Бұл пост ELK жүйесінде ELK және SIEM бақылау тақталарының визуализациясын орнатуды сипаттайды
Мақала келесі бөлімдерге бөлінген:
1- ELK SIEM шолуы
2- Әдепкі бақылау тақталары
3- Алғашқы бақылау тақталарын жасау
Барлық жазбалардың мазмұны.
- WAZUH-мен интеграция
- Ескерту
- Есеп беру
- Case Management
1-ELK SIEM шолуы
ELK SIEM жақында 7.2 жылдың 25 маусымында 2019 нұсқасындағы бұлан стекіне қосылды.
Бұл қауіпсіздік талдаушысының өмірін анағұрлым жеңіл және аз жалықтыру үшін elastic.co жасаған SIEM шешімі.
Жұмыстың нұсқасында біз өзіміздің SIEM-ді құруды және өз басқару панелін таңдауды шештік.
Бірақ біз алдымен ELK SIEM-ті зерттеу маңызды деп ойлаймыз.
1.1- Хост оқиғалары бөлімі
Алдымен хост бөлімін қарастырамыз. Хост бөлімі соңғы нүктеде жасалған оқиғаларды көруге мүмкіндік береді.
Хосттарды қарауды басқаннан кейін сіз осындай нәрсені алуыңыз керек. Көріп отырғаныңыздай, бұл компьютерге қосылған үш хост бар:
1 Windows 10.
2 Ubuntu сервері 18.04.
Бізде әр түрлі оқиғалар түрлерін көрсететін бірнеше визуализация бар.
Мысалы, ортадағы біреуі барлық үш машинада кіру деректерін көрсетеді.
Бұл жерде көрсетілген деректер көлемі бес күн ішінде жиналды. Бұл сәтсіз және сәтті кірулердің көп санын түсіндіреді. Сізде журналдар саны аз болуы мүмкін, сондықтан алаңдамаңыз
1.2- Желі оқиғалары бөлімі
Желі бөліміне өтіп, сіз осындай нәрсені алуыңыз керек. Бұл бөлім HTTP/TLS трафигінен бастап DNS трафигі мен сыртқы оқиғалар туралы ескертулерге дейін желіңізде болып жатқан барлық нәрсені мұқият бақылауға мүмкіндік береді.
2- Әдепкі бақылау тақталары
Пайдаланушылардың өмірін жеңілдету үшін elastic.co әзірлеушілері ELK ресми түрде қолдау көрсететін әдепкі құралдар тақтасын жасады. Біздің соққыларымыз бұл ережеден тыс қалмады. Мұнда мысал ретінде Packetbeat әдепкі бақылау тақталарын қолданамын.
Егер сіз мақаланың екінші қадамын дұрыс орындасаңыз. Сізде күтіп тұрған құралдар тақтасы болуы керек. Ендеше, бастайық.
Кибананың сол жақ қойындысынан бақылау тақтасының белгісін таңдаңыз. Жоғарыдан санасаңыз, бұл үшінші.
Іздеу қойындысында бөлісу атын енгізіңіз
Егер битте бірнеше модуль болса. Олардың әрқайсысы үшін басқару тақтасы жасалады. Бірақ модуль белсендісі ғана бос емес деректерді көрсетеді.
Модуль атауы бар біреуін таңдаңыз.
Бұл негізгі үлгі PacketBeat.
Бұл желі ағынын басқару тақтасы. Ол бізге кіріс және шығыс пакеттері, IP мекенжайларының көздері мен тағайындалған жерлері туралы айтып береді, сонымен қатар қауіпсіздік орталығының талдаушысы үшін көптеген пайдалы ақпарат береді.
3 — Алғашқы бақылау тақталарын жасау
3–1- Негізгі ұғымдар
A- Бақылау тақталарының түрлері:
Бұл деректеріңізді визуализациялау үшін пайдалануға болатын визуализацияның әртүрлі түрлері.
мысалы, бізде:
- гистограмма
- карта
- Белгілеу виджеті
- Дөңгелек диаграмма
B- KQL (Kibana сұрау тілі):
Бұл деректерді оңай іздеу үшін Кибанада қолданылатын тіл. Ол белгілі бір деректердің және басқа да көптеген пайдалы мүмкіндіктердің бар-жоғын тексеруге мүмкіндік береді. Қосымша ақпарат алу үшін мына сілтеме бойынша ақпаратты зерттей аласыз
Бұл Windows 10 pro жүйесінде жұмыс істейтін хостты табуға арналған мысал сұрауы.
C- Сүзгілер:
Бұл мүмкіндік хост атауы, оқиға коды немесе идентификаторы, т.б. сияқты белгілі бір параметрлерді сүзуге мүмкіндік береді. Сүзгілер дәлелдерді іздеуге жұмсалған уақыт пен күш тұрғысынан тергеу кезеңін айтарлықтай жақсартады.
D- Бірінші визуализация:
MITER ATT & CK үшін визуализация жасайық.
Алдымен біз баруымыз керек Бақылау тақтасы → Жаңа бақылау тақтасын жасау→жаңа →Бөлекті бақылау тақтасын жасау
Индекс үлгісінің түрін орнатыңыз, содан кейін соққының атын түртіңіз.
Enter пернесін басыңыз. Енді сіз жасыл пончикті көруіңіз керек.
Сол жақтағы «Шелектер» қойындысында мыналарды табасыз:
— Бөлінген тілімдер пончикті деректердің таралуына байланысты әртүрлі бөліктерге бөледі.
- Бөлінген диаграмма осының жанында басқа пончик жасайды.
Біз бөлінген кесінділерді қолданамыз.
Біз таңдаған терминге байланысты деректерімізді визуализациялаймыз. Бұл жағдайда термин MITER ATT & CK-ге қатысты болады.
Winlogbeat-те бізге осы ақпаратты беретін өріс деп аталады:
winlog.event_data.RuleNameОқиғаларға олардың орын алу санына қарай тапсырыс беру үшін санау көрсеткішін орнатамыз.
«Басқа мәндерді бөлек сегментте топтау» мүмкіндігін қосыңыз.
Бұл сіз таңдаған терминдер ырғаққа негізделген көптеген әртүрлі мағыналарға ие болса пайдалы болады. Бұл қалған деректерді тұтастай бейнелеуге көмектеседі. Бұл сізге қалған оқиғалардың пайызы туралы түсінік береді.
Деректер қойындысын орнатуды аяқтаған соң, опциялар қойындысына көшейік
Сіз келесі әрекеттерді орындауыңыз керек:
**Рендеринг толық шеңберді көрсету үшін пончик пішінін алып тастаңыз.
**Өзіңізге ұнайтын легенда орнын таңдаңыз. Бұл жағдайда біз оларды оң жақта көрсетеміз.
**Оқуды жеңілдету үшін дисплей мәндерін үзіндінің жанында көрсететін етіп орнатыңыз және қалғанын әдепкі етіп қалдырыңыз
Қысқарту оқиға атауынан қанша көрсеткіңіз келетінін анықтайды.
Рендеринг басталатын уақытты орнатыңыз, содан кейін көк шаршыны басыңыз.
Сіз келесідей нәрсемен аяқтауыңыз керек:
Тексергіңіз келетін арнайы хостты немесе мақсатыңыз үшін пайдалы деп ойлайтын кез келген параметрлерді сүзу үшін визуализацияға сүзгіні қоса аласыз. Визуализация тек сүзгіде орналастырылған ережеге сәйкес келетін деректерді көрсетеді. Бұл жағдайда біз win10 деп аталатын хосттан келетін MITER ATT&CK деректерін ғана көрсетеміз.
3-2- Бірінші бақылау тақтасын жасау:
Бақылау тақтасы - көптеген визуализациялардың жиынтығы. Бақылау тақталары анық, түсінікті және пайдалы, детерминирленген деректерді қамтуы керек. Мұнда winlogbeat үшін нөлден жасалған бақылау тақталарының мысалы берілген.
Уақыт бөлгеніңізге рахмет. Бұл мақала сізге пайдалы болды деп үміттенемін. Тақырып бойынша қосымша ақпарат алғыңыз келсе, кіруді ұсынамыз .
Elasticsearch-тегі Telegram чаты:
Ақпарат көзі: www.habr.com