Šiame įraše bus aprašytas ELK ir SIEM prietaisų skydelių vizualizacijos nustatymas ELK
Straipsnis suskirstytas į šiuos skyrius:
1- ELK SIEM apžvalga
2. Numatytieji prietaisų skydeliai
3. Pirmųjų prietaisų skydelių kūrimas
Visų pranešimų turinys.
- Integracija su WAZUH
- Įspėjimas
- Ataskaitų teikimas
- Bylos valdymas
1-ELK SIEM apžvalga
7.2 m. birželio 25 d. ELK SIEM neseniai buvo įtrauktas į 2019 versijos briedžių krūvą.
Tai elastic.co sukurtas SIEM sprendimas, kad saugumo analitiko gyvenimas būtų daug lengvesnis ir mažiau varginantis.
Savo darbo versijoje nusprendėme sukurti savo SIEM ir pasirinkti savo valdymo skydelį.
Tačiau manome, kad pirmiausia svarbu ištirti ELK SIEM.
1.1- Priimančiojo renginių skiltis
Pirmiausia pažiūrėsime į prieglobos skyrių. Prieglobos skyrius leis matyti įvykius, kurie generuojami pačiame galutiniame taške.
Spustelėję peržiūrėti pagrindinius kompiuterius turėtumėte gauti kažką panašaus. Kaip matote, prie šio kompiuterio yra prijungti trys pagrindiniai kompiuteriai:
1 Windows 10.
2 Ubuntu serveris 18.04.
Pateikiame keletą vizualizacijų, kurių kiekviena atspindi skirtingus įvykių tipus.
Pavyzdžiui, viduryje rodomi visų trijų mašinų prisijungimo duomenys.
Toks duomenų kiekis, kurį matote čia, buvo surinktas per penkias dienas. Tai paaiškina didelį nesėkmingų ir sėkmingų prisijungimų skaičių. Tikriausiai turėsite nedaug rąstų, todėl nesijaudinkite
1.2 – Tinklo įvykių skiltis
Pereidami prie tinklo skyriaus, turėtumėte gauti kažką panašaus. Šioje skiltyje galėsite atidžiai stebėti viską, kas vyksta jūsų tinkle, nuo HTTP/TLS srauto iki DNS srauto ir išorinių įvykių įspėjimų.
2. Numatytieji prietaisų skydeliai
Siekdami palengvinti vartotojų gyvenimą, elastic.co kūrėjai sukūrė numatytąją įrankių juostą, kurią oficialiai palaiko ELK. Mūsų ritmai nebuvo šios taisyklės išimtis. Čia kaip pavyzdį naudosiu numatytasis „Packetbeat“ prietaisų skydelis.
Jei teisingai atlikote antrąjį straipsnio veiksmą. Jūsų turėtų laukti įrankių juosta. Taigi pradėkime.
Kairiajame Kibana skirtuke pasirinkite prietaisų skydelio simbolį. Tai trečias, jei skaičiuosite nuo viršaus.
Įveskite bendrinimo pavadinimą paieškos skirtuke
Jei bite yra keli moduliai. Kiekvienam iš jų bus sukurtas valdymo pultas. Bet tik tas, kurio modulis aktyvus, rodys netuščius duomenis.
Pasirinkite vieną su savo modulio pavadinimu.
Tai yra pagrindinis šablonas PacketBeat.
Tai yra tinklo srauto valdymo skydelis. Jis papasakos apie gaunamus ir išeinančius paketus, IP adresų šaltinius ir paskirties vietas, taip pat suteiks daug naudingos informacijos saugos centro analitikui.
3 – Pirmųjų prietaisų skydelių kūrimas
3–1- Pagrindinės sąvokos
A- Prietaisų skydelių tipai:
Tai yra skirtingi vizualizacijų tipai, kuriuos galite naudoti norėdami vizualizuoti savo duomenis.
pavyzdžiui, mes turime:
- juostinė diagrama
- Žemėlapis
- Pažymėjimo valdiklis
- Skritulinė diagrama
B- KQL (Kibana užklausų kalba):
Ši kalba naudojama „Kibana“, kad būtų lengviau ieškoti duomenų. Tai leidžia patikrinti, ar yra tam tikrų duomenų ir daug kitų naudingų funkcijų. Norėdami sužinoti daugiau, galite susipažinti su šia nuoroda
Tai yra užklausos pavyzdys, kaip rasti pagrindinį kompiuterį, kuriame veikia „Windows 10 pro“.
C- filtrai:
Ši funkcija leis jums filtruoti tam tikrus parametrus, tokius kaip pagrindinio kompiuterio pavadinimas, įvykio kodas ar ID ir tt Filtrai labai pagerins tyrimo etapą, atsižvelgiant į laiką ir pastangas, praleistas ieškant įrodymų.
D – pirmoji vizualizacija:
Sukurkime MITER ATT & CK vizualizaciją.
Pirmiausia turime eiti į Prietaisų skydelis → Sukurti naują prietaisų skydelį → sukurti naują → Prie prietaisų skydelio
Nustatykite rodyklės šablono tipą, tada bakstelėkite savo ritmo pavadinimą.
Paspausk Enter. Iki šiol turėtumėte pamatyti žalią spurgą.
Kairėje esančiame skirtuke „Buckets“ rasite:
— Padalijus griežinėlius spurgą padalins į skirtingas dalis, atsižvelgiant į duomenų sklaidą.
- Padalinta diagrama šalia šios sukurs kitą spurgą.
Naudosime padalintus griežinėlius.
Mes vizualizuosime savo duomenis atsižvelgdami į pasirinktą terminą. Šiuo atveju terminas reiškia MITER ATT & CK.
„Winlogbeat“ laukas, kuriame bus pateikta ši informacija, vadinamas:
winlog.event_data.RuleNameNustatysime skaičiavimo metriką, kad galėtume užsakyti įvykius pagal jų pasikartojimo skaičių.
Įgalinkite funkciją „Grupuoti kitas reikšmes atskirame segmente“.
Tai bus naudinga, jei jūsų pasirinkti terminai turi daug skirtingų reikšmių, pagrįstų ritmu. Tai padeda vizualizuoti likusius duomenis kaip visumą. Tai suteiks jums supratimą apie likusių įvykių procentą.
Dabar, kai baigėme nustatyti duomenų skirtuką, pereikime prie parinkčių skirtuko
Turite atlikti šiuos veiksmus:
** Pašalinkite spurgos formą, kad vaizdas būtų rodomas visą apskritimą.
** Pasirinkite jums patinkančią legendos poziciją. Tokiu atveju juos rodysime dešinėje.
**Nustatykite rodymo reikšmes, kad jos būtų rodomos šalia jų fragmento, kad būtų lengviau skaityti, o likusias palikite kaip numatytąsias
Sutrumpinimas nustato, kiek norite rodyti iš įvykio pavadinimo.
Nustatykite laiką, kada norite pradėti atvaizdavimą, tada spustelėkite mėlyną kvadratą.
Turėtumėte baigti kažką panašaus:
Taip pat galite pridėti filtrą prie savo vizualizacijos, kad išfiltruotumėte konkretų pagrindinį kompiuterį, kurį norite patikrinti, arba bet kokius parametrus, kurie, jūsų manymu, yra naudingi jūsų tikslui. Vizualizacijoje bus rodomi tik duomenys, atitinkantys filtre įdėtą taisyklę. Tokiu atveju rodysime tik MITER ATT&CK duomenis, gaunamus iš pagrindinio kompiuterio pavadinimu win10.
3-2- Pirmosios informacijos suvestinės kūrimas:
Prietaisų skydelis yra daugybės vizualizacijų rinkinys. Jūsų prietaisų skydeliai turi būti aiškūs, suprantami ir juose turi būti naudingų, deterministinių duomenų. Pateikiame „Winlogbeat“ nuo nulio sukurtų prietaisų skydelių pavyzdį.
Ačiū už sugaištą laiką. Tikiuosi, kad šis straipsnis jums buvo naudingas. Jei norite gauti daugiau informacijos šia tema, rekomenduojame apsilankyti .
Telegramos pokalbis Elasticsearch:
Šaltinis: www.habr.com