ELK SIEM bol nedávno pridaný do elk stacku vo verzii 7.2 25. júna 2019.
Toto je riešenie SIEM vytvorené spoločnosťou elastic.co, aby bol život bezpečnostného analytika oveľa jednoduchší a menej únavný.
V našej verzii práce sme sa rozhodli vytvoriť vlastný SIEM a zvoliť si vlastný ovládací panel.
Myslíme si však, že je dôležité najprv preskúmať ELK SIEM.
1.1- Sekcia hostiteľských udalostí
Najprv sa pozrieme na hostiteľskú sekciu. Sekcia hostiteľa vám umožní vidieť udalosti, ktoré sa generujú v samotnom koncovom bode.
Po kliknutí na zobraziť hostiteľov by ste mali dostať niečo takéto. Ako vidíte, k tomuto počítaču sú pripojení traja hostitelia:
1 Windows 10.
2 Server Ubuntu 18.04.
Máme zobrazených niekoľko vizualizácií, z ktorých každá predstavuje iné typy udalostí.
Napríklad ten v strede zobrazuje prihlasovacie údaje na všetkých troch strojoch.
Toto množstvo údajov, ktoré tu vidíte, bolo zhromaždené počas piatich dní. To vysvetľuje veľký počet neúspešných a úspešných prihlásení. Pravdepodobne budete mať malý počet protokolov, takže sa nemusíte obávať
1.2- Sekcia sieťových udalostí
Keď prejdeme do sekcie siete, mali by ste dostať niečo také. Táto časť vám umožní pozorne sledovať všetko, čo sa deje vo vašej sieti, od prenosu HTTP/TLS po prenos DNS a upozornenia na externé udalosti.
2- Predvolené ovládacie panely
Aby sa používateľom uľahčil život, vývojári elastic.co vytvorili predvolený panel nástrojov oficiálne podporovaný spoločnosťou ELK. Naše beaty neboli výnimkou z tohto pravidla. Tu použijem ako príklad predvolené dashboardy Packetbeat.
Ak ste postupovali správne podľa druhého kroku článku. Mali by ste mať nastavený panel s nástrojmi. Tak poďme na to.
Na ľavej karte Kibana vyberte symbol palubnej dosky. Toto je tretí, ak počítate od vrchu.
Zadajte názov zdieľania na karte vyhľadávania
Ak je v bite niekoľko modulov. Pre každý z nich sa vytvorí ovládací panel. Ale len ten s aktívnym modulom zobrazí neprázdne údaje.
Vyberte modul s názvom modulu.
Toto je hlavná šablóna PacketBeat.
Toto je ovládací panel toku siete. Povie nám o prichádzajúcom a odchádzajúcom pakete, zdrojoch a cieľoch IP adries a tiež poskytuje množstvo užitočných informácií pre analytika bezpečnostného centra.
3 — Vytvorenie prvých informačných panelov
3–1- Základné pojmy
A- Typy palubných dosiek:
Toto sú rôzne typy vizualizácií, ktoré môžete použiť na vizualizáciu údajov.
napríklad máme:
stĺpcový graf
mapa
Miniaplikácia Markdown
Koláčový graf
B- KQL (Kibana Query Language):
Toto je jazyk používaný v Kibane na jednoduché vyhľadávanie údajov. Umožňuje vám skontrolovať, či existujú určité údaje, a mnoho ďalších užitočných funkcií. Ak sa chcete dozvedieť viac, informácie nájdete na tomto odkaze
Toto je príklad dotazu na nájdenie hostiteľa so systémom Windows 10 pro.
C-filtre:
Táto funkcia vám umožní filtrovať určité parametre, ako je názov hostiteľa, kód udalosti alebo ID atď. Filtre výrazne zlepšia fázu vyšetrovania z hľadiska času a úsilia vynaloženého na hľadanie dôkazov.
D- Prvá vizualizácia:
Vytvorme vizualizáciu pre MITER ATT & CK.
Najprv musíme ísť Dashboard → Vytvoriť nový informačný panel → vytvoriť nový → Koláčový informačný panel
Nastavte typ vzoru indexu a potom klepnite na názov rytmu.
Stlačte Enter. Teraz by ste mali vidieť zelenú šišku.
Na karte Vedrá vľavo nájdete:
— Rozdelené plátky rozdelia šišku na rôzne časti v závislosti od rozloženia údajov.
- Split Chart vytvorí vedľa tejto šišky ďalšiu šišku.
Použijeme rozdelené plátky.
Naše údaje budeme vizualizovať v závislosti od termínu, ktorý si zvolíme. V tomto prípade sa tento výraz bude vzťahovať na MITER ATT & CK.
Vo Winlogbeat sa pole, ktoré nám poskytne tieto informácie, nazýva:
winlog.event_data.RuleName
Nastavíme metriku počtu na zoradenie udalostí na základe počtu ich výskytov.
Povoľte funkciu „Zoskupiť ďalšie hodnoty do samostatného segmentu“.
Bude to užitočné, ak výrazy, ktoré si vyberiete, majú veľa rôznych významov na základe rytmu. To pomáha vizualizovať zvyšok údajov ako celok. To vám dá predstavu o percentách zostávajúcich udalostí.
Teraz, keď sme skončili s nastavením karty údajov, prejdime na kartu možností
Musíte urobiť nasledovné:
**Odstráňte tvar šišky tak, aby vykresľovanie zobrazovalo celý kruh.
**Vyberte pozíciu legendy, ktorá sa vám páči. V tomto prípade ich zobrazíme vpravo.
**Nastavte zobrazované hodnoty tak, aby sa zobrazovali vedľa ich úryvku pre ľahšie čítanie, a zvyšok ponechajte ako predvolený
Skrátenie určuje, koľko chcete zobraziť z názvu udalosti.
Nastavte čas, kedy sa má vykresľovanie spustiť, a potom kliknite na modrý štvorec.
Mali by ste skončiť s niečím takýmto:
Môžete tiež pridať filter do svojej vizualizácie, aby ste odfiltrovali konkrétneho hostiteľa, ktorého chcete skontrolovať, alebo akékoľvek parametre, o ktorých si myslíte, že sú užitočné pre váš účel. Vizualizácia zobrazí iba údaje, ktoré zodpovedajú pravidlu umiestnenému vo filtri. V tomto prípade zobrazíme iba údaje MITER ATT&CK pochádzajúce z hostiteľa s názvom win10.
3-2- Vytvorenie prvého informačného panela:
Prístrojová doska je súborom mnohých vizualizácií. Vaše informačné panely by mali byť jasné, zrozumiteľné a mali by obsahovať užitočné, deterministické údaje. Tu je príklad dashboardov, ktoré sme vytvorili od začiatku pre winlogbeat.
Ďakujem za Tvoj čas. Dúfam, že vám tento článok pomohol. Ak by ste chceli viac informácií o téme, odporúčame vám navštíviť Oficiálne stránky.