ELK SIEM został niedawno dodany do stosu łosia w wersji 7.2 25 czerwca 2019 r.
Jest to rozwiązanie SIEM stworzone przez Elastic.co, aby uczynić życie analityka bezpieczeństwa znacznie łatwiejszym i mniej uciążliwym.
W naszej wersji pracy postanowiliśmy stworzyć własny SIEM i wybrać własny panel sterowania.
Uważamy jednak, że ważne jest, aby najpierw poznać ELK SIEM.
1.1- Sekcja wydarzeń hostujących
Najpierw przyjrzymy się sekcji hostów. Sekcja hosta pozwoli Ci zobaczyć zdarzenia generowane na samym punkcie końcowym.
Po kliknięciu wyświetl hosty powinieneś otrzymać coś takiego. Jak widać, do tego komputera są podłączone trzy hosty:
1 Okna 10.
2 Serwer Ubuntu 18.04.
Wyświetlanych jest kilka wizualizacji, każda reprezentująca inny typ zdarzeń.
Na przykład ten pośrodku pokazuje dane logowania na wszystkich trzech komputerach.
Ilość danych, które tu widzisz, została zebrana w ciągu pięciu dni. To wyjaśnia dużą liczbę nieudanych i udanych logowań. Prawdopodobnie będziesz mieć niewielką liczbę dzienników, więc nie martw się
1.2- Sekcja wydarzeń sieciowych
Przechodząc do sekcji sieci, powinieneś otrzymać coś takiego. W tej sekcji będziesz mógł uważnie śledzić wszystko, co dzieje się w Twojej sieci, od ruchu HTTP/TLS po ruch DNS i alerty o zdarzeniach zewnętrznych.
2- Domyślne pulpity nawigacyjne
Aby ułatwić życie użytkownikom, programiści Elastic.co stworzyli domyślny pasek narzędzi oficjalnie wspierany przez ELK. Nasze bity nie stanowiły wyjątku od tej reguły. Jako przykład użyję domyślnych pulpitów nawigacyjnych Packetbeat.
Jeśli poprawnie wykonałeś krok drugi artykułu. Powinieneś mieć skonfigurowany pasek narzędzi, który będzie na ciebie czekał. Więc zacznijmy.
Z lewej zakładki Kibany wybierz symbol deski rozdzielczej. To już trzeci, jeśli liczyć od góry.
Wpisz nazwę udziału w zakładce wyszukiwania
Jeśli w bicie jest kilka modułów. Dla każdego z nich zostanie stworzony panel kontrolny. Ale tylko ten z aktywnym modułem wyświetli niepuste dane.
Wybierz ten z nazwą modułu.
To jest główny szablon PakietBeat.
To jest panel sterowania przepływem sieci. Powie nam o pakiecie przychodzącym i wychodzącym, źródłach i miejscach docelowych adresów IP, a także dostarczy wielu przydatnych informacji dla analityka centrum bezpieczeństwa.
3 — Tworzenie pierwszych dashboardów
3–1- Podstawowe pojęcia
A- Rodzaje dashboardów:
Są to różne typy wizualizacji, których można używać do wizualizacji danych.
na przykład mamy:
wykres słupkowy
mapa
Widget Markdown
Wykres kołowy
B- KQL (język zapytań Kibana):
Jest to język używany w Kibanie do łatwego wyszukiwania danych. Pozwala sprawdzić, czy określone dane istnieją i wiele innych przydatnych funkcji. Aby dowiedzieć się więcej, zapoznaj się z informacjami dostępnymi pod tym linkiem
To jest przykładowe zapytanie mające na celu znalezienie hosta z systemem Windows 10 pro.
C-Filtry:
Ta funkcja umożliwia filtrowanie określonych parametrów, takich jak nazwa hosta, kod lub identyfikator zdarzenia itp. Filtry znacznie usprawnią fazę dochodzenia pod względem czasu i wysiłku włożonego w poszukiwanie dowodów.
D- Pierwsza wizualizacja:
Stwórzmy wizualizację dla MITER ATT i CK.
Najpierw musimy iść do Pulpit nawigacyjny → Utwórz nowy pulpit nawigacyjny → utwórz nowy → Panel kontrolny ciasta
Ustaw typ wzorca indeksu, a następnie stuknij nazwę swojego rytmu.
Naciśnij enter. Powinieneś teraz zobaczyć zielony pączek.
W zakładce Wiadra po lewej stronie znajdziesz:
— Podzielone plasterki podzielą pączek na różne części w zależności od rozproszenia danych.
- Podziel wykres utworzy kolejny pączek obok tego.
Użyjemy podzielonych plasterków.
Będziemy wizualizować nasze dane w zależności od wybranego przez nas terminu. W tym przypadku termin ten będzie odnosił się do MITER ATT i CK.
W Winlogbeat pole, które dostarczy nam tych informacji, nazywa się:
winlog.event_data.RuleName
Skonfigurujemy licznik, aby uporządkować zdarzenia na podstawie liczby ich wystąpień.
Włącz funkcję „Grupuj inne wartości w osobnym segmencie”.
Będzie to przydatne, jeśli wybrane terminy mają wiele różnych znaczeń w zależności od rytmu. Pomaga to w wizualizacji pozostałych danych jako całości. Dzięki temu dowiesz się, jaki jest procent pozostałych zdarzeń.
Teraz, gdy skończyliśmy konfigurowanie zakładki danych, przejdźmy do zakładki opcji
Musisz wykonać następujące czynności:
**Usuń kształt pączka, tak aby rendering pokazywał pełny okrąg.
** Wybierz pozycję legendy, którą lubisz. W tym przypadku wyświetlimy je po prawej stronie.
**Ustaw wartości wyświetlane obok fragmentu kodu, aby ułatwić czytanie, a resztę pozostaw jako domyślną
Obcięcie określa, ile chcesz wyświetlić z nazwy zdarzenia.
Ustaw godzinę, o której chcesz rozpocząć renderowanie, a następnie kliknij niebieski kwadrat.
Powinieneś skończyć z czymś takim:
Możesz także dodać filtr do swojej wizualizacji, aby odfiltrować konkretnego hosta, który chcesz sprawdzić, lub dowolne parametry, które Twoim zdaniem są przydatne do Twojego celu. Na wizualizacji zostaną wyświetlone tylko te dane, które odpowiadają regule umieszczonej w filtrze. W tym przypadku wyświetlimy tylko dane MITER ATT&CK pochodzące z hosta o nazwie win10.
3-2- Tworzenie pierwszego dashboardu:
Dashboard to zbiór wielu wizualizacji. Twoje dashboardy powinny być jasne, zrozumiałe i zawierać przydatne, deterministyczne dane. Oto przykład dashboardów, które stworzyliśmy od podstaw dla winlogbeat.
Dziękuję za Twój czas. Mam nadzieję, że ten artykuł był dla Ciebie pomocny. Jeżeli chcieliby Państwo uzyskać więcej informacji na ten temat, polecamy odwiedzić stronę Oficjalna strona.