Az ELK SIEM nemrégiben, 7.2. június 25-én került az elk stack 2019-es verziójába.
Ez egy SIEM-megoldás, amelyet az elastic.co hozott létre, hogy a biztonsági elemzők életét sokkal könnyebbé és kevésbé unalmassá tegye.
A munka verziójában úgy döntöttünk, hogy létrehozzuk a saját SIEM-ünket, és kiválasztjuk a saját vezérlőpultunkat.
De fontosnak tartjuk, hogy először felfedezzük az ELK SIEM-et.
1.1- Host események szakasz
Először a fogadó részt nézzük meg. A gazdagép szakasz lehetővé teszi a végponton generált események megtekintését.
Miután rákattintott a hosts nézetre, valami ilyesmit kell kapnia. Amint láthatja, három gazdagép csatlakozik ehhez a számítógéphez:
1 Windows 10.
2 Ubuntu Server 18.04.
Számos vizualizációt jelenítünk meg, mindegyik különböző típusú eseményeket ábrázol.
Például a középső mutatja a bejelentkezési adatokat mindhárom gépen.
Az itt látható mennyiségű adatot öt nap alatt gyűjtötték össze. Ez magyarázza a sikertelen és sikeres bejelentkezések nagy számát. Valószínűleg kevés naplója lesz, szóval ne aggódjon
1.2- Hálózati események szakasz
Továbblépve a hálózati szakaszra, valami ilyesmit kell kapnia. Ez a rész lehetővé teszi, hogy szorosan figyelemmel kísérje mindazt, ami a hálózatán történik, a HTTP/TLS-forgalomtól a DNS-forgalomig és a külső eseményriasztásokig.
2- Alapértelmezett műszerfalak
A felhasználók életének megkönnyítése érdekében az elastic.co fejlesztői létrehoztak egy alapértelmezett eszköztárat, amelyet hivatalosan is támogat az ELK. A mi ütéseink sem voltak kivételek e szabály alól. Itt a Packetbeat alapértelmezett irányítópultjait fogom használni példaként.
Ha helyesen követte a cikk második lépését. Be kell állítania egy eszköztárat, amely vár rád. Tehát kezdjük.
A Kibana bal oldali lapján válassza ki az irányítópult szimbólumát. Ez a harmadik, ha felülről számolunk.
Írja be a megosztás nevét a keresési lapon
Ha több modul is van a bitben. Mindegyikhez létrejön egy vezérlőpult. De csak az aktív modullal rendelkező megjeleníti a nem üres adatokat.
Válassza ki azt, amelyik a modul nevét tartalmazza.
Ez a fő sablon PacketBeat.
Ez a hálózati folyamatvezérlő panel. Elmondja nekünk a bejövő és kimenő csomagokat, az IP-címek forrásait és rendeltetési helyeit, valamint sok hasznos információval szolgál a biztonsági központ elemzői számára.
3 – Az első irányítópultok létrehozása
3-1- Alapfogalmak
A- A műszerfalak típusai:
Ezek a különböző típusú vizualizációk, amelyek segítségével megjelenítheti adatait.
nálunk például van:
oszlopdiagram
térkép
Markdown widget
Kördiagram
B-KQL (Kibana lekérdezési nyelv):
Ezt a nyelvet használják a Kibanában az adatok egyszerű kereséséhez. Lehetővé teszi bizonyos adatok és sok más hasznos funkció ellenőrzését. Ha többet szeretne megtudni, tekintse meg az ezen a linken található információkat
Ez egy példalekérdezés egy Windows 10 pro rendszert futtató gazdagép megkeresésére.
C- szűrők:
Ez a funkció lehetővé teszi bizonyos paraméterek szűrését, mint például a gazdagépnév, az eseménykód vagy az azonosító stb. A szűrők nagymértékben javítják a vizsgálati szakaszt a bizonyítékok keresésére fordított idő és erőfeszítés tekintetében.
D- Első vizualizáció:
Hozzon létre egy vizualizációt a MITER ATT & CK számára.
Először is el kell mennünk Irányítópult → Új irányítópult létrehozása → új → Pie irányítópult létrehozása
Állítsa be az indexminta típusát, majd érintse meg az ütem nevét.
Nyomd meg az Entert. Mostanra egy zöld fánkot kell látnia.
A bal oldali Vödör lapon a következőket találja:
— Az osztott szeletek a fánkot az adatok terjedésétől függően különböző részekre osztják.
- A Split Chart egy másik fánkot hoz létre e mellett.
Felosztott szeleteket fogunk használni.
Adatainkat az általunk választott kifejezéstől függően vizualizáljuk. Ebben az esetben a kifejezés a MITER ATT & CK-ra vonatkozik.
A Winlogbeatben az információkat tartalmazó mező neve:
winlog.event_data.RuleName
Beállítunk egy számlálási mérőszámot, hogy az eseményeket az előfordulásuk száma alapján rendezzük.
Engedélyezze az „Egyéb értékek csoportosítása külön szegmensben” funkciót.
Ez akkor lesz hasznos, ha a választott kifejezések ritmusuk alapján sokféle jelentéssel bírnak. Ez segít a többi adat egészének megjelenítésében. Ez képet ad a fennmaradó események százalékáról.
Most, hogy befejeztük az adatok lap beállítását, térjünk át az opciók fülre
A következőket kell tennie:
** Távolítsa el a fánk alakját, hogy a renderelés egy teljes kört mutasson.
** Válassza ki a kívánt legendapozíciót. Ebben az esetben a jobb oldalon jelenítjük meg őket.
**A könnyebb olvashatóság érdekében állítsa be a megjelenítési értékeket a kódrészlet mellett, a többit pedig hagyja alapértelmezettként
A csonkítás határozza meg, hogy mennyit kíván megjeleníteni az esemény nevéből.
Állítsa be azt az időpontot, amikor el szeretné kezdeni a renderelést, majd kattintson a kék négyzetre.
Valami ilyesmivel kell végeznie:
Szűrőt is hozzáadhat a vizualizációhoz, amellyel kiszűrheti az ellenőrizni kívánt konkrét gazdagépet vagy bármely olyan paramétert, amelyet hasznosnak talál a célnak megfelelően. A vizualizáció csak azokat az adatokat jeleníti meg, amelyek megfelelnek a szűrőben elhelyezett szabálynak. Ebben az esetben csak a win10 nevű gazdagéptől származó MITER ATT&CK adatokat jelenítjük meg.
3-2- Az első irányítópult létrehozása:
Az irányítópult számos vizualizáció gyűjteménye. Az irányítópultoknak világosnak, érthetőnek kell lenniük, és hasznos, determinisztikus adatokat kell tartalmazniuk. Íme egy példa azokra a műszerfalakra, amelyeket a nulláról hoztunk létre a winlogbeat számára.
Köszönöm az idődet. Remélem hasznosnak találta ezt a cikket. Ha további információra van szüksége a témával kapcsolatban, javasoljuk, hogy látogassa meg hivatalos honlapján.