ELK SIEM Open Distro: ELK un SIEM informācijas paneļu vizualizācija ELK

Šajā rakstā tiks aprakstīta ELK un SIEM informācijas paneļu vizualizācijas iestatīšana ELK
Raksts ir sadalīts šādās sadaļās:

1- ELK SIEM apskats
2. Noklusējuma informācijas paneļi
3. Pirmo informācijas paneļu izveide

Visu ziņu satura rādītājs.

• Ievads. SOC kā pakalpojuma (SOCasS) infrastruktūras un tehnoloģiju izvietošana
• ELK kaudze - uzstādīšana un konfigurēšana
• Pastaigājieties pa atvērto Distro
• Informācijas paneļu un ELK SIEM vizualizācija
• Integrācija ar WAZUH
• Brīdinājums
• Ziņošana
• Lietas izskatīšana

1-ELK SIEM apskats

ELK SIEM nesen 7.2. gada 25. jūnijā tika pievienots aļņu kaudzei versijā 2019.

Šis ir elastic.co izveidots SIEM risinājums, lai padarītu drošības analītiķa dzīvi daudz vieglāku un mazāk nogurdinošu.

Mūsu darba versijā mēs nolēmām izveidot savu SIEM un izvēlēties savu vadības paneli.

Taču mēs uzskatām, ka vispirms ir svarīgi izpētīt ELK SIEM.

1.1. Sadaļa Uzņēmēja notikumi

Vispirms apskatīsim saimniekdatora sadaļu. Uzņēmēja sadaļa ļaus jums redzēt notikumus, kas tiek ģenerēti pašā galapunktā.

Pēc noklikšķināšanas uz skata saimniekiem jums vajadzētu iegūt kaut ko līdzīgu šim. Kā redzat, šim datoram ir pievienoti trīs saimniekdatori:

1 Windows 10.

2 Ubuntu serveris 18.04.

Mums ir parādītas vairākas vizualizācijas, no kurām katra atspoguļo dažāda veida notikumus.

Piemēram, tas, kas atrodas vidū, parāda pieteikšanās datus visās trīs mašīnās.

Šis šeit redzamais datu apjoms tika savākts piecu dienu laikā. Tas izskaidro lielo neveiksmīgo un veiksmīgo pieteikšanos skaitu. Iespējams, jums būs maz baļķu, tāpēc neuztraucieties

1.2. Tīkla notikumu sadaļa

Pārejot uz tīkla sadaļu, jums vajadzētu iegūt kaut ko līdzīgu šim. Šī sadaļa ļaus jums rūpīgi sekot līdzi visam, kas notiek jūsu tīklā, sākot no HTTP/TLS trafika līdz DNS trafikam un ārējiem notikumu brīdinājumiem.

2. Noklusējuma informācijas paneļi

Lai atvieglotu lietotāju dzīvi, elastic.co izstrādātāji ir izveidojuši noklusējuma rīkjoslu, ko oficiāli atbalsta ELK. Mūsu sitieni nebija izņēmums no šī noteikuma. Šeit kā piemēru izmantošu Packetbeat noklusējuma informācijas paneļus.

Ja pareizi izpildījāt raksta otro darbību. Jums ir jābūt iestatītai rīkjoslai, kas jūs gaida. Tātad sāksim.

Kibana kreisajā cilnē atlasiet informācijas paneļa simbolu. Šis ir trešais, ja skaita no augšas.

Meklēšanas cilnē ievadiet koplietošanas nosaukumu

Ja bitā ir vairāki moduļi. Katram no tiem tiks izveidots vadības panelis. Bet tikai tas, kuram ir aktīvs modulis, parādīs datus, kas nav tukši.

Izvēlieties to ar savu moduļa nosaukumu.

Šī ir galvenā veidne PacketBeat.

Šis ir tīkla plūsmas vadības panelis. Tas mums pastāstīs par ienākošo un izejošo paketi, IP adrešu avotiem un galamērķiem, kā arī sniegs daudz noderīgas informācijas drošības centra analītiķim.

3. Pirmo informācijas paneļu izveide

3–1- Pamatjēdzieni

A- Informācijas paneļu veidi:

Šie ir dažādi vizualizāciju veidi, kurus varat izmantot, lai vizualizētu savus datus.

piemēram, mums ir:

• joslu diagramma
• karte
• Markdown logrīks
• Sektoru diagramma

B-KQL (Kibana vaicājumu valoda):

Šī valoda tiek lietota Kibanā, lai atvieglotu datu meklēšanu. Tas ļauj pārbaudīt, vai pastāv noteikti dati un daudzas citas noderīgas funkcijas. Lai uzzinātu vairāk, varat izpētīt informāciju šajā saitē

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

Šis ir vaicājuma piemērs, lai atrastu resursdatoru, kurā darbojas sistēma Windows 10 pro.

C filtri:

Šī funkcija ļaus jums filtrēt noteiktus parametrus, piemēram, resursdatora nosaukumu, notikuma kodu vai ID utt. Filtri ievērojami uzlabos izmeklēšanas fāzi laika un pūļu ziņā, kas pavadīti pierādījumu meklēšanai.

D- Pirmā vizualizācija:

Izveidosim MITER ATT & CK vizualizāciju.

Vispirms mums jāiet uz Informācijas panelis → Izveidot jaunu informācijas paneli → izveidot jaunu → Pie informācijas panelis

Iestatiet indeksa modeļa veidu, pēc tam pieskarieties sava sitiena nosaukumam.

Nospiediet Enter. Tagad jums vajadzētu redzēt zaļu virtuli.

Kreisajā pusē esošajā cilnē Spaiņi atradīsit:

— Sadalītās šķēlēs virtulis tiks sadalīts dažādās daļās atkarībā no datu izplatības.

- Sadalītā diagramma izveidos citu virtuli blakus šim.

Mēs izmantosim sadalītas šķēles.

Mēs vizualizēsim savus datus atkarībā no izvēlētā termina. Šajā gadījumā šis termins attieksies uz MITER ATT & CK.

Programmā Winlogbeat lauks, kas sniegs mums šo informāciju, tiek saukts:

winlog.event_data.RuleName

Mēs iestatīsim skaitīšanas metriku, lai sakārtotu notikumus, pamatojoties uz to reižu skaitu.

Iespējojiet funkciju “Citu vērtību grupēšana atsevišķā segmentā”.

Tas būs noderīgi, ja jūsu izvēlētajiem terminiem ir daudz dažādu nozīmju, kuru pamatā ir ritms. Tas palīdz vizualizēt pārējos datus kopumā. Tas sniegs priekšstatu par atlikušo notikumu procentuālo daļu.

Tagad, kad esam pabeiguši datu cilnes iestatīšanu, pāriesim uz opciju cilni

Jums jāveic šādas darbības:

**Noņemiet virtuļa formu, lai renderējumā būtu redzams pilns aplis.

** Izvēlieties leģendas pozīciju, kas jums patīk. Šajā gadījumā mēs tos parādīsim labajā pusē.

** Iestatiet displeja vērtības, lai tās tiktu rādītas blakus fragmentam, lai atvieglotu lasīšanu, un atstājiet pārējo kā noklusējuma vērtību

Saīsināšana nosaka, cik daudz vēlaties parādīt no notikuma nosaukuma.

Iestatiet laiku, kurā vēlaties sākt renderēšanu, un pēc tam noklikšķiniet uz zilā kvadrāta.

Jums vajadzētu beigties ar kaut ko līdzīgu:

Varat arī pievienot filtru savai vizualizācijai, lai filtrētu konkrēto resursdatoru, kuru vēlaties pārbaudīt, vai jebkurus parametrus, kas, jūsuprāt, ir noderīgi jūsu mērķim. Vizualizācija parādīs tikai datus, kas atbilst filtrā ievietotajai kārtulai. Šajā gadījumā mēs parādīsim tikai MITER ATT&CK datus, kas nāk no resursdatora ar nosaukumu win10.

3-2- Pirmā informācijas paneļa izveide:

Informācijas panelis ir daudzu vizualizāciju kolekcija. Informācijas paneļiem ir jābūt skaidriem, saprotamiem, un tajos ir jābūt noderīgiem, deterministiskiem datiem. Šeit ir piemērs informācijas paneļiem, kurus mēs izveidojām no jauna pakalpojumam winlogbeat.

Paldies par jūsu laiku. Es ceru, ka šis raksts jums noderēja. Ja vēlaties iegūt vairāk informācijas par tēmu, iesakām apmeklēt oficiālā vietne.

Telegrammas tērzēšana vietnē Elasticsearch: https://t.me/elasticsearch_ru

Avots: www.habr.com