Dette innlegget vil beskrive hvordan du setter opp visualiseringen av ELK- og SIEM-dashboards i ELK
Artikkelen er delt inn i følgende seksjoner:
1- ELK SIEM-gjennomgang
2- Standard dashbord
3- Lag dine første dashboards
Innholdsfortegnelse for alle innlegg.
- Integrasjon med WAZUH
- Varsler
- Rapportering
- Saksbehandling
1-ELK SIEM-gjennomgang
ELK SIEM ble nylig lagt til elgstabelen i versjon 7.2 25. juni 2019.
Dette er en SIEM-løsning laget av elastic.co for å gjøre livet til en sikkerhetsanalytiker mye enklere og mindre kjedelig.
I vår versjon av arbeidet bestemte vi oss for å lage vår egen SIEM og velge vårt eget kontrollpanel.
Men vi tror det er viktig å utforske ELK SIEM først.
1.1- Del for vertshendelser
Vi skal først se på vertsdelen. Vertsdelen lar deg se hendelsene som genereres ved selve endepunktet.
Etter å ha klikket på vis verter bør du få noe sånt som dette. Som du kan se, er det tre verter koblet til denne datamaskinen:
1 Windows 10.
2 Ubuntu Server 18.04.
Vi har flere visualiseringer vist, som hver representerer ulike typer hendelser.
For eksempel viser den i midten påloggingsdata på alle tre maskinene.
Denne mengden data du ser her ble samlet inn over fem dager. Dette forklarer det store antallet mislykkede og vellykkede pålogginger. Du vil sannsynligvis ha et lite antall logger, så ikke bekymre deg
1.2- Seksjon for nettverkshendelser
Går du videre til nettverksdelen, bør du få noe sånt som dette. Denne delen lar deg følge nøye med på alt som skjer på nettverket ditt, fra HTTP/TLS-trafikk til DNS-trafikk og eksterne hendelsesvarsler.
2- Standard dashbord
For å gjøre livet enklere for brukere har utviklere av elastic.co laget en standardverktøylinje som offisielt støttes av ELK. Våre beats var intet unntak fra denne regelen. Her vil jeg bruke Packetbeats standard dashboards som eksempel.
Hvis du fulgte trinn to i artikkelen riktig. Du bør ha en verktøylinje som venter på deg. Så la oss komme i gang.
Fra venstre fane i Kibana velger du dashbordsymbolet. Dette er den tredje, hvis du teller fra toppen.
Skriv inn delingsnavnet i søkefanen
Hvis det er flere moduler i biten. Et kontrollpanel vil bli opprettet for hver av dem. Men bare den med modulen aktiv vil vise ikke-tomme data.
Velg den med modulnavnet ditt.
Dette er hovedmalen PacketBeat.
Dette er kontrollpanelet for nettverksflyt. Den vil fortelle oss om den innkommende og utgående pakken, kildene og destinasjonene til IP-adresser, og gir også mye nyttig informasjon for en sikkerhetssenteranalytiker.
3 — Lag dine første dashbord
3–1- Grunnleggende konsepter
A- Typer dashbord:
Dette er de forskjellige typene visualiseringer du kan bruke til å visualisere dataene dine.
for eksempel har vi:
- søylediagram
- Kart
- Markdown-widget
- Kake diagram
B- KQL (Kibana Query Language):
Dette er språket som brukes i Kibana for enkelt søk i data. Den lar deg sjekke om visse data finnes og mange andre nyttige funksjoner. For å finne ut mer kan du utforske informasjonen på denne lenken
Dette er et eksempelspørsmål for å finne en vert som kjører Windows 10 pro.
C-filtre:
Denne funksjonen lar deg filtrere visse parametere som vertsnavn, hendelseskode eller ID osv. Filtre vil i stor grad forbedre etterforskningsfasen når det gjelder tid og krefter brukt på å søke etter bevis.
D- Første visualisering:
La oss lage en visualisering for MITER ATT & CK.
Først må vi gå til Dashboard → Opprett nytt dashbord → lag nytt → Pai-dashbord
Angi typen for indeksmønsteret, og trykk deretter på navnet på takten din.
Trykk enter. Nå skal du se en grønn smultring.
I Bøtter-fanen til venstre finner du:
— Delte skiver vil dele smultringen i forskjellige deler avhengig av spredningen av dataene.
- Delt diagram vil lage en annen smultring ved siden av denne.
Vi skal bruke delte skiver.
Vi vil visualisere dataene våre avhengig av begrepet vi velger. I dette tilfellet vil begrepet referere til MITRE ATT & CK.
I Winlogbeat heter feltet som vil gi oss denne informasjonen:
winlog.event_data.RuleNameVi setter opp en telleverdi for å sortere hendelser basert på antall ganger de inntreffer.
Aktiver funksjonen "Grupper andre verdier i et separat segment".
Dette vil være nyttig hvis begrepene du velger har mange forskjellige betydninger basert på rytme. Dette bidrar til å visualisere resten av dataene som en helhet. Dette vil gi deg en ide om prosentandelen av gjenværende hendelser.
Nå som vi er ferdige med å sette opp datafanen, la oss gå videre til alternativfanen
Du må gjøre følgende:
**Fjern smultringformen slik at gjengivelsen viser en hel sirkel.
**Velg legendeposisjonen du liker. I dette tilfellet vil vi vise dem til høyre.
**Angi visningsverdier som skal vises ved siden av kodebiten for enklere lesing, og la resten være standard
Trunkering bestemmer hvor mye du vil vise fra hendelsesnavnet.
Angi tidspunktet du vil at gjengivelsen skal starte, og klikk deretter på den blå firkanten.
Du bør ende opp med noe sånt som dette:
Du kan også legge til et filter i visualiseringen din for å filtrere ut den spesifikke verten du vil sjekke eller parametere du tror er nyttige for formålet ditt. Visualiseringen vil kun vise data som samsvarer med regelen som er plassert i filteret. I dette tilfellet vil vi bare vise MITER ATT&CK-data som kommer fra verten som heter win10.
3-2- Opprette ditt første dashbord:
Et dashbord er en samling av mange visualiseringer. Dashboardene dine bør være klare, forståelige og inneholde nyttige, deterministiske data. Her er et eksempel på dashbordene vi laget fra bunnen av for winlogbeat.
Takk for tiden din. Jeg håper du fant denne artikkelen nyttig. Hvis du vil ha mer informasjon om emnet, anbefaler vi at du besøker .
Telegramchat på Elasticsearch:
Kilde: www.habr.com