Pòs sa a pral dekri konfigirasyon vizyalizasyon tablodbò ELK ak SIEM nan ELK
Atik la divize an seksyon sa yo:
1- ELK SIEM Revizyon
2- Dashboards par défaut
3- Kreye premye tablodbò ou yo
Table of contents of all posts.
- Entegrasyon ak WAZUH
- Alèt
- Rapòte
- Ka Jesyon
1-ELK SIEM Revizyon
ELK SIEM te fèk ajoute nan pil elk la nan vèsyon 7.2 sou 25 jen 2019.
Sa a se yon solisyon SIEM ki te kreye pa elastic.co pou fè lavi yon analis sekirite pi fasil ak mwens fatigan.
Nan vèsyon nou an nan travay la, nou deside kreye pwòp SIEM nou an epi chwazi pwòp panèl kontwòl nou an.
Men, nou panse li enpòtan pou eksplore ELK SIEM an premye.
1.1- Seksyon òganize evènman yo
Nou pral gade seksyon lame a an premye. Seksyon lame a pral pèmèt ou wè evènman yo ki pwodui nan pwen final la tèt li.
Apre klike sou gade hôtes ou ta dwe jwenn yon bagay tankou sa a. Kòm ou ka wè, gen twa lame ki konekte nan òdinatè sa a:
1 Windows 10.
2 Ubuntu sèvè 18.04.
Nou gen plizyè vizyalizasyon parèt, chak reprezante diferan kalite evènman.
Pou egzanp, youn nan mitan an montre done koneksyon sou tout twa machin yo.
Kantite done ou wè la a te kolekte pandan senk jou. Sa a eksplike gwo kantite echwe ak siksè koneksyon. Ou pral pwobableman gen yon ti kantite mòso bwa, kidonk pa enkyete
1.2- Seksyon evènman rezo
Ale nan seksyon rezo a, ou ta dwe jwenn yon bagay tankou sa a. Seksyon sa a pral pèmèt ou kenbe yon je fèmen sou tout sa k ap pase sou rezo ou a, soti nan trafik HTTP / TLS nan trafik DNS ak alèt evènman ekstèn.
2- Dashboards par défaut
Pou rann lavi pi fasil pou itilizatè yo, devlopè elastik.co yo te kreye yon ba zouti defo ofisyèlman sipòte pa ELK. Bat nou yo pa t 'eksepsyon nan règ sa a. Isit la mwen pral sèvi ak tablodbò default Packetbeat kòm yon egzanp.
Si ou swiv etap de nan atik la kòrèkteman. Ou ta dwe gen yon ba zouti mete kanpe ap tann pou ou. Se konsa, ann kòmanse.
Soti nan tab gòch Kibana, chwazi senbòl tablodbò a. Sa a se youn nan twazyèm, si ou konte soti nan tèt la.
Antre non pataje a nan tab rechèch la
Si gen plizyè modil nan ti jan an. Yo pral kreye yon panèl kontwòl pou chak nan yo. Men, se sèlman youn nan ki gen modil la aktif pral montre done ki pa vid.
Chwazi youn nan non modil ou a.
Sa a se modèl prensipal la PacketBeat.
Sa a se panèl kontwòl koule rezo a. Li pral di nou sou pake fèk ap rantre ak sortan an, sous ak destinasyon adrès IP yo, epi tou li bay anpil enfòmasyon itil pou yon analis sant sekirite.
3 — Kreye premye tablodbò ou yo
3–1- Konsèp Debaz yo
A- Kalite tablodbò yo:
Sa yo se diferan kalite vizyalizasyon ke ou ka itilize pou vizyalize done ou yo.
pa egzanp nou genyen:
- graf ba
- Kat jeyografik
- Widget Markdown
- Tablo tat
B- KQL (Kibana Query Language):
Sa a se lang ki itilize nan Kibana pou fè rechèch fasil nan done. Li pèmèt ou tcheke si sèten done egziste ak anpil lòt karakteristik itil. Pou jwenn plis enfòmasyon, ou ka eksplore enfòmasyon yo nan lyen sa a
Sa a se yon egzanp rechèch pou jwenn yon lame ki kouri Windows 10 pro.
C- Filtè:
Karakteristik sa a pral pèmèt ou filtre sèten paramèt tankou non host, kòd evènman oswa ID, elatriye. Filtè yo pral amelyore anpil faz ankèt la an tèm de tan ak efò depanse pou chèche prèv.
D- Premye vizyalizasyon:
Ann kreye yon vizyalizasyon pou MITRE ATT & CK.
Premye nou bezwen ale nan Dashboard → Kreye nouvo tablodbò→kreye nouvo →Pie tablodbò
Mete kalite a pou modèl endèks la, Lè sa a, tape non bat ou a.
Peze Antre. Depi kounye a ou ta dwe wè yon beye vèt.
Nan tab la bokit sou bò gòch la ou pral jwenn:
— Tranch divize ap divize beye a an diferan pati depann sou gaye done yo.
- Tablo Split pral kreye yon lòt beye akote yon sèl sa a.
Nou pral sèvi ak tranch fann.
Nou pral vizyalize done nou yo depann sou tèm nou chwazi a. Nan ka sa a tèm nan pral refere a MITRE ATT & CK.
Nan Winlogbeat, jaden ki pral ba nou enfòmasyon sa yo rele:
winlog.event_data.RuleNameNou pral mete yon metrik konte pou bay lòd evènman yo dapre kantite fwa yo rive.
Pèmèt karakteristik "Gwoup lòt valè nan yon segman separe".
Sa a pral itil si tèm ou chwazi yo gen anpil siyifikasyon diferan ki baze sou ritm. Sa a ede vizyalize rès done yo kòm yon antye. Sa a pral ba ou yon lide sou pousantaj evènman ki rete yo.
Kounye a ke nou fini mete tab la done, se pou yo deplase sou tab la opsyon
Ou dwe fè bagay sa yo:
** Retire fòm beye a pou rann lan montre yon sèk konplè.
**Chwazi pozisyon lejand ou renmen an. Nan ka sa a, nou pral montre yo sou bò dwat la.
** Fikse valè ekspozisyon yo pou montre akote snippet yo pou li pi fasil epi kite rès la kòm default
Tronke detèmine konbyen lajan ou vle montre nan non evènman an.
Mete lè ou vle rann lan kòmanse, epi klike sou kare ble a.
Ou ta dwe fini ak yon bagay tankou sa a:
Ou kapab tou ajoute yon filtè nan vizyalizasyon ou a pou filtre lame espesifik ou vle tcheke oswa nenpòt paramèt ou panse itil pou objektif ou. Vizyalizasyon an pral sèlman montre done ki matche ak règ yo mete nan filtè a. Nan ka sa a, nou pral sèlman montre done MITRE ATT&CK ki soti nan lame ki rele win10.
3-2- Kreye premye tablodbò ou a:
Yon tablodbò se yon koleksyon anpil vizyalizasyon. Dashboards ou yo ta dwe klè, konpreyansib, epi yo ta dwe gen done itil, detèminist. Isit la se yon egzanp tablodbò yo nou te kreye nan grafouyen pou winlogbeat.
Mèsi pou tan ou. Mwen espere ou jwenn atik sa a itil. Si w ta renmen plis enfòmasyon sou sijè a, nou rekòmande w vizite .
Chat Telegram sou Elasticsearch:
Sous: www.habr.com