ELK SIEM ಅನ್ನು ಇತ್ತೀಚೆಗೆ ಜೂನ್ 7.2, 25 ರಂದು ಆವೃತ್ತಿ 2019 ರಲ್ಲಿ ಎಲ್ಕ್ ಸ್ಟಾಕ್ಗೆ ಸೇರಿಸಲಾಗಿದೆ.
ಇದು ಭದ್ರತಾ ವಿಶ್ಲೇಷಕರ ಜೀವನವನ್ನು ಹೆಚ್ಚು ಸುಲಭ ಮತ್ತು ಕಡಿಮೆ ಬೇಸರದಿಂದ ಮಾಡಲು elastic.co ನಿಂದ ರಚಿಸಲಾದ SIEM ಪರಿಹಾರವಾಗಿದೆ.
ನಮ್ಮ ಕೆಲಸದ ಆವೃತ್ತಿಯಲ್ಲಿ, ನಮ್ಮದೇ ಆದ SIEM ಅನ್ನು ರಚಿಸಲು ಮತ್ತು ನಮ್ಮ ಸ್ವಂತ ನಿಯಂತ್ರಣ ಫಲಕವನ್ನು ಆಯ್ಕೆ ಮಾಡಲು ನಾವು ನಿರ್ಧರಿಸಿದ್ದೇವೆ.
ಆದರೆ ELK SIEM ಅನ್ನು ಮೊದಲು ಅನ್ವೇಷಿಸುವುದು ಮುಖ್ಯ ಎಂದು ನಾವು ಭಾವಿಸುತ್ತೇವೆ.
1.1- ಹೋಸ್ಟ್ ಈವೆಂಟ್ಗಳ ವಿಭಾಗ
ನಾವು ಮೊದಲು ಹೋಸ್ಟ್ ವಿಭಾಗವನ್ನು ನೋಡುತ್ತೇವೆ. ಆತಿಥೇಯ ವಿಭಾಗವು ಅಂತಿಮ ಹಂತದಲ್ಲಿಯೇ ರಚಿಸಲಾದ ಈವೆಂಟ್ಗಳನ್ನು ನೋಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ವ್ಯೂ ಹೋಸ್ಟ್ಗಳ ಮೇಲೆ ಕ್ಲಿಕ್ ಮಾಡಿದ ನಂತರ ನೀವು ಈ ರೀತಿಯದನ್ನು ಪಡೆಯಬೇಕು. ನೀವು ನೋಡುವಂತೆ, ಈ ಕಂಪ್ಯೂಟರ್ಗೆ ಮೂರು ಹೋಸ್ಟ್ಗಳು ಸಂಪರ್ಕಗೊಂಡಿವೆ:
1 ವಿಂಡೋಸ್ 10.
2 ಉಬುಂಟು ಸರ್ವರ್ 18.04.
ನಾವು ಹಲವಾರು ದೃಶ್ಯೀಕರಣಗಳನ್ನು ಪ್ರದರ್ಶಿಸಿದ್ದೇವೆ, ಪ್ರತಿಯೊಂದೂ ವಿಭಿನ್ನ ರೀತಿಯ ಈವೆಂಟ್ಗಳನ್ನು ಪ್ರತಿನಿಧಿಸುತ್ತದೆ.
ಉದಾಹರಣೆಗೆ, ಮಧ್ಯದಲ್ಲಿರುವ ಒಂದು ಎಲ್ಲಾ ಮೂರು ಯಂತ್ರಗಳಲ್ಲಿ ಲಾಗಿನ್ ಡೇಟಾವನ್ನು ತೋರಿಸುತ್ತದೆ.
ನೀವು ಇಲ್ಲಿ ಕಾಣುವ ಈ ಪ್ರಮಾಣದ ಡೇಟಾವನ್ನು ಐದು ದಿನಗಳಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ. ಇದು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ವಿಫಲ ಮತ್ತು ಯಶಸ್ವಿ ಲಾಗಿನ್ಗಳನ್ನು ವಿವರಿಸುತ್ತದೆ. ನೀವು ಬಹುಶಃ ಕಡಿಮೆ ಸಂಖ್ಯೆಯ ಲಾಗ್ಗಳನ್ನು ಹೊಂದಿರಬಹುದು, ಆದ್ದರಿಂದ ಚಿಂತಿಸಬೇಡಿ
1.2- ನೆಟ್ವರ್ಕ್ ಈವೆಂಟ್ಗಳ ವಿಭಾಗ
ನೆಟ್ವರ್ಕ್ ವಿಭಾಗಕ್ಕೆ ಹೋಗುವಾಗ, ನೀವು ಈ ರೀತಿಯದನ್ನು ಪಡೆಯಬೇಕು. HTTP/TLS ಟ್ರಾಫಿಕ್ನಿಂದ DNS ಟ್ರಾಫಿಕ್ ಮತ್ತು ಬಾಹ್ಯ ಈವೆಂಟ್ ಎಚ್ಚರಿಕೆಗಳವರೆಗೆ ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ನಡೆಯುವ ಎಲ್ಲವನ್ನೂ ಸೂಕ್ಷ್ಮವಾಗಿ ಗಮನಿಸಲು ಈ ವಿಭಾಗವು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
2- ಡೀಫಾಲ್ಟ್ ಡ್ಯಾಶ್ಬೋರ್ಡ್ಗಳು
ಬಳಕೆದಾರರಿಗೆ ಜೀವನವನ್ನು ಸುಲಭಗೊಳಿಸಲು, elastic.co ಡೆವಲಪರ್ಗಳು ELK ನಿಂದ ಅಧಿಕೃತವಾಗಿ ಬೆಂಬಲಿತವಾದ ಡೀಫಾಲ್ಟ್ ಟೂಲ್ಬಾರ್ ಅನ್ನು ರಚಿಸಿದ್ದಾರೆ. ನಮ್ಮ ಬೀಟ್ಸ್ ಈ ನಿಯಮಕ್ಕೆ ಹೊರತಾಗಿರಲಿಲ್ಲ. ಇಲ್ಲಿ ನಾನು ಪ್ಯಾಕೆಟ್ಬೀಟ್ನ ಡೀಫಾಲ್ಟ್ ಡ್ಯಾಶ್ಬೋರ್ಡ್ಗಳನ್ನು ಉದಾಹರಣೆಯಾಗಿ ಬಳಸುತ್ತೇನೆ.
ನೀವು ಲೇಖನದ ಎರಡು ಹಂತವನ್ನು ಸರಿಯಾಗಿ ಅನುಸರಿಸಿದರೆ. ನಿಮಗಾಗಿ ಕಾಯುತ್ತಿರುವ ಟೂಲ್ಬಾರ್ ಅನ್ನು ನೀವು ಹೊಂದಿರಬೇಕು. ಆದ್ದರಿಂದ ಪ್ರಾರಂಭಿಸೋಣ.
ಕಿಬಾನಾದ ಎಡ ಟ್ಯಾಬ್ನಿಂದ, ಡ್ಯಾಶ್ಬೋರ್ಡ್ ಚಿಹ್ನೆಯನ್ನು ಆಯ್ಕೆಮಾಡಿ. ನೀವು ಮೇಲಿನಿಂದ ಎಣಿಸಿದರೆ ಇದು ಮೂರನೆಯದು.
ಹುಡುಕಾಟ ಟ್ಯಾಬ್ನಲ್ಲಿ ಹಂಚಿಕೆ ಹೆಸರನ್ನು ನಮೂದಿಸಿ
ಬಿಟ್ನಲ್ಲಿ ಹಲವಾರು ಮಾಡ್ಯೂಲ್ಗಳಿದ್ದರೆ. ಅವುಗಳಲ್ಲಿ ಪ್ರತಿಯೊಂದಕ್ಕೂ ನಿಯಂತ್ರಣ ಫಲಕವನ್ನು ರಚಿಸಲಾಗುತ್ತದೆ. ಆದರೆ ಮಾಡ್ಯೂಲ್ ಸಕ್ರಿಯವಾಗಿರುವ ಒಂದು ಮಾತ್ರ ಖಾಲಿ-ಅಲ್ಲದ ಡೇಟಾವನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ.
ನಿಮ್ಮ ಮಾಡ್ಯೂಲ್ ಹೆಸರಿನೊಂದಿಗೆ ಒಂದನ್ನು ಆಯ್ಕೆಮಾಡಿ.
ಇದು ಮುಖ್ಯ ಟೆಂಪ್ಲೇಟ್ ಆಗಿದೆ ಪ್ಯಾಕೆಟ್ಬೀಟ್.
ಇದು ನೆಟ್ವರ್ಕ್ ಹರಿವಿನ ನಿಯಂತ್ರಣ ಫಲಕವಾಗಿದೆ. ಇದು ಒಳಬರುವ ಮತ್ತು ಹೊರಹೋಗುವ ಪ್ಯಾಕೆಟ್, IP ವಿಳಾಸಗಳ ಮೂಲಗಳು ಮತ್ತು ಗಮ್ಯಸ್ಥಾನಗಳ ಬಗ್ಗೆ ನಮಗೆ ತಿಳಿಸುತ್ತದೆ ಮತ್ತು ಭದ್ರತಾ ಕೇಂದ್ರ ವಿಶ್ಲೇಷಕರಿಗೆ ಸಾಕಷ್ಟು ಉಪಯುಕ್ತ ಮಾಹಿತಿಯನ್ನು ಒದಗಿಸುತ್ತದೆ.
3 - ನಿಮ್ಮ ಮೊದಲ ಡ್ಯಾಶ್ಬೋರ್ಡ್ಗಳನ್ನು ರಚಿಸುವುದು
3–1- ಮೂಲ ಪರಿಕಲ್ಪನೆಗಳು
ಎ- ಡ್ಯಾಶ್ಬೋರ್ಡ್ಗಳ ವಿಧಗಳು:
ನಿಮ್ಮ ಡೇಟಾವನ್ನು ದೃಶ್ಯೀಕರಿಸಲು ನೀವು ಬಳಸಬಹುದಾದ ವಿವಿಧ ರೀತಿಯ ದೃಶ್ಯೀಕರಣಗಳು ಇವು.
ಉದಾಹರಣೆಗೆ ನಾವು ಹೊಂದಿದ್ದೇವೆ:
ಬಾರ್ ಗ್ರಾಫ್
ನಕ್ಷೆ
ಮಾರ್ಕ್ಡೌನ್ ವಿಜೆಟ್
ಪೈ ಚಾರ್ಟ್
B- KQL (ಕಿಬಾನಾ ಪ್ರಶ್ನೆ ಭಾಷೆ):
ಡೇಟಾವನ್ನು ಸುಲಭವಾಗಿ ಹುಡುಕಲು ಕಿಬಾನಾದಲ್ಲಿ ಬಳಸಲಾಗುವ ಭಾಷೆ ಇದು. ಕೆಲವು ಡೇಟಾ ಅಸ್ತಿತ್ವದಲ್ಲಿದೆಯೇ ಮತ್ತು ಇತರ ಹಲವು ಉಪಯುಕ್ತ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಇದು ನಿಮ್ಮನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಹೆಚ್ಚಿನದನ್ನು ಕಂಡುಹಿಡಿಯಲು, ನೀವು ಈ ಲಿಂಕ್ನಲ್ಲಿ ಮಾಹಿತಿಯನ್ನು ಅನ್ವೇಷಿಸಬಹುದು
ವಿಂಡೋಸ್ 10 ಪ್ರೊ ಚಾಲನೆಯಲ್ಲಿರುವ ಹೋಸ್ಟ್ ಅನ್ನು ಹುಡುಕಲು ಇದು ಒಂದು ಉದಾಹರಣೆ ಪ್ರಶ್ನೆಯಾಗಿದೆ.
ಸಿ-ಫಿಲ್ಟರ್ಗಳು:
ಈ ವೈಶಿಷ್ಟ್ಯವು ಹೋಸ್ಟ್ಹೆಸರು, ಈವೆಂಟ್ ಕೋಡ್ ಅಥವಾ ID, ಇತ್ಯಾದಿಗಳಂತಹ ಕೆಲವು ನಿಯತಾಂಕಗಳನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಶೋಧಕಗಳು ಸಾಕ್ಷ್ಯಕ್ಕಾಗಿ ಹುಡುಕುವ ಸಮಯ ಮತ್ತು ಶ್ರಮದ ವಿಷಯದಲ್ಲಿ ತನಿಖೆಯ ಹಂತವನ್ನು ಹೆಚ್ಚು ಸುಧಾರಿಸುತ್ತದೆ.
ಡಿ- ಮೊದಲ ದೃಶ್ಯೀಕರಣ:
MITER ATT & CK ಗಾಗಿ ದೃಶ್ಯೀಕರಣವನ್ನು ರಚಿಸೋಣ.
ಮೊದಲು ನಾವು ಹೋಗಬೇಕಾಗಿದೆ ಡ್ಯಾಶ್ಬೋರ್ಡ್ → ಹೊಸ ಡ್ಯಾಶ್ಬೋರ್ಡ್ ರಚಿಸಿ→ಹೊಸ →ಪೈ ಡ್ಯಾಶ್ಬೋರ್ಡ್ ರಚಿಸಿ
ಸೂಚ್ಯಂಕ ಮಾದರಿಯ ಪ್ರಕಾರವನ್ನು ಹೊಂದಿಸಿ, ನಂತರ ನಿಮ್ಮ ಬೀಟ್ನ ಹೆಸರನ್ನು ಟ್ಯಾಪ್ ಮಾಡಿ.
ಎಂಟರ್ ಒತ್ತಿರಿ. ಈಗ ನೀವು ಹಸಿರು ಡೋನಟ್ ಅನ್ನು ನೋಡಬೇಕು.
ಎಡಭಾಗದಲ್ಲಿರುವ ಬಕೆಟ್ಗಳ ಟ್ಯಾಬ್ನಲ್ಲಿ ನೀವು ಕಾಣಬಹುದು:
— ಸ್ಪ್ಲಿಟ್ ಸ್ಲೈಸ್ಗಳು ಡೇಟಾದ ಹರಡುವಿಕೆಯನ್ನು ಅವಲಂಬಿಸಿ ಡೋನಟ್ ಅನ್ನು ವಿವಿಧ ಭಾಗಗಳಾಗಿ ವಿಭಜಿಸುತ್ತವೆ.
- ಸ್ಪ್ಲಿಟ್ ಚಾರ್ಟ್ ಇದರ ಪಕ್ಕದಲ್ಲಿ ಮತ್ತೊಂದು ಡೋನಟ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ.
ನಾವು ವಿಭಜಿತ ಚೂರುಗಳನ್ನು ಬಳಸುತ್ತೇವೆ.
ನಾವು ಆಯ್ಕೆಮಾಡುವ ಪದವನ್ನು ಅವಲಂಬಿಸಿ ನಮ್ಮ ಡೇಟಾವನ್ನು ನಾವು ದೃಶ್ಯೀಕರಿಸುತ್ತೇವೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ ಪದವು MITER ATT & CK ಅನ್ನು ಉಲ್ಲೇಖಿಸುತ್ತದೆ.
Winlogbeat ನಲ್ಲಿ, ಈ ಮಾಹಿತಿಯನ್ನು ನಮಗೆ ಒದಗಿಸುವ ಕ್ಷೇತ್ರವನ್ನು ಹೀಗೆ ಕರೆಯಲಾಗುತ್ತದೆ:
winlog.event_data.RuleName
ಈವೆಂಟ್ಗಳು ಎಷ್ಟು ಬಾರಿ ಸಂಭವಿಸುತ್ತವೆ ಎಂಬುದರ ಆಧಾರದ ಮೇಲೆ ನಾವು ಎಣಿಕೆ ಮೆಟ್ರಿಕ್ ಅನ್ನು ಹೊಂದಿಸುತ್ತೇವೆ.
"ಇತರ ಮೌಲ್ಯಗಳನ್ನು ಪ್ರತ್ಯೇಕ ವಿಭಾಗದಲ್ಲಿ ಗುಂಪು ಮಾಡಿ" ವೈಶಿಷ್ಟ್ಯವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ.
ನೀವು ಆಯ್ಕೆ ಮಾಡುವ ಪದಗಳು ಲಯವನ್ನು ಆಧರಿಸಿ ಹಲವು ವಿಭಿನ್ನ ಅರ್ಥಗಳನ್ನು ಹೊಂದಿದ್ದರೆ ಇದು ಉಪಯುಕ್ತವಾಗಿರುತ್ತದೆ. ಇದು ಒಟ್ಟಾರೆಯಾಗಿ ಉಳಿದ ಡೇಟಾವನ್ನು ದೃಶ್ಯೀಕರಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ. ಇದು ನಿಮಗೆ ಉಳಿದಿರುವ ಘಟನೆಗಳ ಶೇಕಡಾವಾರು ಕಲ್ಪನೆಯನ್ನು ನೀಡುತ್ತದೆ.
ಈಗ ನಾವು ಡೇಟಾ ಟ್ಯಾಬ್ ಅನ್ನು ಹೊಂದಿಸುವುದನ್ನು ಪೂರ್ಣಗೊಳಿಸಿದ್ದೇವೆ, ನಾವು ಆಯ್ಕೆಗಳ ಟ್ಯಾಬ್ಗೆ ಹೋಗೋಣ
ನೀವು ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಮಾಡಬೇಕು:
** ಡೋನಟ್ ಆಕಾರವನ್ನು ತೆಗೆದುಹಾಕಿ ಇದರಿಂದ ರೆಂಡರಿಂಗ್ ಪೂರ್ಣ ವೃತ್ತವನ್ನು ತೋರಿಸುತ್ತದೆ.
** ನೀವು ಇಷ್ಟಪಡುವ ಲೆಜೆಂಡ್ ಸ್ಥಾನವನ್ನು ಆರಿಸಿ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ನಾವು ಅವುಗಳನ್ನು ಬಲಭಾಗದಲ್ಲಿ ಪ್ರದರ್ಶಿಸುತ್ತೇವೆ.
** ಸುಲಭವಾದ ಓದುವಿಕೆಗಾಗಿ ಅವರ ತುಣುಕಿನ ಪಕ್ಕದಲ್ಲಿ ತೋರಿಸಲು ಪ್ರದರ್ಶನ ಮೌಲ್ಯಗಳನ್ನು ಹೊಂದಿಸಿ ಮತ್ತು ಉಳಿದವುಗಳನ್ನು ಡೀಫಾಲ್ಟ್ ಆಗಿ ಬಿಡಿ
ಈವೆಂಟ್ ಹೆಸರಿನಿಂದ ನೀವು ಎಷ್ಟು ಪ್ರದರ್ಶಿಸಲು ಬಯಸುತ್ತೀರಿ ಎಂಬುದನ್ನು ಮೊಟಕುಗೊಳಿಸುವಿಕೆ ನಿರ್ಧರಿಸುತ್ತದೆ.
ರೆಂಡರಿಂಗ್ ಪ್ರಾರಂಭವಾಗಲು ನೀವು ಬಯಸುವ ಸಮಯವನ್ನು ಹೊಂದಿಸಿ, ತದನಂತರ ನೀಲಿ ಚೌಕವನ್ನು ಕ್ಲಿಕ್ ಮಾಡಿ.
ನೀವು ಈ ರೀತಿಯೊಂದಿಗೆ ಕೊನೆಗೊಳ್ಳಬೇಕು:
ನೀವು ಪರಿಶೀಲಿಸಲು ಬಯಸುವ ನಿರ್ದಿಷ್ಟ ಹೋಸ್ಟ್ ಅಥವಾ ನಿಮ್ಮ ಉದ್ದೇಶಕ್ಕಾಗಿ ಉಪಯುಕ್ತವೆಂದು ನೀವು ಭಾವಿಸುವ ಯಾವುದೇ ನಿಯತಾಂಕಗಳನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಲು ನಿಮ್ಮ ದೃಶ್ಯೀಕರಣಕ್ಕೆ ನೀವು ಫಿಲ್ಟರ್ ಅನ್ನು ಸೇರಿಸಬಹುದು. ದೃಶ್ಯೀಕರಣವು ಫಿಲ್ಟರ್ನಲ್ಲಿ ಇರಿಸಲಾದ ನಿಯಮಕ್ಕೆ ಹೊಂದಿಕೆಯಾಗುವ ಡೇಟಾವನ್ನು ಮಾತ್ರ ಪ್ರದರ್ಶಿಸುತ್ತದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ನಾವು win10 ಹೆಸರಿನ ಹೋಸ್ಟ್ನಿಂದ ಬರುವ MITER ATT&CK ಡೇಟಾವನ್ನು ಮಾತ್ರ ಪ್ರದರ್ಶಿಸುತ್ತೇವೆ.
3-2- ನಿಮ್ಮ ಮೊದಲ ಡ್ಯಾಶ್ಬೋರ್ಡ್ ರಚಿಸಲಾಗುತ್ತಿದೆ:
ಡ್ಯಾಶ್ಬೋರ್ಡ್ ಅನೇಕ ದೃಶ್ಯೀಕರಣಗಳ ಸಂಗ್ರಹವಾಗಿದೆ. ನಿಮ್ಮ ಡ್ಯಾಶ್ಬೋರ್ಡ್ಗಳು ಸ್ಪಷ್ಟವಾಗಿರಬೇಕು, ಅರ್ಥವಾಗುವಂತಿರಬೇಕು ಮತ್ತು ಉಪಯುಕ್ತ, ನಿರ್ಣಾಯಕ ಡೇಟಾವನ್ನು ಹೊಂದಿರಬೇಕು. ವಿನ್ಲಾಗ್ಬೀಟ್ಗಾಗಿ ನಾವು ಮೊದಲಿನಿಂದ ರಚಿಸಿದ ಡ್ಯಾಶ್ಬೋರ್ಡ್ಗಳ ಉದಾಹರಣೆ ಇಲ್ಲಿದೆ.
ನಿಮ್ಮ ಸಮಯಕ್ಕಾಗಿ ಧನ್ಯವಾದಗಳು. ಈ ಲೇಖನವು ನಿಮಗೆ ಸಹಾಯಕವಾಗಿದೆಯೆಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ. ನೀವು ವಿಷಯದ ಕುರಿತು ಹೆಚ್ಚಿನ ಮಾಹಿತಿಯನ್ನು ಬಯಸಿದರೆ, ನೀವು ಭೇಟಿ ನೀಡಲು ನಾವು ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ ಅಧಿಕೃತ ವೆಬ್ಸೈಟ್.