Ovaj post će opisati postavljanje vizualizacije ELK i SIEM nadzornih ploča u ELK-u
Članak je podijeljen u sljedeće odjeljke:
1- ELK SIEM pregled
2- Zadane nadzorne ploče
3- Stvaranje vaših prvih nadzornih ploča
Sadržaj svih postova.
- Integracija s WAZUH-om
- Uzbunjivanje
- Izvještavanje
- Upravljanje slučajevima
1-ELK SIEM pregled
ELK SIEM nedavno je dodan u elk stack u verziji 7.2 25. lipnja 2019.
Ovo je SIEM rješenje koje je stvorio elastic.co kako bi život sigurnosnog analitičara učinio mnogo lakšim i manje zamornim.
U našoj verziji rada odlučili smo izraditi vlastiti SIEM i odabrati vlastitu kontrolnu ploču.
Ali mislimo da je važno prvo istražiti ELK SIEM.
1.1- Odjeljak za događaje domaćina
Prvo ćemo pogledati dio domaćina. Odjeljak host će vam omogućiti da vidite događaje koji se generiraju na samoj krajnjoj točki.
Nakon klika na view hosts trebali biste dobiti nešto ovako. Kao što vidite, na ovo računalo su povezana tri hosta:
1 Windows 10.
2 Ubuntu poslužitelj 18.04.
Imamo nekoliko prikazanih vizualizacija, od kojih svaka predstavlja različite vrste događaja.
Na primjer, onaj u sredini prikazuje podatke za prijavu na sva tri računala.
Ova količina podataka koju vidite ovdje prikupljena je tijekom pet dana. To objašnjava velik broj neuspjelih i uspješnih prijava. Vjerojatno ćete imati mali broj dnevnika, stoga ne brinite
1.2- Odjeljak mrežnih događaja
Prelazeći na mrežni odjeljak, trebali biste dobiti nešto poput ovoga. Ovaj odjeljak omogućit će vam da pažljivo pratite sve što se događa na vašoj mreži, od HTTP/TLS prometa do DNS prometa i upozorenja o vanjskim događajima.
2- Zadane nadzorne ploče
Kako bi korisnicima olakšali život, programeri elastic.co stvorili su zadanu alatnu traku koju službeno podržava ELK. Naši ritmovi nisu bili iznimka od ovog pravila. Ovdje ću kao primjer koristiti zadane nadzorne ploče Packetbeata.
Ako ste ispravno slijedili drugi korak članka. Trebali biste imati postavljenu alatnu traku koja vas čeka. Pa krenimo.
Na lijevoj kartici Kibane odaberite simbol nadzorne ploče. Ovo je treći, ako računate odozgo.
Unesite naziv dijeljenja u karticu za pretraživanje
Ako u bitu ima više modula. Za svaku od njih izradit će se upravljačka ploča. Ali samo onaj s aktivnim modulom prikazat će neprazne podatke.
Odaberite onaj s nazivom vašeg modula.
Ovo je glavni predložak PacketBeat.
Ovo je upravljačka ploča protoka mreže. Reći će nam o dolaznim i odlaznim paketima, izvorima i odredištima IP adresa, a također će pružiti mnogo korisnih informacija za analitičare sigurnosnih centara.
3 — Stvaranje vaših prvih nadzornih ploča
3–1- Osnovni pojmovi
A- Vrste nadzornih ploča:
Ovo su različite vrste vizualizacija koje možete koristiti za vizualizaciju svojih podataka.
na primjer imamo:
- trakasti grafikon
- karta
- Markdown widget
- Kartonska pita
B- KQL (Kibana Query Language):
Ovo je jezik koji se koristi u Kibani za jednostavno pretraživanje podataka. Omogućuje vam da provjerite postoje li određeni podaci i mnoge druge korisne značajke. Kako biste saznali više, možete istražiti informacije na ovoj poveznici
Ovo je primjer upita za pronalaženje glavnog računala sa sustavom Windows 10 pro.
C- Filtri:
Ova značajka će vam omogućiti filtriranje određenih parametara kao što su naziv hosta, kod događaja ili ID, itd. Filtri će uvelike poboljšati fazu istrage u smislu vremena i truda utrošenog u traženje dokaza.
D- Prva vizualizacija:
Kreirajmo vizualizaciju za MITER ATT & CK.
Prvo moramo ići u Nadzorna ploča → Stvori novu nadzornu ploču → stvori novu → Pie nadzornu ploču
Postavite vrstu indeksnog uzorka, a zatim dodirnite naziv svog ritma.
Pritisni enter. Do sada biste trebali vidjeti zelenu krafnu.
Na kartici Kante s lijeve strane pronaći ćete:
— Podijeljene kriške podijelit će krafnu na različite dijelove ovisno o širenju podataka.
- Split Chart će stvoriti još jednu krafnu pored ove.
Koristit ćemo razdvojene kriške.
Vizualizirat ćemo svoje podatke ovisno o terminu koji odaberemo. U ovom slučaju izraz će se odnositi na MITER ATT & CK.
U Winlogbeatu, polje koje će nam dati ove informacije zove se:
winlog.event_data.RuleNamePostavit ćemo metriku brojanja za poredak događaja na temelju toga koliko su se puta dogodili.
Omogućite značajku "Grupiraj druge vrijednosti u zasebnom segmentu".
Ovo će biti korisno ako pojmovi koje odaberete imaju mnogo različitih značenja na temelju ritma. To pomaže vizualizirati ostatak podataka u cjelini. To će vam dati ideju o postotku preostalih događaja.
Sada kada smo završili s postavljanjem kartice podataka, prijeđimo na karticu opcija
Morate učiniti sljedeće:
**Uklonite oblik krafne tako da iscrtavanje prikazuje puni krug.
**Odaberite položaj legende koji vam se sviđa. U ovom slučaju prikazat ćemo ih s desne strane.
**Postavite vrijednosti prikaza koje će se prikazivati pored njihovog isječka radi lakšeg čitanja, a ostalo ostavite kao zadano
Skraćivanje određuje koliko želite prikazati od naziva događaja.
Postavite vrijeme kada želite da renderiranje počne, a zatim kliknite plavi kvadrat.
Trebali biste završiti s nečim poput ovoga:
Također možete dodati filtar svojoj vizualizaciji kako biste filtrirali određeni host koji želite provjeriti ili bilo koje parametre za koje mislite da su korisni za vašu svrhu. Vizualizacija će prikazati samo podatke koji odgovaraju pravilu postavljenom u filtar. U ovom slučaju prikazat ćemo samo MITER ATT&CK podatke koji dolaze s glavnog računala pod nazivom win10.
3-2- Izrada vaše prve nadzorne ploče:
Nadzorna ploča je skup mnogih vizualizacija. Vaše nadzorne ploče trebaju biti jasne, razumljive i sadržavati korisne, determinističke podatke. Evo primjera nadzornih ploča koje smo izradili od nule za winlogbeat.
Hvala na vašem vremenu. Nadam se da vam je ovaj članak bio od pomoći. Ako želite više informacija o ovoj temi, preporučujemo da posjetite .
Telegram chat na Elasticsearchu:
Izvor: www.habr.com