Kiriman iki bakal njlèntrèhaké nyiyapake visualisasi dasbor ELK lan SIEM ing ELK
Artikel kasebut dipérang dadi bagean ing ngisor iki:
1- ELK SIEM Review
2- Dasbor standar
3- Nggawe dashboard pisanan
Daftar isi kabeh kiriman.
- Integrasi karo WAZUH
- Waspada
- Nglaporake
- Manajemen Kasus
1-ELK SIEM Review
ELK SIEM bubar ditambahake menyang tumpukan elk ing versi 7.2 tanggal 25 Juni 2019.
Iki minangka solusi SIEM sing digawe dening elastic.co kanggo nggawe urip analis keamanan luwih gampang lan ora bosen.
Ing versi karya, kita mutusake nggawe SIEM dhewe lan milih panel kontrol dhewe.
Nanging kita mikir penting kanggo njelajah ELK SIEM dhisik.
1.1- Bagean acara Host
Kita bakal ndeleng bagean host dhisik. Bagean host bakal ngidini sampeyan ndeleng acara sing digawe ing titik pungkasan dhewe.
Sawise ngeklik tampilan host sampeyan kudu entuk kaya iki. Kaya sing sampeyan ngerteni, ana telung host sing disambungake menyang komputer iki:
1 Windows 10.
2 Ubuntu Server 18.04.
Kita duwe sawetara visualisasi sing ditampilake, saben makili macem-macem acara.
Contone, ing tengah nuduhake data login ing kabeh telung mesin.
Jumlah data sing sampeyan deleng ing kene diklumpukake sajrone limang dina. Iki nerangake nomer akeh login gagal lan sukses. Sampeyan bisa uga duwe sawetara log, mula aja kuwatir
1.2- Bagean acara jaringan
Ngalih menyang bagean jaringan, sampeyan kudu njaluk kaya iki. Bagean iki bakal ngidini sampeyan ngawasi kabeh sing kedadeyan ing jaringan, saka lalu lintas HTTP/TLS nganti lalu lintas DNS lan tandha acara eksternal.
2- Dasbor standar
Kanggo nggawe urip luwih gampang kanggo pangguna, pangembang elastic.co wis nggawe toolbar standar sing didhukung resmi dening ELK. Ketukan kita ora ana sing istiméwa kanggo aturan iki. Ing kene aku bakal nggunakake dashboard standar Packetbeat minangka conto.
Yen sampeyan ngetutake langkah loro artikel kasebut kanthi bener. Sampeyan kudu nyiyapake toolbar nunggu sampeyan. Dadi ayo miwiti.
Saka tab kiwa Kibana, pilih simbol dashboard. Iki sing nomer telu, yen diitung saka ndhuwur.
Ketik jeneng bareng ing tab telusuran
Yen ana sawetara modul ing bit. Panel kontrol bakal digawe kanggo saben wong. Nanging mung siji karo modul aktif bakal nampilake data non-kosong.
Pilih siji karo jeneng modul.
Iki minangka cithakan utama PaketBeat.
Iki minangka panel kontrol aliran jaringan. Bakal ngandhani babagan paket mlebu lan metu, sumber lan tujuan alamat IP, lan uga menehi akeh informasi migunani kanggo analis pusat keamanan.
3 - Nggawe dashboard pisanan sampeyan
3–1- Konsep Dasar
A- Jenis dashboard:
Iki minangka macem-macem jinis visualisasi sing bisa digunakake kanggo nggambarake data sampeyan.
contone, kita duwe:
- grafik bar
- map
- Widget markdown
- Bagan pie
B- KQL (Basa Kueri Kibana):
Iki minangka basa sing digunakake ing Kibana kanggo nggoleki data kanthi gampang. Ngidini sampeyan mriksa manawa ana data tartamtu lan akeh fitur migunani liyane. Kanggo mangerteni sing luwih lengkap, sampeyan bisa njelajah informasi ing link iki
Iki minangka conto pitakon kanggo nemokake host sing mlaku Windows 10 pro.
C- Filter:
Fitur iki bakal ngidini sampeyan nyaring parameter tartamtu kayata jeneng host, kode acara utawa ID, lan sapiturute.
D- Visualisasi pisanan:
Ayo nggawe visualisasi kanggo MITRE ATT & CK.
Pisanan kita kudu pindhah menyang Dashboard → Create new dashboard → create new → Pie dashboard
Setel jinis pola indeks, banjur tutul jeneng irama sampeyan.
Pencet Enter. Saiki sampeyan kudu ndeleng donat ijo.
Ing tab Bucket ing sisih kiwa sampeyan bakal nemokake:
- Irisan pamisah bakal mbagi donat dadi bagean sing beda-beda gumantung saka panyebaran data.
- Bagan Split bakal nggawe donat liyane ing jejere iki.
Kita bakal nggunakake irisan pamisah.
Kita bakal nggambarake data kita gumantung saka istilah sing kita pilih. Ing kasus iki, istilah kasebut bakal ngrujuk menyang MITRE ATT & CK.
Ing Winlogbeat, lapangan sing bakal menehi informasi iki diarani:
winlog.event_data.RuleNameKita bakal nyiyapake metrik count kanggo ngurutake acara adhedhasar frekuensi kedadeyan kasebut.
Aktifake fitur "Kelompokake nilai liyane ing bagean sing kapisah".
Iki bakal migunani yen istilah sing sampeyan pilih duwe macem-macem makna adhedhasar irama. Iki mbantu nggambarake data liyane kanthi sakabehe. Iki bakal menehi ide babagan persentase acara sing isih ana.
Saiki kita wis rampung nyetel tab data, ayo pindhah menyang tab pilihan
Sampeyan kudu nindakake ing ngisor iki:
** Copot wangun donat supaya rendering nuduhake bunder lengkap.
** Pilih posisi legenda sing disenengi. Ing kasus iki, kita bakal nampilake ing sisih tengen.
** Setel nilai tampilan kanggo ditampilake ing jejere cuplikan supaya luwih gampang diwaca lan ninggalake liyane minangka standar
Truncation nemtokake jumlah sing pengin ditampilake saka jeneng acara.
Setel wektu nalika sampeyan pengin rendering diwiwiti, banjur klik kothak biru.
Sampeyan kudu mungkasi karo kaya iki:
Sampeyan uga bisa nambah saringan menyang visualisasi kanggo nyaring host tartamtu sing pengin dipriksa utawa paramèter sing sampeyan pikir migunani kanggo tujuan sampeyan. Visualisasi mung bakal nampilake data sing cocog karo aturan sing diselehake ing saringan. Ing kasus iki, kita mung bakal nampilake data MITRE ATT&CK saka host sing jenenge win10.
3-2- Nggawe dasbor pisanan sampeyan:
Dashboard minangka koleksi akeh visualisasi. Dashboard sampeyan kudu jelas, bisa dingerteni, lan ngemot data deterministik sing migunani. Iki minangka conto dashboard sing digawe saka awal kanggo winlogbeat.
Matur suwun kanggo wektumu. Muga-muga sampeyan nemokake artikel iki migunani. Yen sampeyan pengin informasi luwih lengkap babagan topik, disaranake sampeyan ngunjungi .
Obrolan Telegram ing Elasticsearch:
Source: www.habr.com