هي پوسٽ ELK ۾ ELK ۽ SIEM ڊيش بورڊ جي بصري کي ترتيب ڏيڻ جي وضاحت ڪندي
مضمون کي هيٺين حصن ۾ ورهايو ويو آهي:
1- ELK SIEM جائزو
2- ڊفالٽ ڊيش بورڊ
3- توهان جي پهرين ڊيش بورڊ ٺاهڻ
سڀني پوسٽن جي مواد جي جدول.
- WAZUH سان انضمام
- خبردار ڪرڻ
- رپورٽ ڪرڻ
- ڪيس جو انتظام
1-ELK SIEM جائزو
ELK SIEM تازو شامل ڪيو ويو ايلڪ اسٽيڪ ۾ ورزن 7.2 ۾ جون 25، 2019.
هي هڪ SIEM حل آهي جيڪو elastic.co پاران ٺاهيو ويو آهي هڪ سيڪيورٽي تجزيه نگار جي زندگيءَ کي تمام آسان ۽ گهٽ تڪليف ڏيندڙ بنائڻ لاءِ.
اسان جي ڪم جي نسخي ۾، اسان فيصلو ڪيو ته اسان جو پنهنجو SIEM ٺاهيو ۽ اسان جو پنهنجو ڪنٽرول پينل چونڊيو.
پر اسان سمجهون ٿا ته اهو اهم آهي ڳولڻ لاءِ ELK SIEM پهرين.
1.1- ميزبان واقعن جو سيڪشن
اسان پهرين ميزبان سيڪشن تي نظر ڪنداسين. ميزبان سيڪشن توهان کي انهن واقعن کي ڏسڻ جي اجازت ڏيندو جيڪي پاڻ کي آخري پوائنٽ تي ٺاهيا ويا آهن.
ڏسڻ جي ميزبان تي ڪلڪ ڪرڻ کان پوء توهان کي ڪجهه حاصل ڪرڻ گهرجي. جئين توهان ڏسي سگهو ٿا، هن ڪمپيوٽر سان ڳنڍيل ٽي ميزبان آهن:
1 ونڊوز 10.
2 Ubuntu سرور 18.04.
اسان وٽ ڪيترائي نقشا ڏيکاريا ويا آھن، ھر ھڪ مختلف قسم جي واقعن جي نمائندگي ڪري ٿو.
مثال طور، وچ ۾ ھڪڙو ڏيکاري ٿو لاگ ان ڊيٽا سڀني ٽن مشينن تي.
ڊيٽا جو اهو مقدار جيڪو توهان هتي ڏسي رهيا آهيو پنجن ڏينهن ۾ گڏ ڪيو ويو. هي وضاحت ڪري ٿو وڏي تعداد ۾ ناڪام ۽ ڪامياب لاگ ان. توهان وٽ شايد لاگن جو ننڍڙو تعداد هوندو، تنهنڪري پريشان نه ڪريو
1.2- نيٽورڪ واقعا سيڪشن
نيٽ ورڪ سيڪشن تي منتقل ٿيڻ، توھان کي ڪجھھ حاصل ڪرڻ گھرجي. هي سيڪشن توهان کي اجازت ڏيندو ته توهان جي نيٽ ورڪ تي ٿيندڙ هر شيءِ تي ويجھي نظر رکون، HTTP/TLS ٽرئفڪ کان DNS ٽرئفڪ تائين ۽ ٻاهرين واقعن جي خبرداري تائين.
2- ڊفالٽ ڊيش بورڊ
صارفين لاءِ زندگي کي آسان بڻائڻ لاءِ، elastic.co ڊولپرز هڪ ڊفالٽ ٽول بار ٺاهيو آهي جيڪو سرڪاري طور تي ELK جي مدد سان آهي. اسان جي ڌڙڪن هن قاعدي کان ڪا به استثنا نه هئي. هتي مان مثال طور Packetbeat جي ڊفالٽ ڊيش بورڊ استعمال ڪندس.
جيڪڏهن توهان آرٽيڪل جي ٻئي قدم کي صحيح طريقي سان عمل ڪيو. توھان کي ھڪڙو ٽول بار قائم ڪرڻ گھرجي توھان جي انتظار ۾. سو اچو ته شروع ڪريون.
Kibana جي کاٻي پاسي واري ٽيب مان، ڊيش بورڊ جي علامت کي چونڊيو. اھو ٽيون ھڪڙو آھي، جيڪڏھن توھان مٿي کان ڳڻيو.
سرچ ٽئب ۾ شيئر جو نالو داخل ڪريو
جيڪڏهن بيٽ ۾ ڪيترائي ماڊل آهن. انهن مان هر هڪ لاء هڪ ڪنٽرول پينل ٺاهي ويندي. پر صرف ھڪڙو ھڪڙو ماڊول فعال آھي غير خالي ڊيٽا ڏيکاريندو.
ھڪڙو چونڊيو پنھنجي ماڊل نالي سان.
هي مکيه نموني آهي PacketBeat.
هي نيٽ ورڪ وهڪري ڪنٽرول پينل آهي. اهو اسان کي ايندڙ ۽ ٻاهر نڪرڻ واري پيڪٽ بابت، IP پتي جا ذريعا ۽ منزلون ٻڌائيندو، ۽ سيڪيورٽي سينٽر تجزيه نگار لاءِ تمام گهڻي مفيد معلومات پڻ فراهم ڪندو.
3 - توهان جي پهرين ڊيش بورڊ ٺاهڻ
3-1- بنيادي تصور
الف- ڊيش بورڊ جا قسم:
اهي مختلف قسم جا تصورات آهن جيڪي توهان پنهنجي ڊيٽا کي ڏسڻ لاءِ استعمال ڪري سگهو ٿا.
مثال طور اسان وٽ آهي:
- بار گراف
- نقشي
- مارڪ ڊائون ويجيٽ
- پائي چارٽ
B- KQL (Kibana Query Language):
هي ٻولي آهي ڪبانا ۾ استعمال ٿيل ڊيٽا جي آسان ڳولا لاءِ. اهو توهان کي چيڪ ڪرڻ جي اجازت ڏئي ٿو ته ڪجهه ڊيٽا موجود آهي ۽ ٻيا ڪيترائي مفيد خاصيتون. وڌيڪ ڳولڻ لاء، توهان هن لنڪ تي معلومات ڳولي سگهو ٿا
هي هڪ مثال آهي سوال ڳولڻ لاءِ هڪ ميزبان هلائيندڙ Windows 10 پرو.
سي فلٽر:
هي فيچر توهان کي اجازت ڏيندو ته ڪجهه پيٽرولر جهڙوڪ هوسٽ جو نالو، ايونٽ ڪوڊ يا ID وغيره. فلٽر تحقيق جي مرحلي کي تمام گهڻو بهتر بڻائي سگهندا ثبوت جي ڳولا ۾ خرچ ڪيل وقت ۽ ڪوشش جي لحاظ کان.
ڊي- پهريون تصور:
اچو ته MITER ATT ۽ CK لاءِ هڪ تصور ٺاهيو.
پهرين اسان کي وڃڻ جي ضرورت آهي ڊيش بورڊ → نئون ڊيش بورڊ ٺاهيو → نئون ٺاهيو → پائي ڊيش بورڊ
انڊيڪس جي نموني لاءِ قسم سيٽ ڪريو، پوءِ پنھنجي بيٽ جو نالو ٽيپ ڪريو.
پريس ڪريو Enter. هينئر تائين توهان کي سائي ڊونٽ ڏسڻ گهرجي.
کاٻي پاسي واري بالٽ ٽئب ۾ توھان ملندا:
- ورهايل سلائسون ڊونٽ کي مختلف حصن ۾ ورهائي وينديون ڊيٽا جي پکيڙ جي لحاظ کان.
- اسپلٽ چارٽ هن جي اڳيان هڪ ٻيو ڊونٽ ٺاهيندو.
اسان ورهايل سلائسون استعمال ڪنداسين.
اسان اسان جي ڊيٽا کي نظر انداز ڪنداسين ان تي منحصر ڪري ٿو جيڪو اسان چونڊيو ٿا. هن حالت ۾ اصطلاح MITER ATT ۽ CK ڏانهن اشارو ڪيو ويندو.
Winlogbeat ۾، فيلڊ جيڪو اسان کي هن معلومات سان مهيا ڪندو، سڏيو ويندو آهي:
winlog.event_data.RuleNameاسان واقعن کي ترتيب ڏيڻ لاءِ ڳڻپيوڪر ميٽرڪ قائم ڪنداسين ان جي بنياد تي انهن جي تعداد جي بنياد تي.
"ٻين قدرن کي الڳ ڀاڱي ۾ گروپ ڪريو" خصوصيت کي فعال ڪريو.
اھو مفيد ٿيندو جيڪڏھن توھان چونڊيل اصطلاحن ۾ تال جي بنياد تي ڪيترائي مختلف معنائون ھجن. هي مڪمل طور تي باقي ڊيٽا کي ڏسڻ ۾ مدد ڪري ٿو. اهو توهان کي باقي واقعن جي سيڪڙو جو اندازو ڏيندو.
هاڻي ته اسان ڊيٽا ٽيب کي ترتيب ڏيڻ مڪمل ڪيو آهي، اچو ته اڳتي وڌون اختيارن جي ٽيب تي
توھان کي ھيٺيون ڪم ڪرڻ گھرجي:
** ڊونٽ جي شڪل کي هٽايو ته جيئن رينجرنگ هڪ مڪمل دائرو ڏيکاري.
** افسانوي پوزيشن چونڊيو جيڪو توهان پسند ڪيو. انهي حالت ۾، اسان انهن کي ساڄي پاسي ڏيکارينداسين.
** ڊسپلي قدرن کي سيٽ ڪريو انھن جي تصوير جي اڳيان ڏيکارڻ لاءِ آسان پڙھڻ لاءِ ۽ باقي ڇڏي ڏيو ڊفالٽ طور
ٽرڪنشن اهو طئي ڪري ٿو ته توهان واقعي جي نالي مان ڪيترو ڊسپلي ڪرڻ چاهيو ٿا.
وقت مقرر ڪريو جنھن تي توھان رينجرنگ شروع ڪرڻ چاھيو ٿا، ۽ پوء ڪلڪ ڪريو نيري چورس.
توھان کي ھن وانگر ڪجھ ختم ڪرڻ گھرجي:
توھان پڻ شامل ڪري سگھو ٿا فلٽر پنھنجي تصوير ۾ فلٽر ڪرڻ لاءِ فلٽر ڪرڻ لاءِ مخصوص ميزبان جنھن کي توھان چيڪ ڪرڻ چاھيو ٿا يا ڪي پيراميٽر جيڪي توھان سمجھو ٿا توھان جي مقصد لاءِ ڪارآمد آھن. تصور صرف ڊيٽا ڏيکاريندو جيڪو فلٽر ۾ رکيل قاعدي سان ملندو. انهي صورت ۾، اسان صرف ڏيکارينداسين MITER ATT ۽ CK ڊيٽا جيڪو ميزبان نالي win10 کان اچي رهيو آهي.
3-2- پنهنجو پهريون ڊيش بورڊ ٺاهيو:
هڪ ڊيش بورڊ ڪيترن ئي تصويرن جو مجموعو آهي. توھان جا ڊيش بورڊ صاف، سمجھڻ وارا، ۽ مفيد، تعيناتي ڊيٽا تي مشتمل ھجن. ھتي ھڪڙو مثال آھي ڊيش بورڊ جو اسان ٺاھيو آھي شروعات کان winlogbeat لاءِ.
توهان جي وقت لاء توهان جي مهرباني. مون کي اميد آهي ته توهان هن مضمون کي مددگار ثابت ڪيو. جيڪڏهن توهان موضوع تي وڌيڪ معلومات چاهيو ٿا، اسان توهان کي دورو ڪرڻ جي صلاح ڏيو ٿا .
Elasticsearch تي ٽيليگرام چيٽ:
جو ذريعو: www.habr.com