ELK SIEM Open Distro- ELK ရှိ ELK နှင့် SIEM ဒက်ရှ်ဘုတ်များကို မြင်ယောင်ခြင်း

ဤပို့စ်သည် ELK တွင် ELK နှင့် SIEM ဒက်ရှ်ဘုတ်များ၏ ပုံရိပ်ယောင်ကို သတ်မှတ်ခြင်းအကြောင်း ဖော်ပြပါမည်။
ဆောင်းပါးကို အောက်ပါကဏ္ဍများအဖြစ် ပိုင်းခြားထားသည်။

1- ELK SIEM သုံးသပ်ချက်
2- ပုံသေ ဒက်ရှ်ဘုတ်များ
3- သင်၏ ပထမဆုံး ဒက်ရှ်ဘုတ်များ ဖန်တီးခြင်း။

ပို့စ်အားလုံး၏ အကြောင်းအရာဇယား။

• နိဒါန်း။ SOC as a Service (SOCasS) အတွက် အခြေခံအဆောက်အအုံနှင့် နည်းပညာများ ဖြန့်ကျက်ခြင်း၊
• ELK stack - တပ်ဆင်ခြင်းနှင့် ဖွဲ့စည်းမှု
• ဖွင့်ထားသော Distro ကိုဖြတ်လျှောက်ပါ။
• Dashboards နှင့် ELK SIEM ကို မြင်ယောင်ခြင်း။
• WAZUH နှင့် ပေါင်းစပ်ခြင်း။
• သတိပေးခြင်း။
• သတင်းပို့ခြင်း
• ဖြစ်ရပ်မှန်စီမံခန့်ခွဲမှု

1-ELK SiEM ပြန်လည်သုံးသပ်ခြင်း။

ELK SIEM ကို 7.2 ခုနှစ်၊ ဇွန်လ 25 ရက်နေ့တွင် ဗားရှင်း 2019 တွင် elk stack သို့ မကြာသေးမီက ထည့်သွင်းခဲ့သည်။

ဤသည်မှာ လုံခြုံရေးလေ့လာသူ၏ဘဝပိုမိုလွယ်ကူပြီး အပျင်းပြေစေရန် elastic.co မှဖန်တီးထားသော SIEM ဖြေရှင်းချက်တစ်ခုဖြစ်သည်။

ကျွန်ုပ်တို့၏အလုပ်ဗားရှင်းတွင်၊ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ကိုယ်ပိုင် SIEM ကိုဖန်တီးပြီး ကျွန်ုပ်တို့၏ကိုယ်ပိုင်ထိန်းချုပ်မှုဘောင်ကို ရွေးချယ်ရန် ဆုံးဖြတ်ခဲ့သည်။

ဒါပေမယ့် ELK SIEM ကို အရင်လေ့လာဖို့ အရေးကြီးတယ်လို့ ကျွန်တော်တို့ထင်ပါတယ်။

1.1- လက်ခံကျင်းပသည့်ဖြစ်ရပ်များ ကဏ္ဍ

အိမ်ရှင်ကဏ္ဍကို အရင်ကြည့်ပါမယ်။ လက်ခံဆောင်ရွက်ပေးသည့်ကဏ္ဍသည် သင့်အား အဆုံးမှတ်တွင် ထုတ်ပေးသည့် အဖြစ်အပျက်များကို မြင်နိုင်စေမည်ဖြစ်သည်။

View hosts ကို နှိပ်ပြီးပါက ဤကဲ့သို့သော အရာကို ရရှိသင့်ပါသည်။ သင်တွေ့မြင်ရသည့်အတိုင်း၊ ဤကွန်ပျူတာသို့ ချိတ်ဆက်ထားသော host သုံးခုရှိသည်-

1 Windows 10 ။

2 Ubuntu Server 18.04။

ကျွန်ုပ်တို့တွင် အမျိုးမျိုးသော အဖြစ်အပျက်များကို ကိုယ်စားပြုသည့် ပုံရိပ်ယောင်များစွာကို ပြသထားသည်။

ဥပမာအားဖြင့်၊ အလယ်ရှိတစ်ခုသည် စက်သုံးမျိုးလုံးတွင် လော့ဂ်အင်ဒေတာကို ပြသသည်။

ဤနေရာတွင် သင်တွေ့မြင်ရသော ဤပမာဏကို ငါးရက်အတွင်း စုဆောင်းခဲ့သည်။ ဤသည်မှာ မအောင်မြင်သော အကောင့်ဝင်ခြင်းများစွာကို ရှင်းပြသည်။ သင့်တွင် မှတ်တမ်းအနည်းအများ ရှိလိမ့်မည်၊ ထို့ကြောင့် စိတ်မပူပါနှင့်

1.2- ကွန်ရက်ဖြစ်ရပ်များ ကဏ္ဍ

ကွန်ရက် ကဏ္ဍကို ရွှေ့ပါ၊ ဤကဲ့သို့သော အရာကို ရသင့်ပါသည်။ ဤကဏ္ဍသည် သင့်ကွန်ရက်ပေါ်ရှိ ဖြစ်ပျက်သမျှအားလုံးကို အနီးကပ်ကြည့်ရှုနိုင်စေမည်ဖြစ်ပြီး HTTP/TLS အသွားအလာမှ DNS အသွားအလာနှင့် ပြင်ပဖြစ်ရပ်သတိပေးချက်များအထိဖြစ်သည်။

2- ပုံသေ ဒက်ရှ်ဘုတ်များ

သုံးစွဲသူများအတွက် ဘဝပိုမိုလွယ်ကူစေရန် elastic.co ဆော့ဖ်ဝဲအင်ဂျင်နီယာများသည် ELK မှ တရားဝင်ပံ့ပိုးပေးထားသည့် မူရင်းတူးလ်ဘားကို ဖန်တီးထားသည်။ ကျွန်ုပ်တို့၏စည်းချက်သည် ဤစည်းမျဉ်းအတွက် ခြွင်းချက်မဟုတ်ပါ။ ဤတွင် ကျွန်ုပ်သည် Packetbeat ၏ မူရင်း ဒက်ရှ်ဘုတ်များကို နမူနာအဖြစ် အသုံးပြုပါမည်။

အကယ်၍ သင်သည် ဆောင်းပါး၏ အဆင့်နှစ်ကို မှန်ကန်စွာ လိုက်နာပါ။ သင့်အတွက် အသင့်စောင့်နေသော ကိရိယာဘားတစ်ခု တပ်ဆင်ထားသင့်သည်။ ဒါဆို စလိုက်ရအောင်။

Kibana ၏ဘယ်ဘက်တက်ဘ်မှ၊ ဒက်ရှ်ဘုတ်သင်္ကေတကိုရွေးချယ်ပါ။ ဒါက အပေါ်ကနေ ရေတွက်ရင် တတိယပါ။

ရှာဖွေမှုတက်ဘ်တွင် မျှဝေအမည်ကို ထည့်သွင်းပါ။

bit ထဲမှာ module တွေ အများကြီးရှိနေရင် ၎င်းတို့တစ်ခုစီအတွက် ထိန်းချုပ်အကန့်တစ်ခုကို ဖန်တီးမည်ဖြစ်သည်။ သို့သော် တက်ကြွသော module တစ်ခုမှသာလျှင် ဗလာမဟုတ်သောဒေတာကို ပြသမည်ဖြစ်သည်။

သင်၏ module အမည်ဖြင့်တစ်ခုကိုရွေးချယ်ပါ။

ဤသည်မှာ ပင်မပုံစံဖြစ်သည်။ PacketBeat.

၎င်းသည် network flow control panel ဖြစ်သည်။ ၎င်းသည် အဝင်နှင့်အထွက် ပက်ကတ်၊ IP လိပ်စာများ၏ ရင်းမြစ်များနှင့် ဦးတည်ရာများအကြောင်း ကျွန်ုပ်တို့အား ပြောပြမည်ဖြစ်ပြီး လုံခြုံရေးစင်တာမှ ခွဲခြမ်းစိတ်ဖြာသူအတွက် အသုံးဝင်သော အချက်အလက်များစွာကိုလည်း ပေးဆောင်မည်ဖြစ်သည်။

3 — သင်၏ ပထမဆုံး ဒက်ရှ်ဘုတ်များ ဖန်တီးခြင်း။

၃–၁- အခြေခံသဘောတရားများ

A- ဒက်ရှ်ဘုတ် အမျိုးအစားများ

ဤအရာများသည် သင့်ဒေတာကို မြင်ယောင်ထင်ယောင်ထင်ထင်ဖြစ်စေရန် သင်အသုံးပြုနိုင်သည့် ကွဲပြားသော စိတ်ကူးပုံဖော်မှု အမျိုးအစားများဖြစ်သည်။

ဥပမာ ကျွန်ုပ်တို့တွင်-

• ဘားဂရပ်
• မြေပုံ
• Markdown ဝိဂျက်
• Pie ဇယား

B- KQL (Kibana Query Language):

ဤသည်မှာ ဒေတာကို လွယ်ကူစွာ ရှာဖွေနိုင်စေရန်အတွက် Kibana တွင် အသုံးပြုသော ဘာသာစကားဖြစ်သည်။ ၎င်းသည် သင့်အား ဒေတာအချို့ရှိမရှိနှင့် အခြားအသုံးဝင်သော အင်္ဂါရပ်များစွာရှိမရှိ စစ်ဆေးနိုင်မည်ဖြစ်သည်။ ပိုမိုသိရှိလိုပါက ဤလင့်ခ်တွင် အချက်အလက်များကို လေ့လာနိုင်ပါသည်။

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

ဤသည်မှာ Windows 10 pro အသုံးပြုနေသည့် host ကိုရှာရန် ဥပမာတစ်ခုဖြစ်သည်။

C- စစ်ထုတ်မှုများ-

ဤအင်္ဂါရပ်သည် သင့်အား လက်ခံသူအမည်၊ ဖြစ်ရပ်ကုဒ် သို့မဟုတ် ID စသည်တို့ကဲ့သို့ အချို့သောကန့်သတ်ချက်များကို စစ်ထုတ်နိုင်စေမည်ဖြစ်သည်။ စစ်ထုတ်မှုများသည် အထောက်အထားရှာဖွေရန် အချိန်နှင့် ကြိုးစားအားထုတ်မှုဆိုင်ရာ စုံစမ်းစစ်ဆေးမှုအဆင့်ကို များစွာတိုးတက်စေမည်ဖြစ်သည်။

D- ပထမဆုံး မြင်ယောင်မှု-

MITER ATT & CK အတွက် စိတ်ကူးပုံဖော်ကြည့်ရအောင်။

အရင်ဆုံး သွားဖို့လိုတယ်။ ဒက်ရှ်ဘုတ် → ဒက်ရှ်ဘုတ်အသစ်ဖန်တီးပါ → အသစ်ဖန်တီးပါ → Pie ဒက်ရှ်ဘုတ်

အညွှန်းပုံစံအတွက် အမျိုးအစားကို သတ်မှတ်ပါ၊ ထို့နောက် သင့်ရိုက်ချက်အမည်ကို နှိပ်ပါ။

Enter နှိပ်ပါ။ အခုအချိန်မှာတော့ အစိမ်းရောင် ဒိုးနပ်ကို တွေ့ရပါမယ်။

ဘယ်ဘက်ရှိ Buckets တက်ဘ်တွင် သင်တွေ့လိမ့်မည်-

— ခွဲခြမ်းထားသော အချပ်များသည် ဒေတာပျံ့နှံ့မှုပေါ်မူတည်၍ ဒိုးနတ်ကို ကွဲပြားသော အစိတ်အပိုင်းများအဖြစ် ခွဲပေးမည်ဖြစ်သည်။

- Split Chart သည် ဤတစ်ခု၏ဘေးတွင် နောက်ထပ်ဒိုးနပ်တစ်ခုကို ဖန်တီးလိမ့်မည်။

အချပ်များကို ခွဲ၍ အသုံးပြုပါမည်။

ကျွန်ုပ်တို့ရွေးချယ်သည့်အသုံးအနှုန်းပေါ် မူတည်၍ ကျွန်ုပ်တို့၏ဒေတာကို မြင်ယောင်ကြည့်ပါမည်။ ဤကိစ္စတွင် စကားလုံးသည် MITER ATT & CK ကိုရည်ညွှန်းပါမည်။

Winlogbeat တွင်၊ ဤအချက်အလက်ကို ကျွန်ုပ်တို့အား ပေးဆောင်မည့် အကွက်ကို ဟုခေါ်သည်-

winlog.event_data.RuleName

၎င်းတို့ ဖြစ်ပွားသည့် အကြိမ်အရေအတွက်အပေါ် အခြေခံ၍ ဖြစ်ရပ်များကို မှာယူရန်အတွက် ရေတွက်မက်ထရစ်ကို သတ်မှတ်ပေးပါမည်။

သီးခြားအပိုင်းတွင် "အခြားတန်ဖိုးများကို အုပ်စုဖွဲ့ရန်" အင်္ဂါရပ်ကို ဖွင့်ပါ။

သင်ရွေးချယ်သော ဝေါဟာရများသည် ရစ်သမ်အပေါ်အခြေခံ၍ ကွဲပြားသော အဓိပ္ပါယ်များစွာရှိလျှင် ၎င်းသည် အသုံးဝင်ပါလိမ့်မည်။ ၎င်းသည် ကျန်ဒေတာတစ်ခုလုံးကို မြင်ယောင်နိုင်ရန် ကူညီပေးသည်။ ယင်းက သင့်အား ကျန်ရှိနေသည့် အဖြစ်အပျက်များ၏ ရာခိုင်နှုန်းကို စိတ်ကူးတစ်ခုပေးလိမ့်မည်။

ယခု ကျွန်ုပ်တို့သည် ဒေတာတက်ဘ်ကို စတင်သတ်မှတ်ခြင်း ပြီးသောအခါ၊ ရွေးချယ်မှုတက်ဘ်သို့ ဆက်သွားကြပါစို့

အောက်ပါတို့ကို သင်လုပ်ဆောင်ရပါမည်။

** ဒိုးနပ်ပုံသဏ္ဍာန်ကို ဖယ်ရှားပြီး သရုပ်ဖော်မှုတွင် စက်ဝိုင်းအပြည့်ကို ပြသသည်။

** သင်နှစ်သက်သော ဒဏ္ဍာရီအနေအထားကို ရွေးချယ်ပါ။ ဤကိစ္စတွင်၊ ကျွန်ုပ်တို့သည် ၎င်းတို့အား ညာဘက်တွင် ပြသပါမည်။

**ပိုမိုလွယ်ကူစွာဖတ်ရှုနိုင်စေရန် ၎င်းတို့၏အတိုအထွာများဘေးတွင်ပြသရန် ပြကွက်တန်ဖိုးများကို သတ်မှတ်ပြီး ကျန်ကို ပုံသေအဖြစ်ထားလိုက်ပါ။

ဖြတ်တောက်ခြင်းသည် ပွဲအမည်မှ သင်ပြသလိုသည့် ပမာဏကို ဆုံးဖြတ်သည်။

တင်ဆက်မှုကို စတင်စေလိုသည့်အချိန်ကို သတ်မှတ်ပါ၊ ထို့နောက် အပြာရောင်စတုရန်းကို နှိပ်ပါ။

သင်ဤကဲ့သို့သောအရာနှင့်အဆုံးသတ်သင့်ပါတယ်:

သင်စစ်ဆေးလိုသော သီးခြားအိမ်ရှင် သို့မဟုတ် သင့်ရည်ရွယ်ချက်အတွက် အသုံးဝင်သည်ဟု သင်ထင်မြင်သည့် မည်သည့်ကန့်သတ်ဘောင်များကိုမဆို စစ်ထုတ်ရန် သင့်အမြင်အာရုံသို့ စစ်ထုတ်မှုတစ်ခုကိုလည်း ထည့်သွင်းနိုင်သည်။ စိတ်ကူးပုံဖော်မှုသည် စစ်ထုတ်မှုတွင် ထည့်သွင်းထားသော စည်းမျဉ်းနှင့် ကိုက်ညီသည့် ဒေတာကိုသာ ပြသမည်ဖြစ်သည်။ ဤအခြေအနေတွင်၊ win10 ဟုအမည်ပေးထားသည့် host မှလာသော MITER ATT&CK ဒေတာကိုသာ ပြသပါမည်။

3-2- သင်၏ ပထမဆုံး ဒက်ရှ်ဘုတ်ကို ဖန်တီးခြင်း-

ဒက်ရှ်ဘုတ်သည် အမြင်အာရုံများစွာကို စုစည်းမှုတစ်ခုဖြစ်သည်။ သင်၏ ဒက်ရှ်ဘုတ်များသည် ရှင်းရှင်းလင်းလင်း၊ နားလည်နိုင်သော၊ အသုံးဝင်သော၊ အဆုံးအဖြတ်ပေးသည့် ဒေတာများ ပါဝင်သင့်သည်။ ဤသည်မှာ winlogbeat အတွက် အစမှ ဖန်တီးထားသော ဒက်ရှ်ဘုတ်များ၏ ဥပမာတစ်ခုဖြစ်သည်။

သင့်အချိန်အတွက် ကျေးဇူးတင်ပါသည်။ ဒီဆောင်းပါးက အသုံးဝင်မယ်လို့ မျှော်လင့်ပါတယ်။ ခေါင်းစဉ်နှင့်ပတ်သက်သော အချက်အလက်များကို ပိုမိုသိရှိလိုပါက၊ သွားရောက်ကြည့်ရှုရန် အကြံပြုအပ်ပါသည်။ တရားဝင်ဝက်ဘ်ဆိုက်.

Elasticsearch တွင် Telegram ချတ်။ https://t.me/elasticsearch_ru

source: www.habr.com