Այս գրառումը նկարագրելու է ELK-ում ELK և SIEM վահանակների վիզուալիզացիայի կարգավորումը
Հոդվածը բաժանված է հետևյալ բաժինների.
1- ELK SIEM Review
2- Կանխադրված վահանակներ
3- Ստեղծելով ձեր առաջին վահանակները
Բոլոր գրառումների բովանդակության աղյուսակ.
- Ինտեգրում WAZUH-ի հետ
- Զգուշացնող
- Հաշվետվություն
- Գործի կառավարում
1-ELK SIEM Review
ELK SIEM-ը վերջերս ավելացվել է elk stack-ին 7.2 տարբերակով, 25 թվականի հունիսի 2019-ին:
Սա SIEM լուծում է, որը ստեղծվել է elastic.co-ի կողմից՝ անվտանգության վերլուծաբանի կյանքը շատ ավելի հեշտ և ավելի քիչ հոգնեցուցիչ դարձնելու համար:
Աշխատանքի մեր տարբերակում մենք որոշեցինք ստեղծել մեր սեփական SIEM-ը և ընտրել մեր սեփական կառավարման վահանակը:
Բայց մենք կարծում ենք, որ կարևոր է նախ ուսումնասիրել ELK SIEM-ը:
1.1- Հյուրընկալող իրադարձությունների բաժինը
Մենք նախ կնայենք հյուրընկալող բաժինը: Հյուրընկալող բաժինը թույլ կտա տեսնել այն իրադարձությունները, որոնք ստեղծվում են հենց վերջնակետում:
View hosts-ի վրա սեղմելուց հետո դուք պետք է ստանաք նման բան. Ինչպես տեսնում եք, այս համակարգչին միացված են երեք հոսթ.
1 Windows 10.
2 Ubuntu սերվեր 18.04.
Մենք ցուցադրված ենք մի քանի վիզուալիզացիաներ, որոնցից յուրաքանչյուրը ներկայացնում է տարբեր տեսակի իրադարձություններ:
Օրինակ, մեջտեղում գտնվողը ցույց է տալիս մուտքի տվյալները բոլոր երեք մեքենաների վրա:
Տվյալների այս քանակությունը, որը դուք տեսնում եք այստեղ, հավաքվել է հինգ օրվա ընթացքում: Սա բացատրում է ձախողված և հաջող մուտքերի մեծ թիվը: Դուք հավանաբար կունենաք փոքր քանակությամբ տեղեկամատյաններ, այնպես որ մի անհանգստացեք
1.2- Ցանցային իրադարձությունների բաժին
Անցնելով ցանցի բաժին, դուք պետք է ստանաք նման բան. Այս բաժինը թույլ կտա ձեզ ուշադիր հետևել այն ամենին, ինչ տեղի է ունենում ձեր ցանցում՝ սկսած HTTP/TLS տրաֆիկից մինչև DNS տրաֆիկ և արտաքին իրադարձությունների ազդանշաններ:
2- Կանխադրված վահանակներ
Օգտատերերի կյանքը հեշտացնելու համար elastic.co-ի մշակողները ստեղծել են լռելյայն գործիքագոտի, որը պաշտոնապես աջակցվում է ELK-ի կողմից: Մեր բիթերը բացառություն չէին այս կանոնից: Այստեղ ես որպես օրինակ կօգտագործեմ Packetbeat-ի լռելյայն վահանակները:
Եթե ճիշտ եք հետևել հոդվածի երկրորդ քայլին: Ձեզ սպասվում է գործիքագոտի ստեղծած: Այսպիսով, եկեք սկսենք:
Kibana-ի ձախ ներդիրից ընտրեք վահանակի խորհրդանիշը: Սա երրորդն է, եթե հաշվեք վերևից։
Մուտքագրեք բաժնետոմսի անունը որոնման ներդիրում
Եթե բիթում մի քանի մոդուլ կա: Նրանցից յուրաքանչյուրի համար կստեղծվի կառավարման վահանակ: Բայց միայն մոդուլով ակտիվը կցուցադրի ոչ դատարկ տվյալներ:
Ընտրեք ձեր մոդուլի անունով մեկը:
Սա հիմնական կաղապարն է PacketBeat.
Սա ցանցի հոսքի կառավարման վահանակն է: Այն մեզ կպատմի մուտքային և ելքային փաթեթի, IP հասցեների աղբյուրների և նպատակակետերի մասին, ինչպես նաև շատ օգտակար տեղեկատվություն է տրամադրում անվտանգության կենտրոնի վերլուծաբանի համար:
3 — Ստեղծեք ձեր առաջին վահանակները
3–1- Հիմնական հասկացություններ
Ա- Վահանակների տեսակները.
Սրանք տարբեր տեսակի վիզուալիզացիաներ են, որոնք կարող եք օգտագործել ձեր տվյալները պատկերացնելու համար:
օրինակ մենք ունենք.
- Բար գրաֆիկ
- Քարտեզ
- Markdown վիդջեթ
- Կարկանդակ գծապատկեր
B- KQL (Kibana հարցման լեզու).
Սա այն լեզուն է, որն օգտագործվում է Kibana-ում տվյալների հեշտ որոնման համար: Այն թույլ է տալիս ստուգել, թե արդյոք կան որոշակի տվյալներ և շատ այլ օգտակար հատկություններ: Ավելին իմանալու համար կարող եք ուսումնասիրել տեղեկատվությունը այս հղումով
Սա հարցման օրինակ է Windows 10 Pro օպերացիոն համակարգով աշխատող հոսթ գտնելու համար:
C- Զտիչներ:
Այս հատկությունը թույլ կտա զտել որոշ պարամետրեր, ինչպիսիք են հյուրընկալողի անունը, իրադարձության կոդը կամ ID-ն և այլն: Զտիչները զգալիորեն կբարելավեն հետաքննության փուլը՝ ապացույցների որոնման համար ծախսվող ժամանակի և ջանքերի առումով:
Դ- Առաջին պատկերացում.
Եկեք ստեղծենք պատկերացում MITER ATT & CK-ի համար:
Նախ պետք է գնալ Վահանակ → Ստեղծել նոր վահանակ → ստեղծել նոր → Կարկանդակ վահանակ
Սահմանեք ինդեքսի օրինաչափության տեսակը, այնուհետև հպեք ձեր հարվածի անունը:
Սեղմեք Enter: Մինչ այժմ դուք պետք է տեսնեք կանաչ բլիթ:
Ձախ կողմում գտնվող Դույլեր ներդիրում դուք կգտնեք.
— Կտրված կտորները բլիթը կբաժանեն տարբեր մասերի՝ կախված տվյալների տարածումից:
- Split Chart-ը այս մեկի կողքին կստեղծի ևս մեկ բլիթ:
Մենք կօգտագործենք պառակտված շերտեր:
Մենք կպատկերացնենք մեր տվյալները՝ կախված մեր ընտրած տերմինից: Այս դեպքում տերմինը վերաբերում է MITER ATT & CK-ին:
Winlogbeat-ում դաշտը, որը մեզ կտրամադրի այս տեղեկատվությունը, կոչվում է.
winlog.event_data.RuleNameՄենք կստեղծենք հաշվման չափիչ՝ իրադարձությունները պատվիրելու համար՝ հիմնվելով դրանց տեղի ունեցած դեպքերի քանակի վրա:
Միացնել «Խմբավորել այլ արժեքները առանձին հատվածում» գործառույթը:
Սա օգտակար կլինի, եթե ձեր ընտրած տերմինները ռիթմի վրա հիմնված շատ տարբեր իմաստներ ունենան: Սա օգնում է պատկերացնել մնացած տվյալները որպես ամբողջություն: Սա ձեզ պատկերացում կտա մնացած իրադարձությունների տոկոսի մասին:
Այժմ, երբ մենք ավարտել ենք տվյալների ներդիրի կարգավորումը, եկեք անցնենք ընտրանքների ներդիրին
Դուք պետք է անեք հետևյալը.
**Հեռացրեք բլիթի ձևը, որպեսզի պատկերը ցույց տա ամբողջական շրջանակ:
** Ընտրեք լեգենդի դիրքը, որը Ձեզ դուր է գալիս: Այս դեպքում մենք դրանք կցուցադրենք աջ կողմում:
** Սահմանեք ցուցադրման արժեքները, որպեսզի դրանք ցուցադրվեն իրենց հատվածի կողքին՝ ավելի հեշտ ընթերցելու համար, իսկ մնացածը թողեք որպես լռելյայն
Կտրումը որոշում է, թե որքան եք ցանկանում ցուցադրել իրադարձության անունից:
Սահմանեք այն ժամը, երբ ցանկանում եք, որ ցուցադրումը սկսվի, այնուհետև կտտացրեք կապույտ քառակուսին:
Դուք պետք է ավարտեք նման բանով.
Դուք կարող եք նաև զտիչ ավելացնել ձեր վիզուալիզացիային՝ զտելու կոնկրետ հոսթինգը, որը ցանկանում եք ստուգել կամ ցանկացած պարամետր, որը կարծում եք, որ օգտակար է ձեր նպատակի համար: Վիզուալիզացիան կցուցադրի միայն այն տվյալները, որոնք համապատասխանում են ֆիլտրում տեղադրված կանոնին: Այս դեպքում մենք կցուցադրենք միայն MITER ATT&CK տվյալները, որոնք ստացվում են win10 անունով հոսթից:
3-2- Ստեղծելով ձեր առաջին վահանակը.
Վահանակը բազմաթիվ պատկերացումների հավաքածու է: Ձեր վահանակները պետք է լինեն պարզ, հասկանալի և պարունակեն օգտակար, որոշիչ տվյալներ: Ահա Winlogbeat-ի համար զրոյից ստեղծած վահանակների օրինակ:
Շնորհակալություն ժամանակ տրամադրելու համար. Հուսով եմ, որ այս հոդվածը օգտակար է ձեզ համար: Եթե ցանկանում եք ավելի շատ տեղեկություններ ստանալ թեմայի վերաբերյալ, խորհուրդ ենք տալիս այցելել .
Telegram զրույց Elasticsearch-ում.
Source: www.habr.com