د ELK SIEM خلاص ډیسټرو: په ELK کې د ELK او SIEM ډشبورډونو لید

دا پوسټ به په ELK کې د ELK او SIEM ډشبورډونو لید تنظیم کول تشریح کړي
مقاله په لاندې برخو ویشل شوې ده:

1- ELK SIEM بیاکتنه
2- ډیفالټ ډشبورډونه
۳- خپل لومړی ډشبورډ جوړول

د ټولو پوسټونو مینځپانګې جدول.

• پیژندنه. د خدماتو په توګه د SOC لپاره د زیربنا او ټیکنالوژیو ځای په ځای کول (SOCasS)
• ELK سټیک - نصب او تنظیم کول
• د خلاص ډیسټرو له لارې وګرځئ
• د ډشبورډونو لید او ELK SIEM
• له وازح سره ادغام
• خبرداری ورکول
• راپور ورکول
• د قضیې اداره

1-ELK SIEM بیاکتنه

ELK SIEM پدې وروستیو کې د جون په 7.2 ، 25 نسخه 2019 کې د ایلک سټیک کې اضافه شوی.

دا د SIEM حل دی چې د elastic.co لخوا رامینځته شوی ترڅو د امنیت شنونکي ژوند خورا اسانه او لږ ستړی کړي.

زموږ د کار په نسخه کې، موږ پریکړه وکړه چې خپل SIEM جوړ کړو او خپل کنټرول پینل غوره کړو.

مګر موږ فکر کوو چې دا مهمه ده چې لومړی د ELK SIEM وپلټئ.

1.1- کوربه پیښو برخه

موږ به لومړی د کوربه برخه وګورو. د کوربه برخه به تاسو ته اجازه درکړي هغه پیښې وګورئ چې پخپله په پای کې رامینځته شوي.

د لید کوربه باندې کلیک کولو وروسته تاسو باید داسې یو څه ترلاسه کړئ. لکه څنګه چې تاسو لیدلی شئ، په دې کمپیوټر کې درې کوربه شتون لري:

1 وینډوز 10.

2 اوبنټو سرور 18.04.

موږ ډیری لیدونه ښودل شوي، هر یو د پیښو مختلف ډولونه استازیتوب کوي.

د مثال په توګه ، په مینځ کې یو په ټولو دریو ماشینونو کې د ننوتلو ډاټا ښیې.

د معلوماتو دا مقدار تاسو دلته ګورئ په پنځو ورځو کې راټول شوي. دا د ناکامو او بریالي ننوتلو لوی شمیر تشریح کوي. تاسو به شاید لږ شمیر لاګونه ولرئ، نو اندیښنه مه کوئ

1.2- د شبکې پیښو برخه

د شبکې برخې ته حرکت کول، تاسو باید داسې یو څه ترلاسه کړئ. دا برخه به تاسو ته اجازه درکړي هر هغه څه چې ستاسو په شبکه کې پیښیږي نږدې نظر وساتئ ، د HTTP/TLS ترافیک څخه د DNS ترافیک او بهرني پیښې خبرتیاو ته.

2- ډیفالټ ډشبورډونه

د کاروونکو لپاره د ژوند اسانه کولو لپاره، elastic.co پراختیا کونکو یو ډیفالټ وسیلې بار رامینځته کړی چې په رسمي ډول د ELK لخوا ملاتړ کیږي. زموږ وهل له دې قاعدې څخه استثنا نه وه. دلته به زه د مثال په توګه د Packetbeat ډیفالټ ډشبورډونه وکاروم.

که تاسو د مقالې دوهم ګام په سمه توګه تعقیب کړئ. تاسو باید یو وسیله پټه جوړه کړئ چې ستاسو لپاره انتظار کوي. نو راځئ چې پیل وکړو.

د کیبانا کیڼ ټب څخه، د ډشبورډ سمبول غوره کړئ. دا دریم دی، که تاسو له پورته څخه حساب کړئ.

د لټون په ټب کې د شریک نوم دننه کړئ

که چیرې په بټ کې څو ماډلونه شتون ولري. د دوی هر یو لپاره به د کنټرول پینل رامینځته شي. مګر یوازې هغه یو چې ماډل فعال وي غیر خالي معلومات ښکاره کوي.

د خپل ماډل نوم سره یو غوره کړئ.

دا اصلي نمونه ده PacketBeat.

دا د شبکې جریان کنټرول پینل دی. دا به موږ ته د راتلوونکي او وتلو کڅوړې په اړه ووایی، د IP پتې سرچینې او منزلونه، او همدارنګه د امنیتي مرکز شنونکي لپاره ډیر ګټور معلومات چمتو کوي.

3 - ستاسو د لومړي ډشبورډونو جوړول

3-1- بنسټیز مفهومونه

الف- د ډشبورډ ډولونه:

دا د لید مختلف ډولونه دي چې تاسو کولی شئ د خپلو معلوماتو لید لپاره وکاروئ.

د مثال په توګه موږ لرو:

• بار ګراف
• نقشه
• د نښه کولو ویجټ
• پای چارټ

B- KQL (د کبانا د پوښتنې ژبه):

دا هغه ژبه ده چې په کبانا کې د معلوماتو اسانه لټون لپاره کارول کیږي. دا تاسو ته اجازه درکوي چې وګوري چې ایا ځینې معلومات شتون لري او ډیری نور ګټورې ځانګړتیاوې. د لا زیاتو معلوماتو لپاره، تاسو کولی شئ پدې لینک کې معلومات وپلټئ

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

دا د وینډوز 10 پرو چلونکي کوربه موندلو لپاره یوه بیلګه پوښتنه ده.

سي فلټرونه:

دا فیچر به تاسو ته اجازه درکړي چې ځینې پیرامیټرې فلټر کړئ لکه د کوربه نوم، د پیښې کوډ یا ID، او نور. فلټرونه به د شواهدو په لټون کې د وخت او هڅې مصرف کولو له مخې د تحقیقاتو مرحله خورا ښه کړي.

D- لومړی لید:

راځئ چې د MITER ATT او CK لپاره یو لید جوړ کړو.

لومړی موږ اړتیا لرو چې لاړ شو ډشبورډ → نوی ډشبورډ جوړ کړئ → نوی جوړ کړئ → پای ډشبورډ

د شاخص نمونې لپاره ډول تنظیم کړئ ، بیا د خپل بیټ نوم ټایپ کړئ.

Enter فشار ورکړئ. اوس تاسو باید یو شنه ډونټ وګورئ.

په ښي خوا کې د بالټ ټب کې تاسو به ومومئ:

- سپلیټ سلائسونه به ډونټ په مختلفو برخو وویشي د معلوماتو د خپریدو پورې اړه لري.

- سپلایټ چارټ به د دې سره څنګ ته بل ډونټ رامینځته کړي.

موږ به د ویشلو ټوټې وکاروو.

موږ به د هغه اصطالح په اساس چې موږ یې غوره کوو زموږ ډاټا لیدو. پدې حالت کې اصطلاح به د MITER ATT او CK ته راجع شي.

په Winlogbeat کې، هغه ساحه چې موږ ته دا معلومات چمتو کوي په نوم یادیږي:

winlog.event_data.RuleName

موږ به د پیښو ترتیب کولو لپاره د شمیرنې میټریک تنظیم کړو ترڅو د هغه شمیر پراساس چې پیښیږي.

فعال کړئ "نور ارزښتونه په جلا برخه کې ګروپ کړئ" خصوصیت.

دا به ګټور وي که هغه شرایط چې تاسو یې غوره کوئ د تال پراساس ډیری مختلف معنی لري. دا د پاتې معلوماتو په بشپړ ډول لیدلو کې مرسته کوي. دا به تاسو ته د پاتې پیښو سلنه په اړه نظر درکړي.

اوس چې موږ د ډیټا ټب تنظیم کړی ، راځئ چې د اختیارونو ټب ته لاړ شو

تاسو باید لاندې کارونه وکړئ:

** د ډونټ شکل لرې کړئ ترڅو رینډرینګ بشپړ دایره وښیې.

** هغه افسانوي موقعیت غوره کړئ چې تاسو یې خوښوي. په دې حالت کې، موږ به دوی په ښي خوا کې ښکاره کړو.

** د اسانه لوستلو لپاره د دوی ټوټو ته نږدې ښودلو لپاره د ښودلو ارزښتونه تنظیم کړئ او پاتې یې د ډیفالټ په توګه پریږدئ

لنډول ټاکي چې تاسو د پیښې له نوم څخه څومره ښودل غواړئ.

هغه وخت وټاکئ چې تاسو غواړئ رینډرینګ پیل کړئ، او بیا په نیلي مربع کلیک وکړئ.

تاسو باید د دې په څیر یو څه سره پای ته ورسیږئ:

تاسو کولی شئ خپل لید ته فلټر هم اضافه کړئ ترڅو ځانګړي کوربه فلټر کړئ چې تاسو یې غواړئ چیک کړئ یا کوم پیرامیټونه چې تاسو فکر کوئ ستاسو د هدف لپاره ګټور دي. لید به یوازې هغه معلومات ښکاره کړي چې په فلټر کې ځای پرځای شوي قاعدې سره سمون لري. په دې حالت کې، موږ به یوازې د MITER ATT&CK ډاټا وښیو چې د کوربه نوم win10 څخه راځي.

3-2- خپل لومړی ډشبورډ جوړول:

ډشبورډ د ډیری لیدونو ټولګه ده. ستاسو ډشبورډونه باید روښانه، د پوهیدو وړ وي، او ګټور، مشخص معلومات ولري. دلته د ډشبورډونو مثال دی چې موږ د وینلوګ بیټ لپاره له سکریچ څخه رامینځته کړی.

مننه له دې چه وخت مو راکړ. زه امید لرم چې تاسو دا مقاله ګټوره موندلې. که تاسو د موضوع په اړه نور معلومات غواړئ، موږ سپارښتنه کوو چې لیدنه وکړئ رسمي ویب پاڼه.

په Elasticsearch کې د ټیلیګرام چیٹ: https://t.me/elasticsearch_ru

سرچینه: www.habr.com