Post haec describet erectionem visualizationis ELK et SIEM dashboards in ELK
Articulus dividitur in sectiones sequentes;
1- ELK SIEM Review
2. Default dashboards
3 Creando amet dashboards
Tabula contentorum omnium epistolarum.
- Integration cum WAZUH
- Alerting
- Reporting
- si Management
1-ELK SIEM Review
ELK SIEM nuper additum est ACERVUS in versionis versionis 7.2 die 25 Iunii MMXIX.
Haec est solutio SIEM ab elastic.co creata ad vitam securitatis analysti faciliorem et minus taedii faciendam.
In versione nostra operis, SIEM nostrum creare et nostram potestatem tabulam eligere decrevimus.
Sed amet ELK SIEM explorandum putamus primum.
1.1- Hostiam eventus sectionem
Primum sectionem militiae spectabimus. Pars exercitus sinet te videre res quae generantur in ipso fine.
Post clicking in conspectu exercituum aliquid simile hoc accipere debes. Ut videre potes, tres exercitus huic computatorio conexi sunt:
1 Windows 10 .
2 Decuria Servo 18.04.
Plures visualizationes ostensae sunt nobis, singulae varias rerum species exhibentes.
Exempli gratia, unum in medio ostendit login notitia in omnibus tribus machinis.
Haec copia notitiarum quam hic vides supra quinque dies collecta est. Hic explicatur numerus defecisse et felix logins. Probabiliter exiguum numerum lignorum habes, ne solliciti
1.2- Network certe sectionem
Movens ad sectionem retis, aliquid simile hoc accipere debes. Haec sectio permittet te habere prope oculis in omnia quae in retiacula tua fiunt, ab HTTP/TLS negotiatio ad DNS commercii et eventus externi summis.
2. Default dashboards
Ad vitam faciliorem pro users, elastic.co tincidunt creaverunt defaltam instrumentorum officialiter ab ELK sustentato. Nostra iacula nulla ad hanc regulam exceptio fuerunt. Hic utar pro exemplo Packetbeat defaltam ashboardday.
Si gradum duos articulum recte secutus sis. Instrumentarium instrumentum habere debeas te exspectantem. Itaque incipias.
E tab Kibana sinistra, symbolum ashboardday lego. Hoc est tertium, si a summo numeres.
Intrant nomen participium in inquisitione tab
Si plures moduli sunt in frenum. A potestate decuriae pro singulis creabuntur. Sed unus tantum cum modulo activo ostendet notitias non vacuas.
Unum eligere cum nomine moduli.
Hoc est pelagus template PacketBeat.
Haec est tabula retis fluens imperium. Narrabit nobis de ineunte et exitu fasciculo, de fontibus ac destinationibus inscriptionum IP, et etiam multum utiles informationes praebet ad centrum securitatis analyticum.
III - primum dashboards
3-1- Basic Conceptus
A- genera dashboards:
Hae sunt species visualizationum quas uti potes ad insitum tuum data.
exempli gratia habemus;
- Bar graph
- map
- Markdown image
- Pie chart
B- KQL (Kibana Query Language):
Haec lingua in Kibana adhibita est ad faciles rerum notitias pervestigandas. Permittit ut inspicias si certa notitia exsistat multaque alia utilia lineamenta. Plura scire, explorare informationes in hac pagina
Hoc est exemplum interrogationis ut invenias exercitum currentem Fenestra 10 pro.
C- Filtra:
Haec factura sinet te eliquare parametros quosdam ut hostname, eventum codicem vel ID, etc. Filtra magnopere emendabit periodum investigationis in terminis temporis et conatus inquisitionis pro probationibus confectis.
D. Primo visualization:
Visualizationem faciamus pro MITER ATT & CK.
Primum opus est ad Dashboard β Novam ashboardday β creo β Pie ashboardday
Pone typum in indicem exemplaris, tum nomen pulsus sonum tuum.
Press Intra. Nunc viridi donut videas.
In Situla tab a sinistra invenies;
- segmentis pecias donut in diversas partes dividet secundum propagationem notitiarum.
- Scindo Chartam aliam donut iuxta hanc creabit.
Discidium peragitato utemur.
Nos notitia nostra visualise secundum terminum quem eligimus. Hoc in casu vocabulum ad MITER ATT&CK referendum est.
Apud Winlogbeat, ager qui nobis hoc indicium praebet, appellatur;
winlog.event_data.RuleNameNumerum metricum ponemus ad ordinem rerum secundum numerum temporum occurentium.
Admitte "Gestus alios valores in segmento separato" pluma.
Hoc utile erit si verba quae voles multiplices significationes numerosae innixas habeant. Hoc adiuvat insitum spectare reliquas notitias in totum. Recipis hoc tibi reliquarum rerum notionem dabo.
Nunc quod aguntur constituentes tab, transeamus ad optiones tab
Facies quae sequuntur;
Figura donut aufer, sic redditio circulum plenum ostendit.
** Elige tibi legenda situ. In hoc casu ius eos exhibebimus.
** pone valores ostensionis ut ostendas proximum eorum PRAECISIO pro faciliori lectione et cetera ut defaltam relinquas
Truncatio determinat quantum vis ostendere ab eventu nomen.
Tempus constitue quo vis translationis initium facere, tum quadratum caeruleum deprime.
Finire debes aliquid simile hoc:
Filtrum addere potes etiam ad visualizationem tuam ad eliquandum exercitum specificum quem vis ad reprimendum vel parametros quosque ad propositum tuum utiles putas. Visualisatio notitias tantum ostendet quae regulae in colum positae aequent. In hoc casu tantum dabimus MITER ATT&CK notitias venientes ab hospite nominato win10.
3-2- primum ashboardday Creando:
Dashboard collectio plurium visualizationum est. Dashboardae tuae clarae, comprehensae et utiles, determinatae notae continentes debent. Exemplar hic est ashboardarum quas de integro fecimus pro winlogbeat.
Gratias ago tibi, quia in tempore non tuo. Articulum hoc utile spero invenisti. Si de re plura videre velis, commendamus te visitare .
Curabitur telegraphum in Elasticsearch:
Source: www.habr.com