Ev post dê sazkirina dîmendera tabloyên ELK û SIEM li ELK-ê diyar bike
Gotar di beşên jêrîn de dabeş dibe:
1- ELK SIEM Review
2- Tabloyên xwerû
3- Çêkirina tabloyên xwe yên yekem
Tabloya naveroka hemî postan.
- Yekbûn bi WAZUH re
- Hişyar kirin
- Raporkirin
- Birêvebirinê
1-ELK SIEM Review
ELK SIEM herî dawî di 7.2-ê Hezîrana 25-an de di guhertoya 2019-ê de li staka elk hate zêdekirin.
Ev çareseriyek SIEM-ê ye ku ji hêla elastic.co ve hatî afirandin da ku jiyana analîstek ewlehiyê pir hêsantir û kêmtir tiral bike.
Di guhertoya xebata xwe de, me biryar da ku em SIEM-a xwe biafirînin û panela kontrola xwe hilbijêrin.
Lê em difikirin ku girîng e ku pêşî li ELK SIEM keşif bikin.
1.1- Beşa bûyerên mêvandar
Em ê pêşî li beşa mêvandar binêrin. Beşa mêvandar dê bihêle hûn bûyerên ku di dawiya xwe de têne çêkirin bibînin.
Piştî ku hûn li ser dîtina mêvandar bikirtînin, divê hûn tiştek weha bistînin. Wekî ku hûn dikarin bibînin, sê mêvandar bi vê komputerê ve girêdayî hene:
1 Windows 10.
2 Pêşkêşkara Ubuntu 18.04.
Gelek dîmenên me têne xuyang kirin, ku her yek celeb bûyeran temsîl dike.
Mînakî, ya di navîn de daneyên têketinê li ser her sê makîneyan nîşan dide.
Ev mîqdara daneyên ku hûn li vir dibînin di nav pênc rojan de hatine berhev kirin. Ev hejmareke mezin têketinên têkçûyî û serfiraz diyar dike. Dibe ku hûn ê hejmarek piçûkek têketin hebin, ji ber vê yekê xem nekin
1.2- Beşa bûyerên torê
Biçe ser beşa torê, divê hûn tiştek weha bistînin. Ev beş dê bihêle ku hûn çavê xwe li her tiştê ku li ser tora we diqewime, ji seyrûsefera HTTP/TLS bigire heya seyrûsefera DNS û hişyariyên bûyera derveyî.
2- Tabloyên xwerû
Ji bo ku jiyan ji bikarhêneran re hêsantir bike, pêşdebirên elastic.co toolbarek xwerû ku bi fermî ji hêla ELK ve hatî piştgirî kirin çêkirine. Lêdanên me jî ji vê rêgezê ne îstîsna bûn. Li vir ez ê dashboardên xwerû yên Packetbeat wekî mînak bikar bînim.
Ger we gava duduyan ya gotarê rast şopand. Divê tu toolbarek li benda we be. Ji ber vê yekê em dest pê bikin.
Ji tabloya çepê ya Kibana, sembola dashboardê hilbijêrin. Ger hûn ji jor ve bijmêrin, ev ya sêyemîn e.
Navê parvekirinê di tabloya lêgerînê de binivîse
Ger di bit de çend modul hebin. Ji bo her yek ji wan panelek kontrolê dê were çêkirin. Lê tenê ya ku modulê çalak e dê daneyên ne vala nîşan bide.
Yeka bi navê modula xwe hilbijêrin.
Ev şablonê sereke ye PacketBeat.
Ev panela kontrola herikîna torê ye. Ew ê li ser pakêta hatî û derketinê, çavkanî û mebestên navnîşanên IP-yê ji me re vebêje, û ji bo analîstek navendek ewlehiyê jî gelek agahdariya kêrhatî peyda dike.
3 - Afirandina dashboardên xwe yên yekem
3–1- Têgînên Bingehîn
A- Cûreyên tabloyan:
Van celebên dîtbarî yên cihêreng in ku hûn dikarin bikar bînin da ku daneyên xwe xuyang bikin.
bo nimûne em hene:
- grafika bar
- map
- Widget Markdown
- Pie chart
B- KQL (Kibana Query Ziman):
Ev ziman e ku di Kibana de ji bo lêgerîna hêsan a daneyan tê bikar anîn. Ew dihêle hûn kontrol bikin ka hin dane û gelek taybetmendiyên din ên bikêr hene. Ji bo ku hûn bêtir fêr bibin, hûn dikarin agahdariya li ser vê lînkê bigerin
Ev pirsek mînakek e ku meriv mêvandarek ku Windows 10 pro-yê dixebitîne bibîne.
C- Parzûn:
Ev taybetmendî dê bihêle ku hûn hin pîvanan wekî navê mêvandar, koda bûyerê an ID, hwd fîlter bikin. Parzûn dê di warê dem û hewildana lêgerîna delîlan de qonaxa lêpirsînê pir çêtir bikin.
D- Dîmena yekem:
Ka em ji bo MITER ATT & CK dîmenek biafirînin.
Pêşî divê em biçin Dashboard → Tabloya nû biafirîne → tabloya nû biafirîne → tabloya pie
Tîpa ji bo nimûneya nîşanê saz bikin, dûv re navê lêdana xwe bikirtînin.
Enter çap bike. Heya nuha divê hûn donek kesk bibînin.
Di tabloya Buckets de li milê çepê hûn ê bibînin:
- Parçeyên veqetandî dê li gorî belavbûna daneyan donûtê li beşên cûda dabeş bikin.
- Split Chart dê li tenişta vê yekê donek din çêbike.
Em ê perçeyên perçekirî bikar bînin.
Em ê daneyên xwe li gorî termê ku em hildibijêrin dîmendar bikin. Di vê rewşê de, têgîn dê MITER ATT & CK binav bike.
Di Winlogbeat de, qada ku dê vê agahiyê ji me re peyda bike tê gotin:
winlog.event_data.RuleNameEm ê metrîka jimartinê saz bikin da ku bûyeran li gorî çend caran diqewimin rêz bikin.
Taybetmendiya "Nirxên din di parçeyek cihê de kom bike" çalak bike.
Ger şertên ku hûn hilbijêrin li ser bingeha rîtmê gelek wateyên cihêreng hene ev ê kêrhatî be. Ev dibe alîkar ku daneyên mayî bi tevahî xuyang bikin. Ev ê ji sedî bûyerên mayî ramanek bide we.
Naha ku me sazkirina tabloya daneyê qediya, em biçin tabloya vebijarkan
Divê hûn jêrîn bikin:
** Şêweyê donûtê jê bikin da ku render dordorek tam nîşan bide.
** Helwesta efsaneyê ya ku hûn jê hez dikin hilbijêrin. Di vê rewşê de, em ê wan li rastê nîşan bidin.
** Nirxên pêşandanê destnîşan bikin ku ji bo xwendina hêsantir li kêleka perçeya xwe nîşan bidin û yên mayî wekî xwerû bihêlin
Kurtkirin diyar dike ku hûn çiqas dixwazin ji navê bûyerê nîşan bidin.
Wextê ku hûn dixwazin lêker dest pê bike destnîşan bikin, û dûv re çargoşeya şîn bikirtînin.
Divê hûn bi tiştek wekî vê yekê bi dawî bibin:
Her weha hûn dikarin fîlterek li dîmendera xwe zêde bikin da ku mêvandarê taybetî yê ku hûn dixwazin kontrol bikin an parametreyên ku hûn difikirin ku ji bo mebesta we bikêr in fîlter bikin. Dîmenî dê tenê daneyên ku bi qaîdeya ku di parzûnê de hatî bicîh kirin nîşan bide. Di vê rewşê de, em ê tenê daneyên MITER ATT&CK yên ku ji mêvandarê bi navê win10 têne nîşan bidin.
3-2- Afirandina tabloya xweya yekem:
Dashboard berhevokek ji gelek dîmenan e. Pêdivî ye ku dashboardên we zelal, têgihîştin û daneyên kêrhatî, diyarker bin. Li vir mînakek dashboardên ku me ji nû ve ji bo winlogbeat afirandin e.
Spas ji bo dema we. Ez hêvî dikim ku we ev gotara kêrhatî dît. Heke hûn li ser mijarê bêtir agahdarî dixwazin, em pêşniyar dikin ku hûn biçin .
Danûstandina Telegram li ser Elasticsearch:
Source: www.habr.com