Энэ нийтлэл нь ELK дээр ELK болон SIEM хяналтын самбаруудын дүрслэлийг тохируулах талаар тайлбарлах болно
Нийтлэл нь дараах хэсгүүдэд хуваагдана.
1- ELK SIEM тойм
2- Анхдагч хяналтын самбарууд
3- Анхны хяналтын самбараа бүтээх
Бүх нийтлэлийн агуулгын хүснэгт.
Оршил. SOC as a Service (SOCasS)-ийн дэд бүтэц, технологийг нэвтрүүлэх ELK стек - суурилуулалт ба тохиргоо Нээлттэй Distro-ээр алхаарай Хяналтын самбар болон ELK SIEM-ийн дүрслэл - WAZUH-тэй нэгтгэх
- Анхааруулж байна
- Тайлагнах
- Кейс менежмент
1-ELK SIEM тойм
ELK SIEM нь 7.2 оны 25-р сарын 2019-нд XNUMX хувилбарт хандгай стек дээр саяхан нэмэгдсэн.
Энэ бол аюулгүй байдлын шинжээчийн амьдралыг илүү хялбар, уйтгартай болгох зорилгоор elastic.co-ийн бүтээсэн SIEM шийдэл юм.
Ажлынхаа хувилбарт бид өөрсдийн SIEM-ийг үүсгэж, өөрийн удирдлагын самбарыг сонгохоор шийдсэн.
Гэхдээ бид эхлээд ELK SIEM-ийг судлах нь чухал гэж бодож байна.
1.1- Хөтлөгч үйл явдлын хэсэг
Бид эхлээд хостын хэсгийг харна. Хост хэсэг нь эцсийн цэг дээр үүсгэгдсэн үйл явдлуудыг харах боломжийг танд олгоно.
Хостуудыг харах дээр дарсны дараа та иймэрхүү зүйлийг авах ёстой. Таны харж байгаагаар энэ компьютерт гурван хост холбогдсон байна:
1 Windows 10.
2 Ubuntu сервер 18.04.
Бид хэд хэдэн дүрслэлийг харуулсан бөгөөд тус бүр нь өөр өөр төрлийн үйл явдлыг төлөөлдөг.
Жишээлбэл, дунд байгаа нэг нь бүх гурван машин дээр нэвтрэх өгөгдлийг харуулдаг.
Таны харж буй энэ хэмжээний өгөгдлийг тав хоногийн турш цуглуулсан. Энэ нь олон тооны амжилтгүй, амжилттай нэвтрэлтийг тайлбарлаж байна. Та магадгүй цөөн тооны бүртгэлтэй байх тул санаа зовох хэрэггүй
1.2- Сүлжээний үйл явдлын хэсэг
Сүлжээний хэсэг рүү шилжихэд та иймэрхүү зүйлийг авах ёстой. Энэ хэсэг нь HTTP/TLS урсгалаас эхлээд DNS траффик болон гадаад үйл явдлын сэрэмжлүүлэг хүртэл сүлжээндээ болж буй бүх зүйлийг анхааралтай ажиглах боломжийг танд олгоно.
2- Анхдагч хяналтын самбарууд
Хэрэглэгчдийн амьдралыг хөнгөвчлөхийн тулд elastic.co-ийн хөгжүүлэгчид ELK-ээс албан ёсоор дэмжигдсэн өгөгдмөл хэрэгслийн мөрийг бүтээжээ. Бидний цохилт энэ дүрэмд үл хамаарах зүйл биш байв. Энд би Packetbeat-ийн анхдагч хяналтын самбаруудыг жишээ болгон ашиглах болно.
Хэрэв та нийтлэлийн хоёр дахь алхамыг зөв дагасан бол. Таныг хүлээж байгаа багаж самбарыг тохируулсан байх ёстой. Ингээд эхэлцгээе.
Кибанагийн зүүн табаас хяналтын самбарын тэмдгийг сонгоно уу. Хэрэв та дээрээс нь тоолж үзвэл энэ нь гурав дахь нь юм.
Хайлтын таб дээр хуваалцах нэрийг оруулна уу
Хэрэв битэд хэд хэдэн модуль байгаа бол. Тэдгээрийн хувьд хяналтын самбар бий болно. Гэхдээ зөвхөн модуль идэвхтэй байгаа нь хоосон бус өгөгдлийг харуулах болно.
Модулийн нэртэй нэгийг нь сонгоно уу.
Энэ бол үндсэн загвар юм PacketBeat.
Энэ бол сүлжээний урсгалын хяналтын самбар юм. Энэ нь бидэнд ирж буй болон гарч буй пакет, IP хаягийн эх үүсвэр, очих газруудын талаар ярихаас гадна аюулгүй байдлын төвийн шинжээчдэд хэрэгтэй олон мэдээллийг өгөх болно.
3 — Анхны хяналтын самбараа бүтээх
3–1- Үндсэн ойлголтууд
A- Хяналтын самбарын төрлүүд:
Эдгээр нь таны өгөгдлийг дүрслэн харуулахад ашиглаж болох өөр өөр төрлийн дүрслэл юм.
жишээ нь бидэнд байна:
- Бар график
- Газрын зураг
- Markdown виджет
- Дугуй диаграм
B- KQL (Kibana Query Language):
Энэ бол Кибана хэлээр өгөгдөл хайхад хялбар хэл юм. Энэ нь танд тодорхой өгөгдөл болон бусад олон ашигтай функц байгаа эсэхийг шалгах боломжийг олгодог. Илүү ихийг мэдэхийг хүсвэл энэ холбоосоор орж мэдээлэлтэй танилцах боломжтой
Энэ бол Windows 10 pro үйлдлийн системтэй хостыг олох жишээ асуулга юм.
C- шүүлтүүрүүд:
Энэ функц нь танд хостын нэр, үйл явдлын код эсвэл ID гэх мэт тодорхой параметрүүдийг шүүх боломжийг олгоно. Шүүлтүүр нь нотлох баримт хайхад зарцуулсан цаг хугацаа, хүчин чармайлтын хувьд мөрдөн байцаалтын үе шатыг ихээхэн сайжруулах болно.
D- Анхны дүрслэл:
MITER ATT & CK-ийн дүрслэлийг бүтээцгээе.
Эхлээд бид очих хэрэгтэй Хяналтын самбар → Шинэ хяналтын самбар үүсгэх → шинэ → Бялуу хяналтын самбар үүсгэх
Индекс загварын төрлийг тохируулаад дараа нь цохилтынхоо нэрийг товшино уу.
Enter дарна уу. Одоо та ногоон гурилан бүтээгдэхүүн харах ёстой.
Зүүн талд байгаа "Хувин" таб дээрээс та дараахь зүйлийг олох болно.
- Хуваасан зүсмэлүүд нь өгөгдлийн тархалтаас хамааран гурилан бүтээгдэхүүнийг өөр өөр хэсгүүдэд хуваана.
- Split Chart нь үүний хажууд өөр пончик үүсгэх болно.
Бид хуваасан зүсмэлүүдийг ашиглах болно.
Сонгосон нэр томъёоноос хамааран бид өгөгдлөө дүрслэн харуулах болно. Энэ тохиолдолд нэр томъёо нь MITER ATT & CK-д хамаарна.
Winlogbeat-д бидэнд энэ мэдээллийг өгөх талбарыг нэрлэнэ:
winlog.event_data.RuleName
Бид үйл явдлуудыг тохиолдох тоогоор нь эрэмблэхийн тулд тоолох хэмжүүрийг тохируулна.
"Бусад утгыг тусдаа сегментэд бүлэглэх" функцийг идэвхжүүлнэ үү.
Хэрэв таны сонгосон нэр томьёо хэмнэлд тулгуурлан олон янзын утгатай байвал энэ нь хэрэг болно. Энэ нь бусад өгөгдлийг бүхэлд нь дүрслэн харуулахад тусална. Энэ нь танд үлдсэн үйл явдлын хувь хэмжээний талаар ойлголт өгөх болно.
Одоо бид өгөгдлийн табыг тохируулж дууссаны дараа сонголтуудын таб руу шилжье
Та дараахь зүйлийг хийх ёстой.
**Буурцагны хэлбэрийг арилгаснаар дүрс нь бүтэн тойрог харагдах болно.
**Та дуртай домог байрлалаа сонгоно уу. Энэ тохиолдолд бид тэдгээрийг баруун талд харуулах болно.
** Уншихад хялбар болгох үүднээс дэлгэцийн утгыг хэсэгчилсэн хэсгийнх нь хажууд харуулахаар тохируулж, үлдсэнийг нь өгөгдмөл байдлаар үлдээнэ үү
Таслах нь үйл явдлын нэрнээс хэр их харуулахыг хүсч байгаагаа тодорхойлдог.
Зургийг эхлүүлэхийг хүссэн цагаа тохируулаад цэнхэр дөрвөлжин дээр дарна уу.
Та иймэрхүү зүйлээр дуусгах ёстой:
Та мөн шалгахыг хүссэн хостоо эсвэл зорилгодоо хэрэгтэй гэж үзсэн параметрүүдийг шүүхээр дүрслэлдээ шүүлтүүр нэмж болно. Дүрслэл нь зөвхөн шүүлтүүрт байрлуулсан дүрэмтэй тохирох өгөгдлийг харуулах болно. Энэ тохиолдолд бид зөвхөн win10 нэртэй хостоос ирсэн MITER ATT&CK өгөгдлийг харуулах болно.
3-2- Анхны хяналтын самбараа үүсгэх:
Хяналтын самбар нь олон дүрслэлүүдийн цуглуулга юм. Таны хяналтын самбарууд тодорхой, ойлгомжтой байх ёстой бөгөөд хэрэгтэй, тодорхойлогч өгөгдлийг агуулсан байх ёстой. Winlogbeat-д зориулж эхнээс нь бүтээсэн хяналтын самбаруудын жишээ энд байна.
Цаг гаргасанд баярлалаа. Энэ нийтлэл танд хэрэг болсон гэж найдаж байна. Хэрэв та сэдвийн талаар илүү их мэдээлэл авахыг хүсвэл зочлохыг зөвлөж байна
Elasticsearch дээрх Telegram чат:
Эх сурвалж: www.habr.com