Questo post descriverà l'impostazione della visualizzazione dei dashboard ELK e SIEM in ELK
L’articolo è suddiviso nelle seguenti sezioni:
1- Recensione ELK SIEM
2- Dashboard predefiniti
3- Creazione delle tue prime dashboard
Sommario di tutti i post.
- Integrazione con WAZUH
- Avviso
- segnalazione
- Gestione del caso
1-ELK SIEM Recensione
ELK SIEM è stato recentemente aggiunto allo stack elk nella versione 7.2 il 25 giugno 2019.
Questa è una soluzione SIEM creata da elastic.co per rendere la vita di un analista della sicurezza molto più semplice e meno noiosa.
Nella nostra versione del lavoro, abbiamo deciso di creare il nostro SIEM e scegliere il nostro pannello di controllo.
Ma riteniamo che sia importante esplorare prima ELK SIEM.
1.1- Sezione eventi ospitanti
Esamineremo prima la sezione host. La sezione host ti consentirà di vedere gli eventi generati sull'endpoint stesso.
Dopo aver fatto clic su Visualizza host dovresti ottenere qualcosa di simile. Come puoi vedere, ci sono tre host collegati a questo computer:
1 Finestre 10.
2 Ubuntu Server 18.04.
Sono disponibili diverse visualizzazioni, ciascuna delle quali rappresenta diversi tipi di eventi.
Ad esempio, quello al centro mostra i dati di accesso su tutte e tre le macchine.
La quantità di dati che vedi qui è stata raccolta in cinque giorni. Ciò spiega il gran numero di accessi falliti e riusciti. Probabilmente avrai un numero limitato di log, quindi non preoccuparti
1.2- Sezione Eventi di rete
Passando alla sezione rete, dovresti ottenere qualcosa di simile. Questa sezione ti consentirà di tenere d'occhio tutto ciò che accade sulla tua rete, dal traffico HTTP/TLS al traffico DNS e agli avvisi di eventi esterni.
2- Dashboard predefiniti
Per rendere la vita più facile agli utenti, gli sviluppatori di elastic.co hanno creato una barra degli strumenti predefinita ufficialmente supportata da ELK. I nostri beat non facevano eccezione a questa regola. Qui utilizzerò i dashboard predefiniti di Packetbeat come esempio.
Se hai seguito correttamente il passaggio due dell'articolo. Dovresti avere una barra degli strumenti impostata che ti aspetta. Quindi iniziamo.
Dalla scheda sinistra di Kibana, seleziona il simbolo del dashboard. Questo è il terzo, se conti dall'alto.
Inserisci il nome della condivisione nella scheda di ricerca
Se sono presenti più moduli nel bit. Per ognuno di essi verrà creato un pannello di controllo. Ma solo quello con il modulo attivo visualizzerà dati non vuoti.
Seleziona quello con il nome del tuo modulo.
Questo è il modello principale PacketBeat.
Questo è il pannello di controllo del flusso di rete. Ci parlerà del pacchetto in entrata e in uscita, delle origini e delle destinazioni degli indirizzi IP e fornirà anche molte informazioni utili per un analista del centro sicurezza.
3 — Creare le tue prime dashboard
3–1- Concetti di base
A- Tipologie di dashboard:
Questi sono i diversi tipi di visualizzazioni che puoi utilizzare per visualizzare i tuoi dati.
ad esempio abbiamo:
- grafico a barre
- Mappa
- Widget di ribasso
- Grafico a torta
B-KQL (Kibana Query Language):
Questa è la lingua utilizzata in Kibana per una facile ricerca dei dati. Ti consente di verificare se esistono determinati dati e molte altre funzionalità utili. Per saperne di più potete approfondire le informazioni a questo link
Questa è una query di esempio per trovare un host che esegue Windows 10 Pro.
C-Filtri:
Questa funzionalità ti consentirà di filtrare determinati parametri come nome host, codice evento o ID, ecc. I filtri miglioreranno notevolmente la fase di indagine in termini di tempo e impegno spesi nella ricerca di prove.
D- Prima visualizzazione:
Creiamo una visualizzazione per MITRE ATT & CK.
Per prima cosa dobbiamo andare a Dashboard → Crea nuova dashboard → crea nuova → Dashboard a torta
Imposta il tipo di pattern indice, quindi tocca il nome del tuo ritmo.
Premere Invio. A questo punto dovresti vedere una ciambella verde.
Nella scheda Bucket a sinistra troverai:
— Le fette divise divideranno la ciambella in parti diverse a seconda della diffusione dei dati.
- Il grafico diviso creerà un'altra ciambella accanto a questa.
Utilizzeremo le fette divise.
Visualizzeremo i nostri dati a seconda del termine che scegliamo. In questo caso il termine si riferirà a MITRE ATT & CK.
In Winlogbeat, il campo che ci fornirà queste informazioni si chiama:
winlog.event_data.RuleNameImposteremo una metrica di conteggio per ordinare gli eventi in base al numero di volte in cui si verificano.
Abilita la funzione "Raggruppa altri valori in un segmento separato".
Ciò sarà utile se i termini che scegli hanno molti significati diversi in base al ritmo. Ciò aiuta a visualizzare il resto dei dati nel loro insieme. Questo ti darà un'idea della percentuale di eventi rimanenti.
Ora che abbiamo finito di impostare la scheda dati, passiamo alla scheda delle opzioni
È necessario effettuare le seguenti operazioni:
**Rimuovi la forma a ciambella in modo che il rendering mostri un cerchio completo.
**Scegli la posizione della legenda che preferisci. In questo caso li visualizzeremo a destra.
**Imposta i valori di visualizzazione da mostrare accanto allo snippet per una lettura più semplice e lascia il resto come predefinito
Il troncamento determina quanto vuoi visualizzare dal nome dell'evento.
Imposta l'ora in cui desideri che inizi il rendering, quindi fai clic sul quadrato blu.
Dovresti ottenere qualcosa del genere:
Puoi anche aggiungere un filtro alla tua visualizzazione per filtrare l'host specifico che desideri controllare o qualsiasi parametro che ritieni utile per il tuo scopo. La visualizzazione mostrerà solo i dati che corrispondono alla regola inserita nel filtro. In questo caso, visualizzeremo solo i dati MITRE ATT&CK provenienti dall'host denominato win10.
3-2- Creazione della tua prima dashboard:
Una dashboard è una raccolta di numerose visualizzazioni. Le tue dashboard dovrebbero essere chiare, comprensibili e contenere dati utili e deterministici. Ecco un esempio delle dashboard che abbiamo creato da zero per winlogbeat.
Grazie per il tuo tempo. Spero che tu abbia trovato utile questo articolo. Se desideri maggiori informazioni sull'argomento ti consigliamo di visitare .
Chat di Telegram su Elasticsearch:
Fonte: habr.com