Din il-kariga se tiddeskrivi t-twaqqif tal-viżwalizzazzjoni tad-dashboards ELK u SIEM f'ELK
L-artikolu huwa maqsum fit-taqsimiet li ġejjin:
1- ELK SIEM Reviżjoni
2- Dashboards default
3- Il-ħolqien tal-ewwel dashboards tiegħek
Werrej tal-postijiet kollha.
- Integrazzjoni mal-WAZUH
- Twissija
- Rappurtar
- Ġestjoni tal-Każijiet
Reviżjoni 1-ELK SIEM
ELK SIEM reċentement ġie miżjud mal-munzell tal-elk fil-verżjoni 7.2 fil-25 ta 'Ġunju 2019.
Din hija soluzzjoni SIEM maħluqa minn elastic.co biex tagħmel il-ħajja ta 'analista tas-sigurtà ħafna aktar faċli u inqas tedjanti.
Fil-verżjoni tagħna tax-xogħol, iddeċidejna li noħolqu SIEM tagħna stess u nagħżlu l-pannell tal-kontroll tagħna stess.
Imma naħsbu li huwa importanti li l-ewwel nesploraw ELK SIEM.
1.1- Sezzjoni tal-avvenimenti li jospitaw
L-ewwel se nħarsu lejn is-sezzjoni ospitanti. Is-sezzjoni ospitanti tippermettilek tara l-avvenimenti li huma ġġenerati fl-endpoint innifsu.
Wara li tikklikkja fuq view hosts għandek tikseb xi ħaġa bħal din. Kif tistgħu taraw, hemm tliet hosts konnessi ma 'dan il-kompjuter:
1 Windows 10.
2 Ubuntu Server 18.04.
Għandna diversi viżwalizzazzjonijiet murija, kull waħda tirrappreżenta tipi differenti ta 'avvenimenti.
Pereżempju, dak fin-nofs juri d-dejta tal-login fuq it-tliet magni kollha.
Dan l-ammont ta' dejta li tara hawn inġabret fuq ħamest ijiem. Dan jispjega n-numru kbir ta 'logins falluti u ta' suċċess. Probabilment ikollok numru żgħir ta 'zkuk, għalhekk tinkwetax
1.2- Sezzjoni tal-avvenimenti tan-netwerk
Nimxu lejn it-taqsima tan-netwerk, għandek tikseb xi ħaġa bħal din. Din it-taqsima tippermettilek iżżomm għajnejk mill-qrib fuq dak kollu li jiġri fuq in-netwerk tiegħek, mit-traffiku HTTP/TLS sat-traffiku DNS u twissijiet ta 'avvenimenti esterni.
2- Dashboards default
Biex jagħmlu l-ħajja aktar faċli għall-utenti, l-iżviluppaturi elastic.co ħolqu toolbar default appoġġjat uffiċjalment minn ELK. It-taħbit tagħna ma kinux eċċezzjoni għal din ir-regola. Hawnhekk ser nuża d-dashboards default ta' Packetbeat bħala eżempju.
Jekk segwejt it-tieni pass tal-artiklu b'mod korrett. Għandu jkollok toolbar stabbilit għalikom. Mela ejja nibdew.
Mit-tab tax-xellug ta' Kibana, agħżel is-simbolu tad-dashboard. Din hija t-tielet waħda, jekk tgħodd minn fuq.
Daħħal l-isem tas-sehem fit-tab tat-tfittxija
Jekk hemm diversi moduli fil-bit. Se jinħoloq pannell tal-kontroll għal kull wieħed minnhom. Imma dak biss bil-modulu attiv se juri data mhux vojta.
Agħżel dik bl-isem tal-modulu tiegħek.
Dan huwa l-mudell ewlieni PacketBeat.
Dan huwa l-pannell tal-kontroll tal-fluss tan-netwerk. Tgħidilna dwar il-pakkett deħlin u ħerġin, is-sorsi u d-destinazzjonijiet tal-indirizzi IP, u jipprovdi wkoll ħafna informazzjoni utli għal analista taċ-ċentru tas-sigurtà.
3 — Il-ħolqien tal-ewwel dashboards tiegħek
3–1- Kunċetti Bażiċi
A- Tipi ta' dashboards:
Dawn huma t-tipi differenti ta’ viżwalizzazzjonijiet li tista’ tuża biex tara d-dejta tiegħek.
pereżempju għandna:
- bar chart
- Mappa
- Widget tal-markdown
- Pie chart
B- KQL (Lingwa ta' Mistoqsija Kibana):
Din hija l-lingwa użata f'Kibana għat-tiftix faċli tad-dejta. Jippermettilek tiċċekkja jekk teżistix ċerta data u ħafna karatteristiċi utli oħra. Biex issir taf aktar, tista’ tesplora l-informazzjoni f’din il-link
Din hija mistoqsija eżempju biex issib host li jħaddem Windows 10 pro.
C- Filtri:
Din il-karatteristika tippermettilek tiffiltra ċerti parametri bħall-isem tal-ospitant, il-kodiċi tal-avveniment jew l-ID, eċċ. Il-filtri se jtejbu bil-kbir il-fażi tal-investigazzjoni f'termini ta 'ħin u sforz mgħoddi fit-tiftix tal-evidenza.
D- L-ewwel viżwalizzazzjoni:
Ejja noħolqu viżwalizzazzjoni għal MITRE ATT & CK.
L-ewwel irridu mmorru Dashboard → Oħloq dashboard ġdid → oħloq ġdid → Dashboard Pie
Issettja t-tip għall-mudell tal-indiċi, imbagħad tektek l-isem tal-taħbit tiegħek.
Agħfas Enter. Sa issa għandek tara doughnut aħdar.
Fit-tab tal-Bramel fuq ix-xellug issib:
— Flieli maqsuma se jaqsmu d-donut f'partijiet differenti skont it-tixrid tad-dejta.
- Split Chart se toħloq donut ieħor ħdejn dan.
Se nużaw slices maqsuma.
Aħna se nħaffu d-dejta tagħna skont it-terminu li nagħżlu. F'dan il-każ it-terminu jirreferi għal MITRE ATT & CK.
F'Winlogbeat, il-qasam li se jagħtina din l-informazzjoni jissejjaħ:
winlog.event_data.RuleNameAħna ser inwaqqfu metrika tal-għadd biex tordna l-avvenimenti abbażi tan-numru ta' drabi li jseħħu.
Ippermetti l-karatteristika "Aggruppa valuri oħra f'segment separat".
Dan ikun utli jekk it-termini li tagħżel ikollhom ħafna tifsiriet differenti bbażati fuq ir-ritmu. Dan jgħin biex jivviżwalizza l-bqija tad-dejta kollha kemm hi. Dan jagħtik idea tal-persentaġġ ta 'avvenimenti li fadal.
Issa li lestejna twaqqaf it-tab tad-dejta, ejja ngħaddu għat-tab tal-għażliet
Trid tagħmel dan li ġej:
** Neħħi l-forma tad-donut sabiex ir-rending juri ċirku sħiħ.
**Agħżel il-pożizzjoni tal-leġġenda li tixtieq. F'dan il-każ, aħna se nuruhom fuq il-lemin.
** Issettja l-valuri tal-wiri biex juru ħdejn is-snippet tagħhom għal qari aktar faċli u ħalli l-bqija bħala default
It-trunkazzjoni tiddetermina kemm trid turi mill-isem tal-avveniment.
Issettja l-ħin li fih trid tibda l-għoti, u mbagħad ikklikkja l-kwadru blu.
Għandek tispiċċa b'xi ħaġa bħal din:
Tista 'wkoll iżżid filtru mal-viżwalizzazzjoni tiegħek biex tiffiltra l-host speċifiku li trid tiċċekkja jew kwalunkwe parametru li taħseb li huwa utli għall-iskop tiegħek. Il-viżwalizzazzjoni se turi biss data li taqbel mar-regola mqiegħda fil-filtru. F'dan il-każ, aħna se nuru biss dejta MITRE ATT&CK li ġejja mill-host imsejjaħ win10.
3-2- Il-ħolqien tal-ewwel dashboard tiegħek:
Dashboard huwa ġabra ta 'ħafna viżwalizzazzjonijiet. Id-dashboards tiegħek għandhom ikunu ċari, jinftiehmu, u jkun fihom dejta utli u deterministika. Hawn eżempju tad-dashboards li ħloqna mill-bidu għal winlogbeat.
Grazzi tal-ħin tiegħek. Nispera li sibt dan l-artikolu utli. Jekk tixtieq aktar informazzjoni dwar is-suġġett, nirrakkomandaw li żżur .
Chat tat-Telegram fuq Elasticsearch:
Sors: www.habr.com