Postingan kali ini akan menjelaskan pengaturan visualisasi dashboard ELK dan SIEM di ELK
Artikel ini dibagi menjadi beberapa bagian berikut:
1- Ulasan ELK SIEM
2- Dasbor bawaan
3- Membuat dasbor pertama Anda
Daftar isi semua postingan.
- Integrasi dengan WAZUH
- Memperingatkan
- Pelaporan
- Manajemen kasus
Ulasan 1-ELK SIEM
ELK SIEM baru-baru ini ditambahkan ke tumpukan elk di versi 7.2 pada tanggal 25 Juni 2019.
Ini adalah solusi SIEM yang dibuat oleh elastic.co untuk membuat kehidupan seorang analis keamanan menjadi lebih mudah dan tidak membosankan.
Dalam versi pekerjaan kami, kami memutuskan untuk membuat SIEM kami sendiri dan memilih panel kontrol kami sendiri.
Namun menurut kami penting untuk mengeksplorasi ELK SIEM terlebih dahulu.
1.1- Bagian tuan rumah acara
Kita akan melihat bagian host terlebih dahulu. Bagian host akan memungkinkan Anda melihat peristiwa yang dihasilkan di titik akhir itu sendiri.
Setelah mengklik lihat host Anda akan mendapatkan sesuatu seperti ini. Seperti yang Anda lihat, ada tiga host yang terhubung ke komputer ini:
1 Jendela 10.
2 Server Ubuntu 18.04.
Kami memiliki beberapa visualisasi yang ditampilkan, masing-masing mewakili jenis peristiwa yang berbeda.
Misalnya, yang di tengah menunjukkan data login di ketiga mesin.
Jumlah data yang Anda lihat di sini dikumpulkan selama lima hari. Hal ini menjelaskan banyaknya login yang gagal dan berhasil. Anda mungkin memiliki sejumlah kecil log, jadi jangan khawatir
1.2- Bagian acara jaringan
Pindah ke bagian jaringan, Anda akan mendapatkan sesuatu seperti ini. Bagian ini memungkinkan Anda mengawasi semua yang terjadi di jaringan Anda, mulai dari lalu lintas HTTP/TLS hingga lalu lintas DNS dan peringatan peristiwa eksternal.
2- Dasbor bawaan
Untuk membuat hidup lebih mudah bagi pengguna, pengembang elastic.co telah membuat toolbar default yang secara resmi didukung oleh ELK. Ketukan kami tidak terkecuali dalam aturan ini. Di sini saya akan menggunakan dashboard default Packetbeat sebagai contoh.
Jika Anda mengikuti langkah kedua artikel dengan benar. Anda seharusnya sudah menyiapkan toolbar yang menunggu Anda. Jadi mari kita mulai.
Dari tab kiri Kibana, pilih simbol dasbor. Ini yang ketiga, kalau dihitung dari atas.
Masukkan nama berbagi di tab pencarian
Jika ada beberapa modul dalam satu bit. Panel kontrol akan dibuat untuk masing-masingnya. Namun hanya modul yang modulnya aktif yang akan menampilkan data tidak kosong.
Pilih salah satu dengan nama modul Anda.
Ini adalah templat utama PaketBeat.
Ini adalah panel kontrol aliran jaringan. Ini akan memberi tahu kita tentang paket masuk dan keluar, sumber dan tujuan alamat IP, dan juga memberikan banyak informasi berguna bagi analis pusat keamanan.
3 β Membuat dasbor pertama Anda
3β1- Konsep Dasar
A- Jenis dasbor:
Ini adalah berbagai jenis visualisasi yang dapat Anda gunakan untuk memvisualisasikan data Anda.
misalnya kita punya:
- grafik batang
- peta
- Widget penurunan harga
- Pie chart
B- KQL (Bahasa Kueri Kibana):
Ini adalah bahasa yang digunakan di Kibana untuk memudahkan pencarian data. Ini memungkinkan Anda memeriksa apakah ada data tertentu dan banyak fitur berguna lainnya. Untuk mengetahui lebih lanjut, Anda dapat menelusuri informasinya di tautan ini
Ini adalah contoh kueri untuk menemukan host yang menjalankan Windows 10 pro.
C-Filter:
Fitur ini memungkinkan Anda memfilter parameter tertentu seperti nama host, kode peristiwa atau ID, dll. Filter akan sangat meningkatkan tahap penyelidikan dalam hal waktu dan upaya yang dihabiskan untuk mencari bukti.
D- Visualisasi pertama:
Mari kita buat visualisasi untuk MITRE ATT & CK.
Pertama kita harus pergi ke Dasbor β Buat dasbor baruβbuat baru βPie dasbor
Atur jenis pola indeks, lalu ketuk nama irama Anda.
Tekan enter. Sekarang Anda akan melihat donat hijau.
Di tab Bucket di sebelah kiri Anda akan menemukan:
β Split Slice akan membagi donat menjadi beberapa bagian tergantung pada penyebaran datanya.
- Split Chart akan membuat donat lain di samping donat ini.
Kami akan menggunakan irisan terpisah.
Kami akan memvisualisasikan data kami tergantung pada istilah yang kami pilih. Dalam hal ini istilah tersebut akan mengacu pada MITRE ATT & CK.
Di Winlogbeat, bidang yang memberi kami informasi ini disebut:
winlog.event_data.RuleNameKami akan menyiapkan metrik hitungan untuk mengurutkan peristiwa berdasarkan berapa kali peristiwa tersebut terjadi.
Aktifkan fitur βKelompokkan nilai lain dalam segmen terpisahβ.
Ini akan berguna jika istilah yang Anda pilih memiliki banyak arti berbeda berdasarkan ritme. Ini membantu memvisualisasikan data lainnya secara keseluruhan. Ini akan memberi Anda gambaran tentang persentase acara yang tersisa.
Sekarang kita sudah selesai menyiapkan tab data, mari beralih ke tab opsi
Anda harus melakukan hal berikut:
**Hapus bentuk donat sehingga rendering menunjukkan lingkaran penuh.
**Pilih posisi legenda yang Anda suka. Dalam hal ini, kami akan menampilkannya di sebelah kanan.
**Tetapkan nilai tampilan untuk ditampilkan di sebelah cuplikannya agar lebih mudah dibaca dan biarkan sisanya sebagai default
Pemotongan menentukan seberapa banyak yang ingin Anda tampilkan dari nama acara.
Tetapkan waktu di mana Anda ingin memulai rendering, lalu klik kotak biru.
Anda akan mendapatkan hasil seperti ini:
Anda juga dapat menambahkan filter ke visualisasi Anda untuk memfilter host tertentu yang ingin Anda periksa atau parameter apa pun yang menurut Anda berguna untuk tujuan Anda. Visualisasi hanya akan menampilkan data yang sesuai dengan aturan yang ditempatkan pada filter. Dalam hal ini, kami hanya akan menampilkan data MITRE ATT&CK yang berasal dari host bernama win10.
3-2- Membuat dasbor pertama Anda:
Dasbor adalah kumpulan dari banyak visualisasi. Dasbor Anda harus jelas, mudah dipahami, dan berisi data yang berguna dan deterministik. Berikut adalah contoh dashboard yang kami buat dari awal untuk winlogbeat.
Terima kasih atas waktu Anda. Saya harap artikel ini bermanfaat bagi Anda. Jika Anda ingin informasi lebih lanjut tentang topik ini, kami sarankan Anda mengunjungi .
Obrolan Telegram di Elasticsearch:
Sumber: www.habr.com