ELK SIEM විවෘත Distro: ELK හි ELK සහ SIEM උපකරණ පුවරු දෘශ්‍යකරණය

මෙම පළ කිරීම ELK හි ELK සහ SIEM උපකරණ පුවරු දෘශ්‍යකරණය පිහිටුවීම විස්තර කරනු ඇත
ලිපිය පහත කොටස් වලට බෙදා ඇත:

1- ELK SIEM සමාලෝචනය
2- පෙරනිමි උපකරණ පුවරු
3- ඔබේ පළමු උපකරණ පුවරු නිර්මාණය කිරීම

සියලුම පළ කිරීම් වල පටුන.

• හැදින්වීම. සේවාවක් ලෙස SOC සඳහා යටිතල පහසුකම් සහ තාක්ෂණයන් යෙදවීම (SOCasS)
• ELK stack - ස්ථාපනය සහ වින්‍යාසය
• විවෘත Distro හරහා ගමන් කරන්න
• උපකරණ පුවරු සහ ELK SIEM දෘශ්‍යකරණය
• WAZUH සමඟ ඒකාබද්ධ වීම
• අනතුරු අඟවයි
• වාර්තා
• සිද්ධි කළමනාකරණය

1-ELK SIEM සමාලෝචනය

ELK SIEM මෑතකදී 7.2 ජුනි 25 වන දින 2019 අනුවාදයේ elk තොගයට එක් කරන ලදී.

මෙය ආරක්ෂක විශ්ලේෂකයෙකුගේ ජීවිතය වඩාත් පහසු සහ වෙහෙසකර නොවන බවට පත් කිරීම සඳහා elastic.co විසින් නිර්මාණය කරන ලද SIEM විසඳුමකි.

В нашей версии работы мы решили создать собственный SIEM и выбрать собственную панель управления.

නමුත් මුලින්ම ELK SIEM ගවේෂණය කිරීම වැදගත් යැයි අපි සිතමු.

1.1- සත්කාරක සිදුවීම් අංශය

අපි මුලින්ම සත්කාරක අංශය දෙස බලමු. ධාරක කොටස ඔබට අවසාන ලක්ෂ්‍යයේදීම උත්පාදනය වන සිදුවීම් බැලීමට ඉඩ සලසයි.

view hosts මත ක්ලික් කිරීමෙන් පසු ඔබට මෙවැනි දෙයක් ලබා ගත යුතුය. ඔබට පෙනෙන පරිදි, මෙම පරිගණකයට සම්බන්ධ ධාරක තුනක් ඇත:

1 වින්ඩෝස් 10.

2 උබුන්ටු සර්වර් 18.04.

අප සතුව දෘශ්‍යකරණයන් කිහිපයක් ප්‍රදර්ශනය කර ඇත, ඒ සෑම එකක්ම විවිධ ආකාරයේ සිදුවීම් නියෝජනය කරයි.

උදාහරණයක් ලෙස, මැද ඇති එක යන්ත්‍ර තුනේම ලොගින් දත්ත පෙන්වයි.

ඔබ මෙහි දකින මෙම දත්ත ප්‍රමාණය දින පහක් පුරා රැස් කර ඇත. මෙය අසාර්ථක වූ සහ සාර්ථක පිවිසුම් විශාල සංඛ්‍යාවක් පැහැදිලි කරයි. ඔබ සතුව ලඝු-සටහන් කුඩා සංඛ්‍යාවක් තිබෙනු ඇත, එබැවින් කරදර නොවන්න

1.2- ජාල සිදුවීම් අංශය

ජාල කොටස වෙත ගමන් කිරීම, ඔබට මෙවැනි දෙයක් ලබා ගත යුතුය. HTTP/TLS ගමනාගමනයේ සිට DNS ගමනාගමනය සහ බාහිර සිදුවීම් ඇඟවීම් දක්වා ඔබේ ජාලයේ සිදුවන සෑම දෙයක් ගැනම හොඳින් නිරීක්ෂණය කිරීමට මෙම කොටස ඔබට ඉඩ සලසයි.

2- පෙරනිමි උපකරණ පුවරු

පරිශීලකයින්ට ජීවිතය පහසු කිරීම සඳහා, elastic.co සංවර්ධකයින් විසින් ELK විසින් නිල වශයෙන් සහාය දක්වන පෙරනිමි මෙවලම් තීරුවක් නිර්මාණය කර ඇත. අපගේ පහරවල් මෙම රීතියට ව්‍යතිරේකයක් නොවීය. මෙහිදී මම උදාහරණයක් ලෙස Packetbeat හි පෙරනිමි උපකරණ පුවරු භාවිතා කරමි.

ඔබ ලිපියේ දෙවන පියවර නිවැරදිව අනුගමනය කළේ නම්. ඔබට මෙවලම් තීරුවක් ඔබ එනතුරු බලා සිටිය යුතුය. එහෙනම් අපි පටන් ගනිමු.

Kibana හි වම් පටිත්තෙන්, උපකරණ පුවරු සංකේතය තෝරන්න. උඩ ඉඳන් ගණන් ගත්තොත් මේක තුන්වෙනි එක.

සෙවුම් පටිත්තෙහි කොටස් නාමය ඇතුළත් කරන්න

බිට් එකේ මොඩියුල කිහිපයක් තිබේ නම්. ඒ සෑම එකක් සඳහාම පාලක පැනලයක් සාදනු ලැබේ. නමුත් මොඩියුලය සක්‍රියව ඇති එක පමණක් හිස් නොවන දත්ත පෙන්වයි.

ඔබගේ මොඩියුලයේ නම ඇති එකක් තෝරන්න.

මෙය ප්රධාන සැකිල්ලයි පැකට් බීට්.

මෙය ජාල ප්රවාහ පාලක පැනලයයි. එය පැමිණෙන සහ පිටතට යන පැකට්ටුව, IP ලිපිනවල මූලාශ්‍ර සහ ගමනාන්ත ගැන අපට කියනු ඇති අතර ආරක්ෂක මධ්‍යස්ථාන විශ්ලේෂකයෙකු සඳහා ප්‍රයෝජනවත් තොරතුරු රාශියක් ද සපයයි.

3 - ඔබේ පළමු උපකරණ පුවරු නිර්මාණය කිරීම

3-1- මූලික සංකල්ප

A- උපකරණ පුවරු වර්ග:

මේවා ඔබට ඔබේ දත්ත දෘශ්‍යමාන කිරීමට භාවිතා කළ හැකි විවිධ ආකාරයේ දෘශ්‍යකරණයන් වේ.

උදාහරණයක් ලෙස අපට ඇත්තේ:

• ස්ථම්භ ප්රස්ථාරය
• සිතියම
• මාර්ක්ඩවුන් විජට්
• පයි ප්‍රස්ථාරය

B- KQL (Kibana Query Language):

දත්ත සෙවීම සඳහා කිබානා භාවිතා කරන භාෂාව මෙයයි. ඇතැම් දත්ත සහ තවත් බොහෝ ප්‍රයෝජනවත් විශේෂාංග තිබේදැයි පරීක්ෂා කිරීමට එය ඔබට ඉඩ සලසයි. වැඩි විස්තර සඳහා, ඔබට මෙම සබැඳියෙන් තොරතුරු ගවේෂණය කළ හැකිය

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

මෙය Windows 10 pro ධාවනය වන ධාරකයක් සොයා ගැනීමට උදාහරණ විමසුමකි.

C- පෙරහන්:

මෙම විශේෂාංගය ඔබට සත්කාරක නාමය, සිද්ධි කේතය හෝ හැඳුනුම්පත වැනි ඇතැම් පරාමිති පෙරීමට ඉඩ සලසයි. පෙරහන් සාක්ෂි සෙවීමට වැය කරන කාලය සහ ශ්‍රමය අනුව විමර්ශන අදියර බෙහෙවින් වැඩි දියුණු කරයි.

D- පළමු දර්ශනය:

අපි MITER ATT සහ CK සඳහා දෘශ්‍යකරණයක් නිර්මාණය කරමු.

මුලින්ම අපි යන්න ඕනේ උපකරණ පුවරුව → නව උපකරණ පුවරුව සාදන්න→නව →Pie උපකරණ පුවරුව සාදන්න

දර්ශක රටාව සඳහා වර්ගය සකසන්න, ඉන්පසු ඔබේ බීට් එකේ නම තට්ටු කරන්න.

Enter ඔබන්න. මේ වන විට ඔබ හරිත ඩෝනට් දැකිය යුතුය.

වම් පස ඇති බාල්දි පටිත්තෙහි ඔබට හමුවනු ඇත:

— බෙදුණු පෙති දත්තවල පැතිරීම අනුව ඩෝනට් විවිධ කොටස් වලට බෙදනු ඇත.

- බෙදීම් ප්‍රස්ථාරය මෙයට යාබදව තවත් ඩෝනට් එකක් සාදනු ඇත.

අපි බෙදුණු පෙති භාවිතා කරන්නෙමු.

අපි තෝරා ගන්නා පදය අනුව අපි අපගේ දත්ත දෘශ්‍යමාන කරන්නෙමු. මෙම අවස්ථාවෙහිදී පදය MITER ATT සහ CK වෙත යොමු වේ.

Winlogbeat හි, අපට මෙම තොරතුරු සපයන ක්ෂේත්‍රය ලෙස හැඳින්වේ:

winlog.event_data.RuleName

සිදුවීම් සිදුවන වාර ගණන මත පදනම්ව අපි ගණන් කිරීමේ මෙට්‍රික් එකක් සකසන්නෙමු.

"වෙනම කොටසක අනෙකුත් අගයන් සමූහගත කරන්න" විශේෂාංගය සබල කරන්න.

ඔබ තෝරන පදවල රිද්මයට අනුව විවිධ අර්ථ තිබේ නම් මෙය ප්‍රයෝජනවත් වනු ඇත. මෙය සමස්තයක් ලෙස ඉතිරි දත්ත දෘශ්‍යමාන කිරීමට උපකාරී වේ. මෙය ඔබට ඉතිරි සිදුවීම්වල ප්‍රතිශතය පිළිබඳ අදහසක් ලබා දෙනු ඇත.

දැන් අපි දත්ත පටිත්ත සකස් කර අවසන්, අපි විකල්ප පටිත්ත වෙත යමු

ඔබ පහත සඳහන් දේ කළ යුතුය:

** ඩෝනට් හැඩය ඉවත් කරන්න එවිට විදැහුම්කරණය සම්පූර්ණ කවයක් පෙන්වයි.

** ඔබ කැමති ජනප්‍රවාද ස්ථානය තෝරන්න. මෙම අවස්ථාවේදී, අපි ඒවා දකුණු පසින් පෙන්වමු.

** පහසු කියවීම සඳහා ඔවුන්ගේ ස්නිපටය අසල පෙන්වීමට සංදර්ශක අගයන් සකසන්න සහ ඉතිරිය පෙරනිමියෙන් තබන්න

ඔබට සිදුවීම් නාමයෙන් කොපමණ ප්‍රමාණයක් සංදර්ශන කිරීමට අවශ්‍යද යන්න කප්පාදුව තීරණය කරයි.

ඔබට විදැහුම්කරණය ආරම්භ කිරීමට අවශ්‍ය වේලාව සකසන්න, ඉන්පසු නිල් චතුරස්රය ක්ලික් කරන්න.

ඔබ මෙවැනි දෙයකින් අවසන් විය යුතුය:

ඔබට පරීක්ෂා කිරීමට අවශ්‍ය විශේෂිත ධාරකය හෝ ඔබේ අරමුණ සඳහා ප්‍රයෝජනවත් යැයි ඔබ සිතන ඕනෑම පරාමිතියක් පෙරීමට ඔබට ඔබේ දෘශ්‍යකරණයට පෙරහනක් එක් කළ හැකිය. දෘශ්‍යකරණය පෙරහන තුළ තබා ඇති රීතියට ගැලපෙන දත්ත පමණක් පෙන්වනු ඇත. මෙම අවස්ථාවේදී, අපි පෙන්වන්නේ win10 නම් සත්කාරකයෙන් එන MITER ATT&CK දත්ත පමණි.

3-2- ඔබේ පළමු උපකරණ පුවරුව නිර්මාණය කිරීම:

උපකරණ පුවරුවක් යනු බොහෝ දෘශ්‍යකරණයන්ගේ එකතුවකි. ඔබේ උපකරණ පුවරු පැහැදිලි, තේරුම් ගත හැකි සහ ප්‍රයෝජනවත්, තීරණාත්මක දත්ත අඩංගු විය යුතුය. මෙන්න අපි winlogbeat සඳහා මුල සිටම සාදන ලද උපකරණ පුවරු සඳහා උදාහරණයක්.

ඔබගේ කාලය සඳහා ස්තූතියි. ඔබට මෙම ලිපිය ප්‍රයෝජනවත් වූ බව මම විශ්වාස කරමි. ඔබට මාතෘකාව පිළිබඳ වැඩි විස්තර අවශ්‍ය නම්, ඔබ වෙත පිවිසීමට අපි නිර්දේශ කරමු නිල වෙබ් අඩවිය.

Elasticsearch හි Telegram කතාබස්: https://t.me/elasticsearch_ru

මූලාශ්රය: www.habr.com