In dit bericht wordt het instellen van de visualisatie van ELK- en SIEM-dashboards in ELK beschreven
Het artikel is onderverdeeld in de volgende secties:
1- ELK SIEM-recensie
2- Standaarddashboards
3- Uw eerste dashboards maken
Inhoudsopgave van alle berichten.
- Integratie met WAZUH
- Waarschuwing
- Rapportage
- Case management
1-ELK SIEM-recensie
ELK SIEM is onlangs op 7.2 juni 25 toegevoegd aan de elk-stack in versie 2019.
Dit is een SIEM-oplossing gemaakt door elastic.co om het leven van een beveiligingsanalist veel gemakkelijker en minder vervelend te maken.
In onze versie van het werk hebben we besloten om onze eigen SIEM te maken en ons eigen controlepaneel te kiezen.
Maar wij vinden het belangrijk om eerst ELK SIEM te verkennen.
1.1- Sectie Hostevenementen
We zullen eerst naar het hostgedeelte kijken. In de hostsectie kunt u de gebeurtenissen zien die op het eindpunt zelf worden gegenereerd.
Nadat je op hosts bekijken hebt geklikt, zou je zoiets als dit moeten krijgen. Zoals u kunt zien, zijn er drie hosts op deze computer aangesloten:
1 Windows10.
2 Ubuntu-server 18.04.
Er worden verschillende visualisaties weergegeven, die elk verschillende soorten gebeurtenissen vertegenwoordigen.
De middelste toont bijvoorbeeld inloggegevens op alle drie de machines.
De hoeveelheid gegevens die u hier ziet, is gedurende vijf dagen verzameld. Dit verklaart het grote aantal mislukte en succesvolle logins. U zult waarschijnlijk een klein aantal logbestanden hebben, dus maak u geen zorgen
1.2- Sectie Netwerkevenementen
Als u verdergaat met het netwerkgedeelte, zou u zoiets als dit moeten krijgen. In dit gedeelte kunt u alles wat er op uw netwerk gebeurt nauwlettend in de gaten houden, van HTTP/TLS-verkeer tot DNS-verkeer en externe gebeurteniswaarschuwingen.
2- Standaarddashboards
Om het leven voor gebruikers gemakkelijker te maken, hebben ontwikkelaars van elastic.co een standaardwerkbalk gemaakt die officieel wordt ondersteund door ELK. Onze beats vormden geen uitzondering op deze regel. Hier zal ik de standaarddashboards van Packetbeat als voorbeeld gebruiken.
Als je stap twee van het artikel correct hebt gevolgd. Er zou een werkbalk moeten zijn die op u wacht. Dus laten we beginnen.
Selecteer op het linkertabblad van Kibana het dashboardsymbool. Dit is de derde, als je vanaf de bovenkant telt.
Voer de sharenaam in op het tabblad Zoeken
Als er meerdere modules in de bit zitten. Voor elk van hen wordt een controlepaneel gemaakt. Maar alleen degene waarbij de module actief is, zal niet-lege gegevens weergeven.
Selecteer degene met uw modulenaam.
Dit is het hoofdsjabloon PacketBeat.
Dit is het netwerkstroomcontrolepaneel. Het vertelt ons over het inkomende en uitgaande pakket, de bronnen en bestemmingen van IP-adressen, en biedt ook veel nuttige informatie voor een analist van een beveiligingscentrum.
3 — Uw eerste dashboards maken
3–1- Basisconcepten
A- Soorten dashboards:
Dit zijn de verschillende soorten visualisaties die u kunt gebruiken om uw gegevens te visualiseren.
we hebben bijvoorbeeld:
- staafdiagram
- kaart
- Markdown-widget
- Cirkeldiagram
B- KQL (Kibana Query-taal):
Dit is de taal die in Kibana wordt gebruikt voor het eenvoudig zoeken naar gegevens. Hiermee kunt u controleren of bepaalde gegevens bestaan en vele andere handige functies. Voor meer informatie kunt u de informatie via deze link bekijken
Dit is een voorbeeldquery om een host met Windows 10 pro te vinden.
C-filters:
Met deze functie kunt u bepaalde parameters filteren, zoals hostnaam, gebeurteniscode of ID, enz. Filters zullen de onderzoeksfase aanzienlijk verbeteren in termen van tijd en moeite die wordt besteed aan het zoeken naar bewijsmateriaal.
D- Eerste visualisatie:
Laten we een visualisatie maken voor MITRE ATT & CK.
Eerst moeten we naar Dashboard → Nieuw dashboard maken → Nieuw maken → Taartdashboard
Stel het type voor het indexpatroon in en tik vervolgens op de naam van uw beat.
Druk op Enter. Je zou nu een groene donut moeten zien.
Op het tabblad Emmers aan de linkerkant vindt u:
— Gesplitste plakjes verdelen de donut in verschillende delen, afhankelijk van de verspreiding van de gegevens.
- Met een gesplitst diagram wordt er nog een donut naast deze gemaakt.
We gebruiken gespleten plakjes.
Afhankelijk van de term die we kiezen, zullen we onze gegevens visualiseren. In dit geval verwijst de term naar MITRE ATT & CK.
In Winlogbeat heet het veld dat ons deze informatie zal verschaffen:
winlog.event_data.RuleNameWe stellen een tellingsstatistiek in om gebeurtenissen te ordenen op basis van het aantal keren dat ze voorkomen.
Schakel de functie ‘Groepeer andere waarden in een apart segment’ in.
Dit is handig als de termen die u kiest veel verschillende betekenissen hebben op basis van ritme. Dit helpt de rest van de gegevens als geheel te visualiseren. Dit geeft je een idee van het percentage resterende evenementen.
Nu we klaar zijn met het instellen van het gegevenstabblad, gaan we verder naar het tabblad Opties
U moet het volgende doen:
**Verwijder de donutvorm zodat de weergave een volledige cirkel toont.
**Kies de gewenste legendapositie. In dit geval zullen we ze aan de rechterkant weergeven.
**Stel de weergavewaarden in die naast het fragment worden weergegeven, zodat ze gemakkelijker kunnen worden gelezen en laat de rest als standaard staan
Truncatie bepaalt hoeveel u wilt weergeven van de gebeurtenisnaam.
Stel het tijdstip in waarop u wilt dat het renderen begint en klik vervolgens op het blauwe vierkant.
Je zou met zoiets als dit moeten eindigen:
U kunt ook een filter aan uw visualisatie toevoegen om de specifieke host eruit te filteren die u wilt controleren of eventuele parameters die volgens u nuttig zijn voor uw doel. De visualisatie geeft alleen gegevens weer die overeenkomen met de regel die in het filter is geplaatst. In dit geval geven we alleen MITRE ATT&CK-gegevens weer die afkomstig zijn van de host met de naam win10.
3-2- Uw eerste dashboard maken:
Een dashboard is een verzameling van vele visualisaties. Uw dashboards moeten duidelijk en begrijpelijk zijn en nuttige, deterministische gegevens bevatten. Hier is een voorbeeld van de dashboards die we helemaal opnieuw hebben gemaakt voor winlogbeat.
Bedankt voor je tijd. Ik hoop dat je dit artikel nuttig vond. Als u meer informatie over dit onderwerp wilt, raden wij u aan een bezoek te brengen .
Telegramchat op Elasticsearch:
Bron: www.habr.com