Бул пост ELKде ELK жана SIEM панелдеринин визуализациясын орнотууну сүрөттөйт
Макала төмөнкү бөлүмдөргө бөлүнөт:
1- ELK SIEM карап чыгуу
2- Демейки башкаруу такталары
3- Биринчи панелдериңизди түзүү
Бардык посттордун мазмуну.
- WAZUH менен интеграция
- Эскертүү
- отчет
- Case башкаруу
1-ELK SIEM карап чыгуу
ELK SIEM жакында эле 7.2 версиясында 25-жылдын 2019-июнунда кошулган.
Бул коопсуздук талдоочунун жашоосун бир топ жеңилдетүү жана азыраак тажатма кылуу үчүн elastic.co тарабынан түзүлгөн SIEM чечими.
Жумуштун версиясында биз өзүбүздүн SIEM түзүүнү жана өзүбүздүн башкаруу панелибизди тандоону чечтик.
Бирок биз алгач ELK SIEMди изилдөө маанилүү деп ойлойбуз.
1.1- Алуучу окуялар бөлүмү
Алгач хост бөлүмүн карап чыгабыз. Хост бөлүмү акыркы чекитте түзүлгөн окуяларды көрүүгө мүмкүндүк берет.
Көрүү хостторун чыкылдаткандан кийин, сиз ушул сыяктуу нерсени алышыңыз керек. Көрүнүп тургандай, бул компьютерге туташкан үч хост бар:
1 Windows 10.
2 Ubuntu Server 18.04.
Бизде ар кандай окуялардын түрлөрүн чагылдырган бир нече визуализация бар.
Мисалы, ортодогу үч машинанын тең кирүү маалыматтарын көрсөтөт.
Бул жерде сиз көргөн маалыматтын көлөмү беш күндүн ичинде чогултулган. Бул ийгиликсиз жана ийгиликтүү логиндердин көп санын түшүндүрөт. Сизде журналдардын саны аз болушу мүмкүн, андыктан кабатыр болбоңуз
1.2- Тармак окуялары бөлүмү
Тармак бөлүмүнө өтүп, сиз ушул сыяктуу нерсени алышыңыз керек. Бул бөлүм HTTP/TLS трафигинен DNS трафигине жана тышкы окуя эскертүүлөрүнө чейин тармагыңызда болуп жаткан нерселердин бардыгына кылдат көз салууга мүмкүндүк берет.
2- Демейки башкаруу такталары
Колдонуучулардын жашоосун жеңилдетүү үчүн elastic.co иштеп чыгуучулары ELK тарабынан расмий түрдө колдоого алынган демейки куралдар панелин түзүштү. Биздин соккулар бул эрежеден четте калган жок. Бул жерде мен мисал катары Packetbeat демейки панелдерин колдоном.
Эгер сиз макаланын экинчи кадамын туура аткарсаңыз. Сизди күтүп турган куралдар панели болушу керек. Ошентип, баштайлы.
Кибананын сол өтмөгүнөн башкаруу тактасынын символун тандаңыз. Үчүнчүсү, эгер жогорудан санасаң.
Издөө өтмөгүнө бөлүшүү атын киргизиңиз
Эгерде битте бир нече модулдар болсо. Алардын ар бири үчүн башкаруу панели түзүлөт. Бирок модулу активдүү болгон гана бош эмес маалыматтарды көрсөтөт.
Модуль аты менен бирин тандаңыз.
Бул негизги шаблон болуп саналат PacketBeat.
Бул тармактын агымын башкаруу панели. Ал бизге кирүүчү жана чыгыш пакеттери, IP даректеринин булактары жана багыттары жөнүндө айтып берет, ошондой эле коопсуздук борборунун талдоочусу үчүн көптөгөн пайдалуу маалыматтарды берет.
3 — Биринчи панелдериңизди түзүү
3–1- Негизги түшүнүктөр
A- Башкаруу такталарынын түрлөрү:
Булар сиздин берилиштериңизди визуализациялоо үчүн колдоно турган визуализациянын ар кандай түрлөрү.
мисалы, бизде:
- штрих-график
- карта
- Markdown виджети
- Тегерек диаграмма
B- KQL (Kibana Query Language):
Бул маалыматтарды оңой издөө үчүн Кибанада колдонулган тил. Ал белгилүү бир маалыматтардын жана башка көптөгөн пайдалуу функциялардын бар же жок экенин текшерүүгө мүмкүндүк берет. Көбүрөөк билүү үчүн, бул шилтеме боюнча маалыматты изилдей аласыз
Бул Windows 10 pro менен иштеген хостту табуу үчүн мисал суроо.
C- Фильтрлер:
Бул өзгөчөлүк сизге белгилүү бир параметрлерди чыпкалоого мүмкүндүк берет, мисалы, хост аты, окуя коду же ID ж.б. Фильтрлер тергөө фазасын далилдерди издөөгө сарпталган убакыт жана күч жагынан бир топ жакшыртат.
D- Биринчи визуализация:
MITER ATT & CK үчүн визуализация түзөлү.
Биринчи биз барышыбыз керек Куралдар тактасы → Жаңы панелди түзүү → жаңы → Pie панелин түзүү
Индекс үлгүсү үчүн түрүн коюп, андан кийин ритиңиздин атын таптаңыз.
Enter баскычын басыңыз. Азырынча жашыл пончик көрүшүңүз керек.
Сол жактагы Чакалар өтмөгүндө сиз табасыз:
— Бөлүнгөн кесектер пончикти маалыматтардын жайылышына жараша ар кандай бөлүктөргө бөлөт.
- Бөлүнгөн диаграмма мунун жанында дагы бир пончик түзөт.
Бөлүнгөн кесимдерди колдонобуз.
Биз тандаган терминге жараша маалыматтарыбызды визуализациялайбыз. Бул учурда бул термин MITER ATT & CK дегенди билдирет.
Winlogbeat'те бизге бул маалыматты бере турган талаа деп аталат:
winlog.event_data.RuleNameОкуялардын кайталануу санына жараша буйрутма берүү үчүн эсептөө көрсөткүчүн орнотобуз.
"Башка баалуулуктарды өзүнчө сегментте топтоо" функциясын иштетиңиз.
Бул сиз тандаган терминдер ритмдин негизинде ар кандай мааниге ээ болсо, пайдалуу болот. Бул калган маалыматтарды бүтүндөй элестетүүгө жардам берет. Бул сизге калган окуялардын пайызы жөнүндө түшүнүк берет.
Азыр биз дайындар өтмөгүн орнотуп бүткөндөн кийин, келгиле, параметрлер өтмөгүнө өтөбүз
Сиз төмөнкүлөрдү кылышыңыз керек:
**Рендеринг толук чөйрөнү көрсөтүү үчүн пончиктин формасын алып салыңыз.
**Өзүңүзгө жаккан легенда позициясын тандаңыз. Бул учурда, биз аларды оң жакта көрсөтөбүз.
**Окуу оңой болушу үчүн дисплей маанилерин алардын үзүндүлөрүнүн жанында көрсөтүү үчүн коюп, калганын демейки катары калтырыңыз
Кыскартуу окуянын атын канчалык көрсөткүңүз келгенин аныктайт.
Көрсөтүүнү баштоону каалаган убакытты коюп, анан көк квадратты чыкылдатыңыз.
Сиз мындай нерсе менен аякташыңыз керек:
Текшергиңиз келген конкреттүү хостту же максатыңыз үчүн пайдалуу деп эсептеген бардык параметрлерди чыпкалоо үчүн визуализацияңызга чыпка кошо аласыз. Визуализация чыпкага коюлган эрежеге дал келген маалыматтарды гана көрсөтөт. Бул учурда, биз win10 деп аталган хосттон келген MITER ATT&CK маалыматтарын гана көрсөтөбүз.
3-2- Биринчи панелиңизди түзүү:
Куралдар тактасы – бул көптөгөн визуализациялардын жыйындысы. Сиздин башкаруу такталары так, түшүнүктүү болушу керек жана пайдалуу, детерминисттик маалыматтарды камтышы керек. Бул жерде биз winlogbeat үчүн нөлдөн баштап жараткан башкаруу такталарынын мисалы.
Убактыңыз үчүн рахмат. Бул макала сизге пайдалуу болду деп үмүттөнөм. Эгер сиз тема боюнча көбүрөөк маалымат алгыңыз келсе, барууну сунуштайбыз .
Elasticsearch боюнча Telegram чаты:
Source: www.habr.com