Овој пост ќе опише поставување на визуелизација на контролните табли ELK и SIEM во ELK
Статијата е поделена на следните делови:
1- ELK SIEM Преглед
2- Стандардни контролни табли
3- Креирање на вашите први контролни табли
Содржина на сите објави.
- Интеграција со WAZUH
- Алармантно
- Известување
- Управување со случаи
1-ELK SIEM Преглед
ELK SIEM неодамна беше додаден во стекот на елен во верзијата 7.2 на 25 јуни 2019 година.
Ова е SIEM решение создадено од elastic.co за да го направи животот на безбедносниот аналитичар многу полесен и помалку мачен.
Во нашата верзија на работата, решивме да создадеме сопствен SIEM и да избереме сопствен контролен панел.
Но, мислиме дека е важно прво да се истражи ELK SIEM.
1.1- Секцијата за домаќини на настани
Прво ќе го разгледаме делот за домаќини. Секцијата домаќин ќе ви овозможи да ги видите настаните што се генерираат на самата крајна точка.
Откако ќе кликнете на преглед на хостови, треба да добиете вакво нешто. Како што можете да видите, има три домаќини поврзани на овој компјутер:
1 Виндоус 10.
2 Сервер за Ubuntu 18.04.
Имаме прикажани неколку визуелизации, од кои секоја претставува различни типови на настани.
На пример, оној во средината покажува податоци за најавување на сите три машини.
Оваа количина на податоци што ги гледате овде се собрани во текот на пет дена. Ова го објаснува големиот број на неуспешни и успешни најавувања. Веројатно ќе имате мал број на трупци, па не грижете се
1.2- Дел за мрежни настани
Преминувајќи во делот за мрежа, треба да добиете вакво нешто. Овој дел ќе ви овозможи внимателно да следите сè што се случува на вашата мрежа, од сообраќај HTTP/TLS до сообраќај DNS и предупредувања за надворешни настани.
2- Стандардни контролни табли
За да им го олеснат животот на корисниците, програмерите на elastic.co создадоа стандардна лента со алатки официјално поддржана од ELK. Нашите битови не беа исклучок од ова правило. Овде ќе ги користам стандардните контролни табли на Packetbeat како пример.
Ако правилно го следевте чекор два од статијата. Треба да имате поставена лента со алатки што ве чека. Па ајде да започнеме.
Од левото јазиче на Kibana, изберете го симболот на контролната табла. Ова е трето, ако се брои од горе.
Внесете го името на споделувањето во картичката за пребарување
Ако има неколку модули во битот. За секој од нив ќе се креира контролен панел. Но, само оној со активен модул ќе прикажува непразни податоци.
Изберете го оној со името на вашиот модул.
Ова е главниот шаблон PacketBeat.
Ова е контролната табла за проток на мрежата. Ќе ни каже за дојдовниот и појдовниот пакет, за изворите и дестинациите на IP адресите, а исто така обезбедува многу корисни информации за аналитичарот на безбедносниот центар.
3 — Креирање на вашите први контролни табли
3–1- Основни концепти
А- Видови контролни табли:
Ова се различните видови визуелизации што можете да ги користите за да ги визуелизирате вашите податоци.
на пример имаме:
- графика
- Мапа
- Виџет за обележување
- Пита графикон
B- KQL (Кибана јазик за пребарување):
Ова е јазикот што се користи во Kibana за лесно пребарување на податоци. Ви овозможува да проверите дали постојат одредени податоци и многу други корисни функции. За да дознаете повеќе, можете да ги истражите информациите на овој линк
Ова е пример за барање за наоѓање домаќин кој работи на Windows 10 pro.
C- Филтри:
Оваа функција ќе ви овозможи да филтрирате одредени параметри како што се името на домаќинот, кодот на настанот или ID, итн. Филтрите во голема мера ќе ја подобрат фазата на истрага во однос на времето и напорот потрошен за пребарување докази.
Г- Прва визуелизација:
Ајде да создадеме визуелизација за MITER ATT & CK.
Прво треба да одиме на Контролна табла → Креирај нова контролна табла → создаде нова → табла за пита
Поставете го типот за шемата на индексот, а потоа допрете го името на вашиот ритам.
Притиснете Enter. Досега треба да видите зелена крофна.
Во табулаторот Buckets лево ќе најдете:
— Поделените парчиња ќе ја поделат крофната на различни делови во зависност од ширењето на податоците.
- Split Chart ќе создаде уште една крофна веднаш до оваа.
Ќе користиме поделени парчиња.
Ќе ги визуелизираме нашите податоци во зависност од терминот што ќе го избереме. Во овој случај терминот ќе се однесува на MITER ATT & CK.
Во Winlogbeat, полето што ќе ни ги даде овие информации се нарекува:
winlog.event_data.RuleNameЌе поставиме метрика за броење за да нарачаме настани врз основа на бројот на пати што се случуваат.
Овозможете ја функцијата „Групирај други вредности во посебен сегмент“.
Ова ќе биде корисно ако термините што ќе ги изберете имаат многу различни значења засновани на ритам. Ова помага да се визуелизираат остатокот од податоците како целина. Ова ќе ви даде идеја за процентот на преостанати настани.
Сега, кога завршивме со поставување на картичката за податоци, да преминеме на табулаторот со опции
Мора да го направите следново:
**Отстранете ја формата на крофна за да се прикаже цел круг.
** Изберете ја позицијата на легендата што ви се допаѓа. Во овој случај, ќе ги прикажеме десно.
**Поставете ги вредностите на екранот да се прикажуваат до нивниот фрагмент за полесно читање и оставете го останатото како стандардно
Скратувањето одредува колку сакате да прикажете од името на настанот.
Поставете го времето во кое сакате да започне прикажувањето, а потоа кликнете на синиот квадрат.
Треба да завршите со нешто како ова:
Можете исто така да додадете филтер на вашата визуелизација за да го филтрирате специфичниот хост што сакате да го проверите или сите параметри што мислите дека се корисни за вашата намена. Визуелизацијата ќе прикаже само податоци што се совпаѓаат со правилото ставено во филтерот. Во овој случај, ќе ги прикажеме само податоците од MITER ATT&CK кои доаѓаат од домаќинот со име win10.
3-2- Креирање на вашата прва контролна табла:
Контролната табла е збирка од многу визуелизации. Вашите контролни табли треба да бидат јасни, разбирливи и да содржат корисни, детерминистички податоци. Еве пример за контролните табли што ги создадовме од нула за winlogbeat.
Ви благодарам за вашето време. Се надевам дека оваа статија ви беше корисна. Доколку сакате повеќе информации за темата, ви препорачуваме да ја посетите .
Телеграмски разговор на Elasticsearch:
Извор: www.habr.com