この投稿では、ELK での ELK および SIEM ダッシュボードの視覚化のセットアップについて説明します。
この記事は次のセクションに分かれています。
1-ELK SIEM レビュー
2- デフォルトのダッシュボード
3- 最初のダッシュボードの作成
すべての投稿の目次。
導入。 SOC as a Service (SOCasS) のインフラストラクチャとテクノロジーの導入 ELK スタック - インストールと構成 オープンなディストリビューションを見てみる ダッシュボードとELK SIEMの視覚化 - WAZUHとの統合
- 警告中
- 報告
- ケースマネジメント
1-ELK SIEM レビュー
ELK SIEM は、7.2 年 25 月 2019 日にバージョン XNUMX の elk スタックに最近追加されました。
これは、セキュリティ アナリストの作業をはるかに容易にし、退屈を軽減するために elastic.co によって作成された SIEM ソリューションです。
私たちのバージョンの作業では、独自の SIEM を作成し、独自のコントロール パネルを選択することにしました。
しかし、私たちはまず ELK SIEM について調べることが重要だと考えています。
1.1- 主催イベントセクション
まずホストセクションを見てみましょう。 ホスト セクションでは、エンドポイント自体で生成されたイベントを確認できます。
[ホストの表示] をクリックすると、次のような内容が表示されるはずです。 ご覧のとおり、このコンピュータには XNUMX つのホストが接続されています。
1 Windows10。
2 Ubuntuサーバー18.04。
いくつかのビジュアライゼーションが表示されており、それぞれが異なるタイプのイベントを表しています。
たとえば、中央のものは XNUMX 台すべてのマシンのログイン データを示しています。
ここに表示されるこの量のデータは、XNUMX 日間にわたって収集されたものです。 これは、ログインの失敗と成功が多数発生する理由の説明になります。 おそらくログの数は少ないので、心配しないでください。
1.2- ネットワーク イベント セクション
ネットワークセクションに進むと、次のようになります。 このセクションを使用すると、HTTP/TLS トラフィックから DNS トラフィック、外部イベント アラートまで、ネットワーク上で発生するすべてのことを注意深く監視できます。
2- デフォルトのダッシュボード
ユーザーの作業を容易にするために、elastic.co 開発者は、ELK によって正式にサポートされるデフォルトのツールバーを作成しました。 私たちのビートもこのルールの例外ではありませんでした。 ここでは、Packetbeat のデフォルトのダッシュボードを例として使用します。
この記事のステップ XNUMX に正しく従った場合。 ツールバーがセットアップされて待機しているはずです。 それでは始めましょう。
Kibana の左側のタブから、ダッシュボードのシンボルを選択します。 上から数えるとXNUMX番目です。
検索タブに共有名を入力します
ビット内に複数のモジュールがある場合。 それぞれにコントロール パネルが作成されます。 ただし、空でないデータが表示されるのは、モジュールがアクティブになっているものだけです。
モジュール名が付いているものを選択します。
これがメインのテンプレートです パケットビート.
これはネットワークフロー制御パネルです。 これにより、受信パケットと送信パケット、IP アドレスの送信元と宛先がわかり、セキュリティ センターのアナリストにとっても役立つ情報が数多く提供されます。
3 — 最初のダッシュボードの作成
3–1- 基本概念
A- ダッシュボードの種類:
これらは、データの視覚化に使用できるさまざまなタイプの視覚化です。
たとえば次のようなものがあります。
- 棒グラフ
- マップ
- マークダウン ウィジェット
- 円グラフ
B- KQL (Kibana クエリ言語):
これは、データを簡単に検索するために Kibana で使用される言語です。 特定のデータが存在するかどうかを確認したり、その他多くの便利な機能を使用したりできます。 さらに詳しく知りたい場合は、このリンクで情報を調べてください。
これは、Windows 10 pro を実行しているホストを検索するためのクエリの例です。
C-フィルター:
この機能を使用すると、ホスト名、イベント コード、ID などの特定のパラメータをフィルタリングできます。フィルタにより、証拠の検索に費やす時間と労力の点で、調査フェーズが大幅に改善されます。
D- 最初の視覚化:
MITRE ATT & CK のビジュアライゼーションを作成してみましょう。
まず、次の場所に行く必要があります ダッシュボード → 新しいダッシュボードの作成 → 新規作成 → 円グラフ ダッシュボード
インデックスパターンのタイプを設定し、ビート名をタップします。
Enterを押します。 もう緑色のドーナツが表示されているはずです。
左側の「バケット」タブには次のものが表示されます。
— スライスを分割すると、データの広がりに応じてドーナツがさまざまな部分に分割されます。
- 分割チャートは、このドーナツの隣に別のドーナツを作成します。
分割スライスを使用します。
選択した用語に応じてデータを視覚化します。 この場合、この用語は MITRE ATT & CK を指します。
Winlogbeat では、この情報を提供するフィールドは次のように呼ばれます。
winlog.event_data.RuleName
イベントの発生回数に基づいてイベントを並べ替えるカウント メトリックを設定します。
「他の値を別のセグメントにグループ化」機能を有効にします。
これは、選択した用語がリズムに基づいてさまざまな意味を持つ場合に役立ちます。 これは、残りのデータを全体として視覚化するのに役立ちます。 これにより、残りのイベントの割合がわかります。
データタブの設定が完了したので、オプションタブに進みましょう
次のことを行う必要があります。
**レンダリングで完全な円が表示されるように、ドーナツ形状を削除します。
**お好みの凡例の位置を選択してください。 この場合、右側に表示します。
**読みやすいようにスニペットの隣に表示値を設定し、残りはデフォルトのままにします
切り捨ては、イベント名からどの程度表示するかを決定します。
レンダリングを開始する時間を設定し、青い四角をクリックします。
最終的には次のようになります。
視覚化にフィルターを追加して、確認したい特定のホストや、目的に役立つと思われるパラメーターを除外することもできます。 ビジュアライゼーションには、フィルターに設定されたルールに一致するデータのみが表示されます。 この場合、win10 という名前のホストからの MITRE ATT&CK データのみを表示します。
3-2- 最初のダッシュボードの作成:
ダッシュボードは、多くのビジュアライゼーションのコレクションです。 ダッシュボードは明確で理解しやすく、有用で決定的なデータが含まれている必要があります。 以下は、winlogbeat 用に最初から作成したダッシュボードの例です。
お時間をいただきありがとうございます。 この記事がお役に立てば幸いです。 このトピックについてさらに詳しく知りたい場合は、次のサイトにアクセスすることをお勧めします。
Elasticsearch でのテレグラム チャット:
出所: habr.com