Siaran ini akan menerangkan penyediaan visualisasi papan pemuka ELK dan SIEM dalam ELK
Artikel dibahagikan kepada bahagian berikut:
1- Kajian ELK SIEM
2- Papan pemuka lalai
3- Mencipta papan pemuka pertama anda
Jadual kandungan semua siaran.
- Integrasi dengan WAZUH
- Memberi amaran
- Pelaporan
- Pengurusan Kes
1-ELK SIEM Semakan
ELK SIEM baru-baru ini telah ditambahkan pada timbunan rusa dalam versi 7.2 pada 25 Jun 2019.
Ini ialah penyelesaian SIEM yang dicipta oleh elastic.co untuk menjadikan kehidupan seorang penganalisis keselamatan lebih mudah dan kurang membosankan.
Dalam versi kerja kami, kami memutuskan untuk mencipta SIEM kami sendiri dan memilih panel kawalan kami sendiri.
Tetapi kami fikir penting untuk meneroka ELK SIEM dahulu.
1.1- Bahagian acara hos
Kami akan melihat bahagian hos terlebih dahulu. Bahagian hos akan membolehkan anda melihat peristiwa yang dijana pada titik akhir itu sendiri.
Selepas mengklik pada hos lihat anda sepatutnya mendapat sesuatu seperti ini. Seperti yang anda lihat, terdapat tiga hos yang disambungkan ke komputer ini:
1 Windows 10.
2 Pelayan Ubuntu 18.04.
Kami mempunyai beberapa visualisasi dipaparkan, setiap satu mewakili jenis acara yang berbeza.
Sebagai contoh, yang di tengah menunjukkan data log masuk pada ketiga-tiga mesin.
Jumlah data yang anda lihat di sini telah dikumpulkan selama lima hari. Ini menerangkan bilangan besar log masuk yang gagal dan berjaya. Anda mungkin akan mempunyai sebilangan kecil log, jadi jangan risau
1.2- Bahagian acara rangkaian
Beralih ke bahagian rangkaian, anda sepatutnya mendapat sesuatu seperti ini. Bahagian ini akan membolehkan anda mengawasi semua perkara yang berlaku pada rangkaian anda, daripada trafik HTTP/TLS kepada trafik DNS dan makluman acara luaran.
2- Papan pemuka lalai
Untuk menjadikan kehidupan lebih mudah bagi pengguna, pembangun elastic.co telah mencipta bar alat lalai yang disokong secara rasmi oleh ELK. Rentak kami tidak terkecuali daripada peraturan ini. Di sini saya akan menggunakan papan pemuka lalai Packetbeat sebagai contoh.
Jika anda mengikuti langkah kedua artikel dengan betul. Anda sepatutnya menyediakan bar alat menunggu anda. Jadi mari kita mulakan.
Daripada tab kiri Kibana, pilih simbol papan pemuka. Ini adalah yang ketiga, jika anda mengira dari atas.
Masukkan nama kongsi dalam tab carian
Jika terdapat beberapa modul dalam bit. Panel kawalan akan dibuat untuk setiap satu daripadanya. Tetapi hanya modul yang aktif akan memaparkan data bukan kosong.
Pilih satu dengan nama modul anda.
Ini adalah templat utama PacketBeat.
Ini ialah panel kawalan aliran rangkaian. Ia akan memberitahu kami tentang paket masuk dan keluar, sumber dan destinasi alamat IP, dan juga menyediakan banyak maklumat berguna untuk penganalisis pusat keselamatan.
3 β Mencipta papan pemuka pertama anda
3β1- Konsep Asas
A- Jenis papan pemuka:
Ini ialah pelbagai jenis visualisasi yang boleh anda gunakan untuk menggambarkan data anda.
contohnya kita ada:
- Grafik bar
- Peta
- Widget penurunan harga
- Carta pai
B- KQL (Bahasa Pertanyaan Kibana):
Ini adalah bahasa yang digunakan dalam Kibana untuk memudahkan pencarian data. Ia membolehkan anda menyemak sama ada data tertentu wujud dan banyak ciri berguna lain. Untuk mengetahui lebih lanjut, anda boleh meneroka maklumat di pautan ini
Ini ialah contoh pertanyaan untuk mencari hos yang menjalankan Windows 10 pro.
C- Penapis:
Ciri ini akan membolehkan anda menapis parameter tertentu seperti nama hos, kod acara atau ID, dsb. Penapis akan menambah baik fasa penyiasatan dari segi masa dan usaha yang dibelanjakan untuk mencari bukti.
D- Visualisasi pertama:
Mari buat visualisasi untuk MITRE ATT & CK.
Mula-mula kita perlu pergi ke Papan pemuka β Cipta papan pemuka baharu β buat baharu β Papan pemuka pai
Tetapkan jenis untuk corak indeks, kemudian ketik nama rentak anda.
Tekan enter. Sekarang anda sepatutnya melihat donat hijau.
Dalam tab Baldi di sebelah kiri anda akan dapati:
β Potongan terbelah akan membahagikan donat kepada bahagian yang berbeza bergantung pada penyebaran data.
- Carta Pisah akan mencipta donat lain di sebelah yang ini.
Kami akan menggunakan kepingan terbelah.
Kami akan menggambarkan data kami bergantung pada istilah yang kami pilih. Dalam kes ini istilah akan merujuk kepada MITRE ATT & CK.
Dalam Winlogbeat, medan yang akan memberikan kami maklumat ini dipanggil:
winlog.event_data.RuleNameKami akan menyediakan metrik kiraan untuk memesan acara berdasarkan bilangan kali ia berlaku.
Dayakan ciri "Kumpulkan nilai lain dalam segmen berasingan".
Ini berguna jika istilah yang anda pilih mempunyai banyak makna yang berbeza berdasarkan irama. Ini membantu menggambarkan keseluruhan data yang lain. Ini akan memberi anda gambaran tentang peratusan acara yang tinggal.
Sekarang setelah kita selesai menyediakan tab data, mari kita beralih ke tab pilihan
Anda mesti melakukan perkara berikut:
**Alih keluar bentuk donat supaya paparan menunjukkan bulatan penuh.
**Pilih kedudukan legenda yang anda suka. Dalam kes ini, kami akan memaparkannya di sebelah kanan.
**Tetapkan nilai paparan untuk ditunjukkan di sebelah coretan mereka untuk bacaan yang lebih mudah dan biarkan yang lain sebagai lalai
Pemangkasan menentukan jumlah yang anda mahu paparkan daripada nama acara.
Tetapkan masa yang anda mahu pemaparan bermula, dan kemudian klik petak biru.
Anda sepatutnya berakhir dengan sesuatu seperti ini:
Anda juga boleh menambah penapis pada visualisasi anda untuk menapis hos tertentu yang anda ingin semak atau mana-mana parameter yang anda fikir berguna untuk tujuan anda. Visualisasi hanya akan memaparkan data yang sepadan dengan peraturan yang diletakkan dalam penapis. Dalam kes ini, kami hanya akan memaparkan data MITER ATT&CK yang datang daripada hos bernama win10.
3-2- Mencipta papan pemuka pertama anda:
Papan pemuka ialah koleksi banyak visualisasi. Papan pemuka anda hendaklah jelas, mudah difahami dan mengandungi data yang berguna dan menentukan. Berikut ialah contoh papan pemuka yang kami buat dari awal untuk winlogbeat.
Terima kasih atas masa anda. Saya harap anda mendapati artikel ini membantu. Jika anda ingin mendapatkan maklumat lanjut tentang topik tersebut, kami mengesyorkan anda melawati .
Sembang Telegram di Elasticsearch:
Sumber: www.habr.com