपने बीट के नाम पर टैप करें।

एंट्रर दबाये। अब तक आपको हरा डोनट देखना चाहिए।

बाईं ओर बकेट टैब में आप पाएंगे:

- स्प्लिट स्लाइस डेटा के प्रसार के आधार पर डोनट को अलग-अलग हिस्सों में विभाजित करेगा।

- स्प्लिट चार्ट इसके बगल में एक और डोनट बनाएगा।

हम विभाजित स्लाइस का उपयोग करेंगे.

हम अपने द्वारा चुने गए शब्द के आधार पर अपने डेटा की कल्पना करेंगे। इस मामले में यह शब्द MITER ATT & CK को संदर्भित करेगा।

विनलॉगबीट में, वह फ़ील्ड जो हमें यह जानकारी प्रदान करेगी, कहलाती है:

winlog.event_data.RuleName

हम घटनाओं को उनके घटित होने की संख्या के आधार पर क्रमबद्ध करने के लिए एक गणना मीट्रिक स्थापित करेंगे।

"अन्य मानों को एक अलग खंड में समूहित करें" सुविधा सक्षम करें।

यह उपयोगी होगा यदि आपके द्वारा चुने गए शब्दों में लय के आधार पर कई अलग-अलग अर्थ हों। इससे बाकी डेटा को समग्र रूप से देखने में मदद मिलती है। इससे आपको शेष घटनाओं के प्रतिशत का अंदाजा मिल जाएगा।

अब जब हमने डेटा टैब सेट करना पूरा कर लिया है, तो विकल्प टैब पर चलते हैं

आपको निम्नलिखित कार्य करना होगा:

** डोनट आकार को हटा दें ताकि प्रतिपादन एक पूर्ण चक्र दिखाए।

**अपनी पसंद की लेजेंड पोजीशन चुनें। इस मामले में, हम उन्हें दाईं ओर प्रदर्शित करेंगे।

** आसानी से पढ़ने के लिए उनके स्निपेट के आगे दिखाने के लिए डिस्प्ले मान सेट करें और बाकी को डिफ़ॉल्ट के रूप में छोड़ दें

ट्रंकेशन यह निर्धारित करता है कि आप ईवेंट नाम से कितना प्रदर्शित करना चाहते हैं।

वह समय निर्धारित करें जिस पर आप रेंडरिंग शुरू करना चाहते हैं, और फिर नीले वर्ग पर क्लिक करें।

आपको कुछ इस तरह समाप्त करना चाहिए:

आप जिस विशिष्ट होस्ट की जांच करना चाहते हैं या आपके विचार से आपके उद्देश्य के लिए उपयोगी कोई भी पैरामीटर है, उसे फ़िल्टर करने के लिए आप अपने विज़ुअलाइज़ेशन में एक फ़िल्टर भी जोड़ सकते हैं। विज़ुअलाइज़ेशन केवल वही डेटा प्रदर्शित करेगा जो फ़िल्टर में रखे गए नियम से मेल खाता है। इस मामले में, हम केवल win10 नामक होस्ट से आने वाला MITER ATT&CK डेटा प्रदर्शित करेंगे।

3-2- अपना पहला डैशबोर्ड बनाना:

डैशबोर्ड कई विज़ुअलाइज़ेशन का एक संग्रह है. आपके डैशबोर्ड स्पष्ट, समझने योग्य होने चाहिए और उनमें उपयोगी, नियतात्मक डेटा होना चाहिए। यहां उन डैशबोर्ड का एक उदाहरण दिया गया है जिन्हें हमने विनलॉगबीट के लिए शुरुआत से बनाया है।

अपना समय देने के लिए धन्यवाद। मुझे आशा है कि आपको यह लेख उपयोगी लगा होगा। यदि आप विषय पर अधिक जानकारी चाहते हैं, तो हम आपको यहां आने की सलाह देते हैं सरकारी वेबसाइट.

Elasticsearch पर टेलीग्राम चैट: https://t.me/elasticsearch_ru

स्रोत: www.habr.com

ईएलके सिएम ओपन डिस्ट्रो: ईएलके में ईएलके और सिएम डैशबोर्ड का विज़ुअलाइज़ेशन