ELK SIEM a fost adăugat recent la stiva elk în versiunea 7.2 pe 25 iunie 2019.
Aceasta este o soluție SIEM creată de elastic.co pentru a face viața unui analist de securitate mult mai ușoară și mai puțin plictisitoare.
În versiunea noastră a lucrării, am decis să ne creăm propriul SIEM și să ne alegem propriul panou de control.
Dar credem că este important să explorezi mai întâi ELK SIEM.
1.1- Secțiunea evenimente gazdă
Ne vom uita mai întâi la secțiunea gazdă. Secțiunea gazdă vă va permite să vedeți evenimentele care sunt generate la punctul final însuși.
După ce faceți clic pe vizualizați gazde, ar trebui să obțineți ceva de genul acesta. După cum puteți vedea, există trei gazde conectate la acest computer:
1 Windows 10.
2 Ubuntu Server 18.04.
Avem mai multe vizualizări afișate, fiecare reprezentând diferite tipuri de evenimente.
De exemplu, cel din mijloc arată datele de conectare pe toate cele trei mașini.
Această cantitate de date pe care o vedeți aici a fost colectată pe parcursul a cinci zile. Aceasta explică numărul mare de conectări eșuate și reușite. Probabil că veți avea un număr mic de loguri, așa că nu vă faceți griji
1.2- Secțiunea evenimente de rețea
Trecând la secțiunea de rețea, ar trebui să obțineți ceva de genul acesta. Această secțiune vă va permite să urmăriți îndeaproape tot ceea ce se întâmplă în rețeaua dvs., de la trafic HTTP/TLS la trafic DNS și alerte de evenimente externe.
2- Tablouri de bord implicite
Pentru a ușura viața utilizatorilor, dezvoltatorii elastic.co au creat o bară de instrumente implicită susținută oficial de ELK. Beaturile noastre nu au făcut excepție de la această regulă. Aici voi folosi tablourile de bord implicite ale Packetbeat ca exemplu.
Dacă ați urmat corect pasul doi al articolului. Ar trebui să aveți o bară de instrumente configurată care vă așteaptă. Asadar, haideti sa începem.
Din fila din stânga a Kibana, selectați simbolul tabloului de bord. Acesta este al treilea, dacă numărați de sus.
Introduceți numele distribuirii în fila de căutare
Dacă există mai multe module în bit. Pentru fiecare dintre ele va fi creat un panou de control. Dar numai cel cu modulul activ va afișa date nevide.
Selectați-l pe cel cu numele modulului dvs.
Acesta este șablonul principal PacketBeat.
Acesta este panoul de control al fluxului de rețea. Ne va spune despre pachetul de intrare și de ieșire, sursele și destinațiile adreselor IP și oferă, de asemenea, o mulțime de informații utile pentru un analist al centrului de securitate.
3 — Crearea primelor tablouri de bord
3–1- Concepte de bază
A- Tipuri de tablouri de bord:
Acestea sunt diferitele tipuri de vizualizări pe care le puteți utiliza pentru a vă vizualiza datele.
de exemplu avem:
grafic de bare
hartă
Widget Markdown
Graficul proporțiilor
B- KQL (Kibana Query Language):
Acesta este limbajul folosit în Kibana pentru căutarea ușoară a datelor. Vă permite să verificați dacă există anumite date și multe alte funcții utile. Pentru a afla mai multe, puteți explora informațiile la acest link
Acesta este un exemplu de interogare pentru a găsi o gazdă care rulează Windows 10 pro.
C- Filtre:
Această caracteristică vă va permite să filtrați anumiți parametri, cum ar fi numele gazdei, codul evenimentului sau ID-ul etc. Filtrele vor îmbunătăți foarte mult faza de investigare în ceea ce privește timpul și efortul petrecut în căutarea dovezilor.
D- Prima vizualizare:
Să creăm o vizualizare pentru MITRE ATT & CK.
Mai întâi trebuie să mergem la Tabloul de bord → Creați un tablou de bord nou →creați un nou →Tabloul de bord Pie
Setați tipul modelului de index, apoi atingeți numele ritmului.
Apasa Enter. Până acum ar trebui să vezi o gogoașă verde.
În fila Buckets din stânga veți găsi:
— Feliile împărțite vor împărți gogoșia în diferite părți, în funcție de răspândirea datelor.
- Split Chart va crea o altă gogoașă lângă aceasta.
Vom folosi felii împărțite.
Ne vom vizualiza datele în funcție de termenul ales. În acest caz, termenul se va referi la MITRE ATT & CK.
În Winlogbeat, câmpul care ne va furniza aceste informații se numește:
winlog.event_data.RuleName
Vom configura o valoare de numărare pentru a ordona evenimentele în funcție de numărul de ori care apar.
Activați funcția „Grupați alte valori într-un segment separat”.
Acest lucru va fi util dacă termenii pe care îi alegeți au multe semnificații diferite bazate pe ritm. Acest lucru ajută la vizualizarea restului datelor ca întreg. Acest lucru vă va oferi o idee despre procentul de evenimente rămase.
Acum că am terminat de configurat fila de date, să trecem la fila de opțiuni
Trebuie să faceți următoarele:
**Eliminați forma gogoșii astfel încât randarea să arate un cerc complet.
**Alegeți poziția de legendă care vă place. În acest caz, le vom afișa în partea dreaptă.
**Setați valorile de afișare pentru a le afișa lângă fragmentul lor pentru o citire mai ușoară și lăsați restul ca implicit
Trunchierea determină cât de mult doriți să afișați din numele evenimentului.
Setați ora la care doriți să înceapă randarea, apoi faceți clic pe pătratul albastru.
Ar trebui să ajungi cu ceva de genul acesta:
De asemenea, puteți adăuga un filtru la vizualizarea dvs. pentru a filtra gazda specifică pe care doriți să o verificați sau orice parametri pe care credeți că sunt utili pentru scopul dvs. Vizualizarea va afișa numai date care se potrivesc cu regula plasată în filtru. În acest caz, vom afișa numai datele MITRE ATT&CK care provin de la gazda numită win10.
3-2- Crearea primului tablou de bord:
Un tablou de bord este o colecție de mai multe vizualizări. Tablourile de bord ar trebui să fie clare, ușor de înțeles și să conțină date utile și deterministe. Iată un exemplu de tablouri de bord pe care le-am creat de la zero pentru winlogbeat.
Multumesc pentru timpul acordat. Sper că ați găsit acest articol de ajutor. Dacă doriți mai multe informații pe această temă, vă recomandăm să vizitați Site-ul oficial.