Ntugharị a ga-akọwa ịtọlite nhụta nke ELK na SIEM dashboards na ELK
E kewara akụkọ a na ngalaba ndị a:
1- ELK SIEM Nyochaa
2- dashboard nke ezighi ezi
3- Mepụta dashboards mbụ gị
Isiokwu ọdịnaya nke niile posts.
- Mmekọrịta na WAZUH
- Na-ama ọkwa
- Na-akọ akụkọ
- Nlekọta Nlekọta
1-ELK SIEM Nyochaa
Agbakwunyere ELK SIEM n'oge na-adịbeghị anya na nchịkọta elk na ụdị 7.2 na June 25, 2019.
Nke a bụ ihe ngwọta SIEM mepụtara site na elastic.co iji mee ka ndụ onye nyocha nchekwa dịkwuo mfe ma ghara ịgwụ ike.
Na ụdị ọrụ anyị, anyị kpebiri ịmepụta SIEM nke anyị ma họrọ ogwe njikwa nke anyị.
Mana anyị chere na ọ dị mkpa ibu ụzọ nyochaa ELK SIEM.
1.1- ngalaba mmemme ndị ọbịa
Anyị ga-ebu ụzọ lelee ngalaba nnabata. Ngalaba ndị ọbịa ga-enye gị ohere ịhụ ihe omume ndị a na-eme na njedebe n'onwe ya.
Mgbe ịpịchara ndị ọbịa nlele, ị ga-enweta ihe dị ka nke a. Dịka ị na-ahụ, enwere ndị ọbịa atọ ejikọrọ na kọmpụta a:
1 Windows 10.
2 Ubuntu Server 18.04.
Anyị nwere ọtụtụ ihe ngosi egosipụtara, nke ọ bụla na-anọchi anya ụdị mmemme dị iche iche.
Dịka ọmụmaatụ, nke dị n'etiti na-egosi data nbanye na igwe atọ niile.
Achịkọtara ọnụọgụ data ị na-ahụ ebe a ihe karịrị ụbọchị ise. Nke a na-akọwa ọnụ ọgụgụ buru ibu nke logins dara na nke ọma. O nwere ike ịbụ na ị ga-enwe obere ndekọ ndekọ, yabụ echegbula
1.2- ngalaba ihe omume netwọkụ
N'ịga n'ihu na ngalaba netwọk, ị ga-enweta ihe dị ka nke a. Akụkụ a ga-enye gị ohere ilekwasị anya na ihe niile na-eme na netwọk gị, site na HTTP/TLS okporo ụzọ na DNS okporo ụzọ na ihe ngosi ihe omume mpụga.
2- dashboard nke ezighi ezi
Iji mee ka ndụ dịkwuo mfe maka ndị ọrụ, ndị nrụpụta elastic.co emepụtala ngwaọrụ ELK na-akwado nke ọma. Ọkụkụ anyị anọghị n'iwu a. N'ebe a, m ga-eji bọọdụ ndabara nke Packetbeat dịka ọmụmaatụ.
Ọ bụrụ na ị gbasoro nzọụkwụ abụọ nke akụkọ ahụ nke ọma. Ịkwesịrị ịnwe ntọala ngwaọrụ na-echere gị. Ya mere, ka anyị malite.
Site na taabụ aka ekpe nke Kibana, họrọ akara dashboard. Nke a bụ nke atọ, ma ọ bụrụ na ị gụọ site n'elu.
Tinye aha òkè na taabụ ọchụchọ
Ọ bụrụ na e nwere ọtụtụ modul na bit. A ga-emepụta panel njikwa maka nke ọ bụla n'ime ha. Mana naanị onye nwere modul na-arụ ọrụ ga-egosipụta data na-adịghị efu.
Họrọ nke nwere aha modul gị.
Nke a bụ isi template PacketBeat.
Nke a bụ panel njikwa eruba netwọkụ. Ọ ga-agwa anyị gbasara ngwugwu na-abata na nke na-apụ apụ, isi mmalite na ebe adreesị IP, ma na-enyekwa ọtụtụ ozi bara uru maka onye nyocha ebe nchekwa.
3 - Mepụta dashboard mbụ gị
3–1- Echiche ndị bụ isi
A- Ụdị dashboards:
Ndị a bụ ụdị nhụta dị iche iche ị nwere ike iji hụ data gị anya.
ọmụmaatụ anyị nwere:
- mmanya eserese
- map
- Ngwa akara akara
- chaatị achịcha
B- KQL (Asụsụ ajụjụ Kibana):
Nke a bụ asụsụ a na-eji na Kibana maka ịchọ data dị mfe. Ọ na-enye gị ohere ịlele ma ụfọdụ data dị yana ọtụtụ atụmatụ ndị ọzọ bara uru. Iji chọpụta ihe ndị ọzọ, ị nwere ike inyocha ozi a na njikọ a
Nke a bụ ajụjụ atụ iji chọta onye ọbịa na-agba ọsọ Windows 10 pro.
C- nzacha:
Njirimara a ga-enye gị ohere inyocha ụfọdụ paramita dị ka aha nnabata, koodu mmemme ma ọ bụ ID, wdg. Ihe nzacha ga-eme ka usoro nyocha dịkwuo mma n'ihe gbasara oge na mbọ ejiri na-achọ ihe akaebe.
D- Nhụta mbụ:
Ka anyị mepụta ọhụụ maka MITER ATT & CK.
Mbụ anyị kwesịrị ịga Dashboard → Mepụta dashboard ọhụrụ → mepụta dashboard ọhụrụ →Pie dashboard
Tọọ ụdị maka ụkpụrụ index, wee pịa aha ịkụ ọkpọ gị.
Pịa Tinye. Ka ọ dị ugbu a, ị ga-ahụ donut green.
Na taabụ bọket n'aka ekpe ị ga-ahụ:
- Mpekere nkewa ga-ekewa donut n'ime akụkụ dị iche iche dabere na mgbasa nke data.
- Split Chart ga-emepụta donut ọzọ n'akụkụ nke a.
Anyị ga-eji mpekere kewara ekewa.
Anyị ga-eji anya nke uche hụ data anyị dabere na okwu anyị họọrọ. N'okwu a, okwu ahụ ga-ezo aka na MITER ATT & CK.
Na Winlogbeat, ubi ga-enye anyị ozi a ka a na-akpọ:
winlog.event_data.RuleNameAnyị ga-ahazi metric ọnụ iji tụọ ihe omume dabere na ugboro ole ha mere.
Kwado njirimara "Otu ndị ọzọ dị n'akụkụ dị iche".
Nke a ga-aba uru ma ọ bụrụ na okwu ndị ị na-ahọrọ nwere ọtụtụ nkọwa dị iche iche dabere na uda. Nke a na-enyere aka iji anya nke uche hụ data ndị ọzọ n'ozuzu ya. Nke a ga-enye gị echiche nke pasentị nke mmemme ndị fọdụrụ.
Ugbu a anyị emechaala ịtọlite taabụ data, ka anyị gaa na taabụ nhọrọ
Ị ga-emerịrị ihe ndị a:
**Wepụ ọdịdị donut ka nsụgharị ahụ gosi okirikiri zuru oke.
** Họrọ ọnọdụ akụkọ masịrị gị. N'okwu a, anyị ga-egosipụta ha n'aka nri.
** Tọọ ụkpụrụ ngosi iji gosi n'akụkụ snippet ha ka ọ dị mfe ọgụgụ ma hapụ nke ọzọ ka ọ bụrụ nke ndabara
Truncation na-ekpebi ego ole ịchọrọ igosipụta site na aha mmemme.
Tọọ oge nke ịchọrọ ịmalite nrụnye, wee pịa square na-acha anụnụ anụnụ.
Ịkwesịrị ịme ihe dị ka nke a:
Ịnwekwara ike ịgbakwunye nzacha n'ọhụụ gị iji nyochaa kpọmkwem onye ọbịa ịchọrọ ịlele ma ọ bụ paramita ọ bụla ị chere na ọ bara uru maka ebumnuche gị. Ọhụụ ahụ ga-egosipụta naanị data dabara n'iwu etinyere na nzacha. N'okwu a, anyị ga-egosipụta naanị MITER ATT & CK data na-abịa site na onye ọbịa aha ya bụ win10.
3-2- Mepụta dashboard mbụ gị:
Dashboard bụ nchịkọta nke ọtụtụ anya. Dashboards gị kwesịrị ịpụta nke ọma, kwere nghọta, ma nwee data bara uru na-ekpebi ihe. Nke a bụ ọmụmaatụ nke dashboard anyị mepụtara site na ọkọ maka winlogbeat.
Daalụ maka oge gị. Enwere m olileanya na ị hụrụ akụkọ a na-enyere aka. Ọ bụrụ na ịchọrọ ozi ndị ọzọ gbasara isiokwu a, anyị na-akwado ka ị gaa .
Mkparịta ụka Telegram na Elasticsearch:
isi: www.habr.com