ELK SIEM je bil nedavno dodan v sklad elk v različici 7.2 25. junija 2019.
To je rešitev SIEM, ki jo je ustvaril elastic.co, da bi bilo življenje varnostnega analitika veliko lažje in manj dolgočasno.
V naši različici dela smo se odločili ustvariti lasten SIEM in izbrati svojo nadzorno ploščo.
Vendar menimo, da je pomembno, da najprej raziščemo ELK SIEM.
1.1- Razdelek za gostiteljske dogodke
Najprej si bomo ogledali razdelek gostitelja. Razdelek gostitelja vam bo omogočil ogled dogodkov, ki so ustvarjeni na sami končni točki.
Po kliku na ogled gostiteljev bi morali dobiti nekaj takega. Kot lahko vidite, so na ta računalnik povezani trije gostitelji:
1 Windows 10.
2 Ubuntu Server 18.04.
Prikazanih je več vizualizacij, od katerih vsaka predstavlja različne vrste dogodkov.
Na primer, tisti na sredini prikazuje podatke za prijavo na vseh treh napravah.
Ta količina podatkov, ki jih vidite tukaj, je bila zbrana v petih dneh. To pojasnjuje veliko število neuspelih in uspešnih prijav. Verjetno boste imeli majhno število dnevnikov, zato ne skrbite
1.2- Razdelek o omrežnih dogodkih
Če se premaknete na razdelek omrežja, bi morali dobiti nekaj takega. Ta razdelek vam bo omogočil, da pozorno spremljate vse, kar se dogaja v vašem omrežju, od prometa HTTP/TLS do prometa DNS in opozoril o zunanjih dogodkih.
2- Privzete nadzorne plošče
Da bi uporabnikom olajšali življenje, so razvijalci elastic.co ustvarili privzeto orodno vrstico, ki jo uradno podpira ELK. Naši beati niso bili izjema od tega pravila. Tukaj bom kot primer uporabil privzete nadzorne plošče Packetbeat.
Če ste pravilno sledili drugemu koraku članka. Čakati bi morala nastavljena orodna vrstica. Pa začnimo.
Na levem zavihku Kibane izberite simbol nadzorne plošče. To je tretji, če štejemo od zgoraj.
V zavihek za iskanje vnesite ime skupne rabe
Če je v bitu več modulov. Za vsakega od njih bo ustvarjena nadzorna plošča. Toda le tisti z aktivnim modulom bo prikazal neprazne podatke.
Izberite tisto z imenom vašega modula.
To je glavna predloga PacketBeat.
To je nadzorna plošča omrežnega toka. Povedal nam bo o dohodnem in odhodnem paketu, virih in ciljih naslovov IP, poleg tega pa nudi veliko koristnih informacij za analitika varnostnega centra.
3 — Ustvarjanje vaših prvih nadzornih plošč
3–1- Osnovni pojmi
A- Vrste armaturnih plošč:
To so različne vrste vizualizacij, ki jih lahko uporabite za vizualizacijo svojih podatkov.
na primer imamo:
Stolpični diagram
Zemljevid
Markdown widget
Krožni diagram
B- KQL (poizvedovalni jezik Kibana):
To je jezik, ki se uporablja v Kibani za enostavno iskanje podatkov. Omogoča preverjanje obstoja določenih podatkov in številne druge uporabne funkcije. Če želite izvedeti več, lahko raziščete informacije na tej povezavi
To je primer poizvedbe za iskanje gostitelja z operacijskim sistemom Windows 10 pro.
C- filtri:
Ta funkcija vam bo omogočila filtriranje določenih parametrov, kot so ime gostitelja, koda dogodka ali ID itd. Filtri bodo močno izboljšali fazo preiskave v smislu časa in truda, porabljenega za iskanje dokazov.
D- Prva vizualizacija:
Ustvarimo vizualizacijo za MITER ATT & CK.
Najprej moramo iti do Nadzorna plošča → Ustvari novo nadzorno ploščo → ustvari novo → Tortno nadzorno ploščo
Nastavite vrsto indeksnega vzorca, nato tapnite ime svojega utripa.
Pritisnite Enter. Zdaj bi morali videti zeleni krof.
V zavihku Vedra na levi boste našli:
— Razdeljene rezine bodo krof razdelile na različne dele, odvisno od širjenja podatkov.
- Razdeljeni grafikon bo poleg tega ustvaril še en krof.
Uporabili bomo narezane rezine.
Naše podatke bomo vizualizirali glede na termin, ki ga izberemo. V tem primeru se bo izraz nanašal na MITER ATT & CK.
V Winlogbeatu se polje, ki nam bo zagotovilo te podatke, imenuje:
winlog.event_data.RuleName
Nastavili bomo meritev števila za razvrščanje dogodkov glede na to, kolikokrat se zgodijo.
Omogočite funkcijo »Združi druge vrednosti v ločen segment«.
To bo koristno, če imajo izrazi, ki jih izberete, veliko različnih pomenov glede na ritem. To pomaga vizualizirati preostale podatke kot celoto. To vam bo dalo idejo o odstotku preostalih dogodkov.
Zdaj, ko smo končali z nastavitvijo zavihka s podatki, pojdimo na zavihek z možnostmi
Narediti morate naslednje:
**Odstranite obliko krofa, da bo upodabljanje prikazalo poln krog.
**Izberite položaj legende, ki vam je všeč. V tem primeru jih bomo prikazali na desni.
**Nastavite prikazne vrednosti, ki bodo prikazane poleg njihovega izrezka za lažje branje, ostalo pa pustite privzeto
Obrezovanje določa, koliko želite prikazati od imena dogodka.
Nastavite čas, ko želite, da se upodabljanje začne, in nato kliknite modri kvadrat.
Na koncu bi morali dobiti nekaj takega:
Vizualizaciji lahko dodate tudi filter, da izločite določenega gostitelja, ki ga želite preveriti, ali vse parametre, za katere menite, da so uporabni za vaš namen. Vizualizacija bo prikazala le podatke, ki se ujemajo s pravilom, postavljenim v filter. V tem primeru bomo prikazali samo podatke MITER ATT&CK, ki prihajajo iz gostitelja z imenom win10.
3-2- Ustvarjanje vaše prve nadzorne plošče:
Nadzorna plošča je zbirka številnih vizualizacij. Vaše nadzorne plošče morajo biti jasne, razumljive in vsebovati uporabne, deterministične podatke. Tukaj je primer nadzornih plošč, ki smo jih ustvarili iz nič za winlogbeat.
Hvala za vaš čas. Upam, da vam je bil ta članek v pomoč. Če želite več informacij o temi, vam priporočamo, da obiščete Uradna spletna stran.