Þessi færsla mun lýsa uppsetningu á sjónrænum ELK og SIEM mælaborðum í ELK
Greininni er skipt í eftirfarandi hluta:
1- ELK SIEM Review
2- Sjálfgefin mælaborð
3- Að búa til fyrstu mælaborðin þín
Efnisyfirlit allra pósta.
- Samþætting við WAZUH
- Viðvörun
- Skýrslugerð
- Case Management
1-ELK SIEM endurskoðun
ELK SIEM var nýlega bætt við elgstokkinn í útgáfu 7.2 þann 25. júní 2019.
Þetta er SIEM lausn búin til af elastic.co til að gera líf öryggissérfræðings mun auðveldara og minna leiðinlegt.
Í okkar útgáfu af verkinu ákváðum við að búa til okkar eigin SIEM og velja okkar eigin stjórnborð.
En við teljum að það sé mikilvægt að kanna ELK SIEM fyrst.
1.1- Hluti gestgjafaviðburða
Við munum fyrst skoða gestgjafahlutann. Gestgjafahlutinn gerir þér kleift að sjá atburðina sem eru búnir til á endapunktinum sjálfum.
Eftir að hafa smellt á skoða gestgjafa ættirðu að fá eitthvað svona. Eins og þú sérð eru þrír vélar tengdir þessari tölvu:
1 Windows 10.
2 Ubuntu Server 18.04.
Við höfum nokkrar sjónmyndir sýndar sem hver um sig táknar mismunandi gerðir atburða.
Til dæmis sýnir þessi í miðjunni innskráningargögn á öllum þremur vélunum.
Þessu gagnamagni sem þú sérð hér var safnað á fimm dögum. Þetta skýrir fjölda misheppnaðra og árangursríkra innskráninga. Þú munt líklega hafa lítinn fjölda annála, svo ekki hafa áhyggjur
1.2- Netviðburði hluti
Ef þú ferð yfir í nethlutann ættirðu að fá eitthvað eins og þetta. Þessi hluti gerir þér kleift að fylgjast vel með öllu sem gerist á netinu þínu, frá HTTP/TLS umferð til DNS umferðar og ytri atburðaviðvarana.
2- Sjálfgefin mælaborð
Til að gera lífið auðveldara fyrir notendur hafa elastic.co forritarar búið til sjálfgefna tækjastiku sem er opinberlega studd af ELK. Slagarnir okkar voru engin undantekning frá þessari reglu. Hér mun ég nota sjálfgefna mælaborð Packetbeat sem dæmi.
Ef þú fylgdir skrefi tvö í greininni rétt. Þú ættir að hafa tækjastiku sem bíður þín. Svo skulum við byrja.
Á vinstri flipanum á Kibana skaltu velja mælaborðstáknið. Þetta er sá þriðji, ef talið er frá toppnum.
Sláðu inn nafn deilingar á leitarflipann
Ef það eru nokkrar einingar í bitanum. Stjórnborð verður búið til fyrir hvert þeirra. En aðeins sá sem er með eininguna virka mun sýna gögn sem ekki eru tóm.
Veldu þann með heiti einingarinnar.
Þetta er aðalsniðmátið PacketBeat.
Þetta er stjórnborð netflæðisins. Það mun segja okkur frá komandi og útleiðandi pakka, uppruna og áfangastaði IP-tölu, og veitir einnig mikið af gagnlegum upplýsingum fyrir sérfræðingur í öryggismiðstöð.
3 — Að búa til fyrstu mælaborðin þín
3–1- Grunnhugtök
A- Tegundir mælaborða:
Þetta eru mismunandi gerðir sjónmynda sem þú getur notað til að sjá gögnin þín.
við höfum til dæmis:
- súlurit
- Kortið
- Markdown búnaður
- Kökurit
B- KQL (Kibana Query Language):
Þetta er tungumálið sem notað er í Kibana til að auðvelda leit að gögnum. Það gerir þér kleift að athuga hvort ákveðin gögn séu til og margir aðrir gagnlegir eiginleikar. Til að fá frekari upplýsingar geturðu skoðað upplýsingarnar á þessum hlekk
Þetta er dæmi um fyrirspurn til að finna hýsil sem keyrir Windows 10 pro.
C- Síur:
Þessi eiginleiki gerir þér kleift að sía ákveðnar breytur eins og hýsingarheiti, viðburðakóða eða auðkenni, osfrv. Síur munu bæta rannsóknarstigið til muna hvað varðar tíma og fyrirhöfn sem varið er í að leita að sönnunargögnum.
D- Fyrsta sjón:
Við skulum búa til sjónmynd fyrir MITER ATT & CK.
Fyrst þurfum við að fara til Mælaborð → Búa til nýtt mælaborð→ búa til nýtt →Pie mælaborð
Stilltu gerð vísitölumynstrsins og pikkaðu síðan á heiti takts þíns.
Ýttu á Enter. Núna ættir þú að sjá grænan kleinuhring.
Í Buckets flipanum til vinstri finnurðu:
— Skiptar sneiðar munu skipta kleinuhringnum í mismunandi hluta eftir útbreiðslu gagnanna.
- Split Chart mun búa til annan kleinuhring við hliðina á þessum.
Við munum nota skiptar sneiðar.
Við munum sjá gögnin okkar eftir því hvaða hugtak við veljum. Í þessu tilviki mun hugtakið vísa til MITER ATT & CK.
Í Winlogbeat er reiturinn sem gefur okkur þessar upplýsingar kallaður:
winlog.event_data.RuleNameVið setjum upp talningarmæli til að raða viðburðum út frá fjölda skipta sem þeir eiga sér stað.
Virkjaðu eiginleikann „Flokkaðu önnur gildi í sérstakan hluta“.
Þetta mun vera gagnlegt ef hugtökin sem þú velur hafa margar mismunandi merkingar byggðar á takti. Þetta hjálpar til við að sjá afganginn af gögnunum í heild sinni. Þetta mun gefa þér hugmynd um hlutfall atburða sem eftir eru.
Nú þegar við erum búin að setja upp gagnaflipann skulum við halda áfram í valmöguleikaflipann
Þú verður að gera eftirfarandi:
**Fjarlægðu kleinuhringjaformið svo myndgerðin sýni heilan hring.
** Veldu goðsagnastöðuna sem þú vilt. Í þessu tilviki munum við birta þær til hægri.
**Stilltu birtingargildi til að sýna við hliðina á brotinu til að auðvelda lestur og skildu restina sem sjálfgefið
Stytting ákvarðar hversu mikið þú vilt birta af nafni viðburðarins.
Stilltu tímann sem þú vilt að flutningurinn byrji og smelltu síðan á bláa ferninginn.
Þú ættir að enda með eitthvað eins og þetta:
Þú getur líka bætt síu við sjónmyndina þína til að sía út tiltekna gestgjafann sem þú vilt athuga eða hvaða færibreytur sem þú heldur að séu gagnlegar fyrir tilgang þinn. Sýningin mun aðeins sýna gögn sem passa við regluna sem sett er í síuna. Í þessu tilviki munum við aðeins birta MITER ATT&CK gögn sem koma frá hýsilnum sem heitir win10.
3-2- Að búa til fyrsta mælaborðið þitt:
Mælaborð er safn margra sjónmynda. Mælaborðin þín ættu að vera skýr, skiljanleg og innihalda gagnleg, ákveðin gögn. Hér er dæmi um mælaborðin sem við bjuggum til frá grunni fyrir winlogbeat.
Þakka þér fyrir tíma þinn. Ég vona að þér hafi fundist þessi grein gagnleg. Ef þú vilt frekari upplýsingar um efnið mælum við með að þú heimsækir .
Telegram spjall á Elasticsearch:
Heimild: www.habr.com