Dëse Post wäert d'Astellung vun der Visualiséierung vun ELK a SIEM Dashboards an ELK beschreiwen
Den Artikel ass an déi folgend Sektiounen opgedeelt:
1- ELK SIEM Bewäertung
2- Standard Dashboards
3- Erstellt Är éischt Dashboards
Inhaltsverzeechnes vun alle Posts.
- Integratioun mat WAZUH
- Alarméieren
- Berichterstattung
- Case Management
1-ELK SIEM Bewäertung
ELK SIEM gouf viru kuerzem op den Elk Stack an der Versioun 7.2 de 25. Juni 2019 bäigefüügt.
Dëst ass eng SIEM Léisung erstallt vun elastic.co fir d'Liewen vun engem Sécherheetsanalytiker vill méi einfach a manner langweileg ze maachen.
An eiser Versioun vun der Aarbecht hu mir décidéiert eisen eegene SIEM ze kreéieren an eis eege Kontrollpanel ze wielen.
Awer mir mengen et ass wichteg fir d'éischt ELK SIEM ze entdecken.
1.1- Host Eventer Sektioun
Mir kucken als éischt d'Host-Sektioun. D'Host Sektioun erlaabt Iech d'Evenementer ze gesinn, déi um Endpunkt selwer generéiert ginn.
Nodeems Dir op View Hosts geklickt hutt, sollt Dir esou eppes kréien. Wéi Dir gesitt, ginn et dräi Hosten, déi mat dësem Computer verbonne sinn:
1 Windows 10.
2 Ubuntu Server 18.04.
Mir hunn e puer Visualiséierungen ugewisen, jidderee representéiert verschidden Aarte vun Eventer.
Zum Beispill, déi an der Mëtt weist Umeldungsdaten op all dräi Maschinnen.
Dës Quantitéit un Daten, déi Dir hei gesitt, gouf iwwer fënnef Deeg gesammelt. Dëst erkläert déi grouss Zuel vu gescheiterten an erfollegräiche Login. Dir wäert wahrscheinlech eng kleng Zuel vu Logbicher hunn, also maach der keng Suergen
1.2- Reseau Evenementer Rubrik
Gitt op d'Netzwierk Sektioun, Dir sollt esou eppes kréien. Dës Sektioun erlaabt Iech en Aa ze halen op alles wat op Ärem Netz geschitt, vum HTTP / TLS Traffic bis DNS Traffic an extern Event Alarmer.
2- Standard Dashboards
Fir d'Liewen méi einfach fir d'Benotzer ze maachen, hunn elastic.co Entwéckler eng Standard-Toolbar erstallt, déi offiziell vun ELK ënnerstëtzt gëtt. Eis Beats ware keng Ausnahm zu dëser Regel. Hei wäert ech Packetbeat Standard Dashboards als Beispill benotzen.
Wann Dir de Schrëtt zwee vum Artikel richteg gefollegt hutt. Dir sollt eng Toolbar opgestallt hunn, déi op Iech waart. Also loosst eis ufänken.
Vun der lénkser Tab vun Kibana, wielt d'Dashboard Symbol. Dëst ass déi drëtt, wann Dir vun uewen zielt.
Gitt den Undeel Numm an der Sich Reiter
Wann et e puer Moduler am bëssen. E Kontrollpanel gëtt fir jidderee vun hinnen erstallt. Awer nëmmen dee mam Modul aktiv weist net eidel Daten.
Wielt deen mat Ärem Modulnumm.
Dëst ass d'Haaptschabloun PacketBeat.
Dëst ass d'Netzwierk Flow Kontroll Panel. Et wäert eis iwwer den erakommen an erausginn Paket soen, d'Quellen an Destinatiounen vun IP Adressen, a gëtt och vill nëtzlech Informatiounen fir e Sécherheetszentrum Analyst.
3 - Erstellt Är éischt Dashboards
3-1- Basis Konzepter
A- Aarte vun Dashboards:
Dëst sinn déi verschidden Aarte vu Visualiséierungen déi Dir benotze kënnt fir Är Donnéeën ze visualiséieren.
zum Beispill hu mir:
- Staangrafik
- uweisen
- Markdown Widget
- Pie Chart
B- KQL (Kibana Query Language):
Dëst ass d'Sprooch déi a Kibana benotzt gëtt fir einfach Daten ze sichen. Et erlaabt Iech ze kontrolléieren ob verschidden Donnéeën existéieren a vill aner nëtzlech Funktiounen. Fir méi gewuer ze ginn, kënnt Dir d'Informatioun op dësem Link entdecken
Dëst ass e Beispill Ufro fir e Host ze fannen deen leeft Windows 10 pro.
C-Filter:
Dës Fonktioun erlaabt Iech bestëmmte Parameteren ze filteren wéi Hostnumm, Eventcode oder ID, etc. Filtere wäerten d'Untersuchungsphase staark verbesseren wat d'Zäit an d'Ustrengung op der Sich no Beweiser ugeet.
D- Éischt Visualiséierung:
Loosst eis eng Visualiséierung fir MITER ATT & CK erstellen.
Éischt musse mir goen Dashboard → Neien Dashboard erstellen → nei erstellen → Pie Dashboard
Setzt den Typ fir den Indexmuster un, tippt dann op den Numm vun Ärem Beat.
Press Enter. Elo sollt Dir eng gréng Donut gesinn.
An der Eemere Tab op der lénker Säit fannt Dir:
- Split Scheiwen deelen den Donut a verschidden Deeler ofhängeg vun der Verbreedung vun den Donnéeën.
- Split Chart wäert en aneren Donut nieft dësem erstellen.
Mir wäerten opgedeelt Scheiwen benotzen.
Mir visualiséieren eis Daten ofhängeg vum Begrëff dee mir wielen. An dësem Fall bezitt de Begrëff op MITER ATT & CK.
Am Winlogbeat gëtt de Feld dat eis dës Informatioun ubitt genannt:
winlog.event_data.RuleNameMir setzen eng Count Metrik op fir Eventer ze bestellen baséiert op der Unzuel vun Zäiten déi se optrieden.
Aktivéiert d'Feature "Gruppe aner Wäerter an engem separaten Segment".
Dëst wäert nëtzlech sinn wann d'Begrëffer déi Dir gewielt hutt vill verschidde Bedeitunge baséieren op Rhythmus. Dëst hëlleft de Rescht vun den Donnéeën als Ganzt ze visualiséieren. Dëst gëtt Iech eng Iddi vum Prozentsaz vun de verbleiwen Eventer.
Elo datt mir fäerdeg sinn d'Astellunge vun der Date-Tab, loosst eis op d'Optiounen-Tab goen
Dir musst déi folgend maachen:
** Ewechzehuelen der Donut Form sou de Rendering e ganze Krees weist.
** Wielt d'Legend Positioun Dir gären. An dësem Fall wäerte mir se op der rietser Säit weisen.
** Set Display Wäerter fir nieft hirem Snippet ze weisen fir méi einfach ze liesen a léisst de Rescht als Standard
Truncatioun bestëmmt wéi vill Dir wëllt vum Eventnumm weisen.
Setzt d'Zäit an där Dir wëllt datt de Rendering ufänkt, a klickt dann op de bloe Quadrat.
Dir sollt mat esou eppes ophalen:
Dir kënnt och e Filter fir Är Visualiséierung addéieren fir de spezifesche Host ze filteren deen Dir wëllt iwwerpréiwen oder all Parameteren, déi Dir mengt, nëtzlech fir Ären Zweck. D'Visualiséierung weist nëmmen Daten déi mat der Regel entspriechen, déi am Filter plazéiert ass. An dësem Fall wäerte mir nëmmen MITER ATT&CK Daten aus dem Host mam Numm win10 weisen.
3-2- Erstellt Ären éischten Dashboard:
En Dashboard ass eng Sammlung vu ville Visualiséierungen. Är Dashboards solle kloer, verständlech sinn an nëtzlech, deterministesch Donnéeën enthalen. Hei ass e Beispill vun den Dashboards déi mir vun Null fir winlogbeat erstallt hunn.
Merci fir deng Zäit. Ech hoffen Dir hutt dësen Artikel hëllefräich fonnt. Wann Dir méi Informatioun iwwer dëst Thema wëllt, empfeelen mir Iech ze besichen .
Telegram Chat op Elasticsearch:
Source: will.com