Maqaalkani waxa uu sharxi doonaa dejinta aragtida ELK iyo SIEM dashboards gudaha ELK
Maqaalku wuxuu u qaybsan yahay qaybaha soo socda:
1- ELK SIEM Review
2- Dashboard-yada caadiga ah
3- Abuuritaanka dashboard-kaaga ugu horreeya
Shaxda nuxurka dhammaan qoraallada.
- La qabsiga WAZUH
- Digniin
- Ka warbixinta
- Maareynta Kiiska
1-ELK SIEM Review
ELK SIEM waxaa dhawaan lagu daray xirmada alka ah nooca 7.2 ee Juun 25, 2019.
Kani waa xal SIEM ah oo ay abuurtay elastic.co si ay nolosha falanqeeyaha amniga uga dhigto mid aad u fudud oo aan caajis ahayn.
Noocayada shaqada, waxaan go'aansanay inaan abuurno SIEM noo gaar ah oo aan doorano guddiga xakamaynta noo gaar ah.
Laakiin waxaan u maleyneynaa inay muhiim tahay in marka hore la sahamiyo ELK SIEM.
1.1- Qaybta dhacdooyinka martida loo yahay
Waxaan eegi doonaa marka hore qaybta martida loo yahay. Qaybta martida loo yahay ayaa kuu oggolaan doonta inaad aragto dhacdooyinka ka soo baxa barta dhamaadka lafteeda.
Ka dib markaad gujiso martigeliyayaasha aragtida waa inaad heshaa wax sidan oo kale ah. Sida aad arki karto, waxaa jira saddex marti-geliyayaal ku xiran kombuyutarkan:
1 Windows 10.
2 Ubuntu Server 18.04.
Waxaan haynaa muuqaalo dhowr ah oo lasoo bandhigay, mid walbana wuxuu matalaa noocyo kala duwan oo dhacdooyin ah.
Tusaale ahaan, kan dhexda ku yaal wuxuu muujinayaa xogta gelitaanka dhammaan saddexda mishiin.
Tiradan xogta aad halkan ku aragto waxa la ururiyay muddo shan maalmood ah. Tani waxay sharxaysaa tirada badan ee guul-darrooyinka iyo guul-darrooyinka soo gelista. Waxay u badan tahay inaad lahaan doonto tiro yar oo qoryo ah, markaa ha welwelin
1.2- Qaybta dhacdooyinka shabakada
U guurista qaybta shabakada, waa inaad heshaa wax sidan oo kale ah. Qaybtani waxay kuu ogolaanaysaa inaad si dhow ula socoto wax kasta oo ka dhacaya shabakadaada, laga bilaabo HTTP/TLS taraafikada ilaa taraafikada DNS iyo digniinaha dhacdooyinka dibadda.
2- Dashboard-yada caadiga ah
Si nolosha loogu fududeeyo isticmaalayaasha, horumariyayaasha elastic.co waxa ay sameeyeen aaladaha caadiga ah ee ay si rasmi ah u taageerto ELK. Garaacayagu kama reebin xeerkan. Halkan waxaan u isticmaali doonaa tusaale ahaan Packetbeat dashboards-ka caadiga ah.
Haddii aad si sax ah u raacdo tallaabada labaad ee maqaalka. Waa inaad haysataa qalab lagu rakibay oo ku sugaya Markaa aan bilowno.
Laga bilaabo tabka bidix ee Kibana, ka dooro calaamada dashboardka. Kani waa kii saddexaad, haddaad xagga sare ka tirsatid.
Geli magaca wadaaga tab raadinta
Haddii ay jiraan dhowr modules in yar. Guddi kontorool ayaa loo samayn doonaa mid kasta oo iyaga ka mid ah. Laakiin midka leh moduleka firfircoon ayaa soo bandhigi doona xog aan faaruqin.
Dooro midka leh magaca moduleka.
Tani waa qaabka ugu weyn PacketBeat.
Kani waa guddiga xakamaynta qulqulka shabakada. Waxay nooga sheegi doontaa baakadka soo socda iyo kan baxaya, ilaha iyo meelaha laga helo ciwaanka IP-ga, iyo sidoo kale waxay bixisaa macluumaad badan oo faa'iido leh oo loogu talagalay falanqeeyaha xarunta amniga.
3 - Abuuritaanka dashboardskaaga ugu horreeya
3β1- Fikradaha Aasaasiga ah
A- Noocyada dashboards:
Kuwani waa noocyada kala duwan ee muuqaalaynta oo aad isticmaali karto si aad u sawirto xogtaada.
tusaale ahaan waxaan leenahay:
- Garaafka garaafka
- map
- Markdown widget
- Shaxda goos gooska
B- KQL (Luqadda weydiinta Kibana):
Kani waa luqadda lagu isticmaalo Kibana si fudud loogu baadho xogta. Waxay kuu ogolaanaysaa inaad hubiso haddii xogta qaarkood ay jiraan iyo waxyaabo kale oo badan oo faa'iido leh. Si aad wax badan u ogaato, waxaad ka baadh kartaa macluumaadka xidhiidhkan
Tani waa tusaale tusaale ah si aad u hesho martigeliyaha socda Windows 10 pro.
C- Shaandhaynta:
Habkani wuxuu kuu ogolaanayaa inaad shaandhayso xuduudaha qaarkood sida magaca martida, code code ama aqoonsiga, iwm. Shaandheeyayaashu waxay si weyn u wanaajin doonaan marxaladda baaritaanka marka la eego wakhtiga iyo dadaalka lagu bixiyo raadinta caddaynta.
D- Aragtida koowaad:
Aan u abuurno muuqaal muuqaal MITER ATT & CK.
Marka hore waxaan u baahanahay inaan aadno Dashboard-ka β Samee dashboard cusub β samee cusub βPie dashboard
U deji nooca qaabka tusmada, ka dibna ku dhufo magaca garaacistaada.
Riix Gelida Hadda waa inaad aragto donut cagaaran.
Tabaha baaldiyada ee bidixda waxaad ka heli doontaa:
- Jeexjeexyada kala qaybsan waxay u qaybin doonaan donut qaybo kala duwan iyadoo ku xidhan fiditaanka xogta.
- Jaantuska Kala-baxa wuxuu abuuri doonaa deeq kale oo ku xiga kan.
Waxaan isticmaali doonaa xaleef kala go'an.
Waxaan sawiri doonaa xogtayada iyadoo ku xiran ereyga aan doorano. Xaaladdan oo kale ereygu wuxuu tixraaci doonaa MITER ATT & CK.
Gudaha Winlogbeat, goobta na siin doonta macluumaadkan waxaa la yiraahdaa:
winlog.event_data.RuleNameWaxaan dejin doonaa mitirka tirinta si aan u dalbo dhacdooyinka ku salaysan tirada jeer ee ay dhacaan.
Daar "Kooxda qiyamka kale ee qayb gaar ah" sifada.
Tani waxay noqon doontaa mid faa'iido leh haddii erayada aad doorato ay leeyihiin macnayaal badan oo kala duwan oo ku salaysan laxanka. Tani waxay gacan ka geysaneysaa in la sawiro inta kale ee xogta guud ahaan. Tani waxay ku siin doontaa fikradda boqolkiiba dhacdooyinka hadhay.
Hadda oo aanu dhamaynay dejinta xogta tab, aynu u gudubno tab fursadaha
Waa inaad samaysaa waxyaabaha soo socda:
**Ka saar qaabka donut-ka si ay u muujintu u muujiso goobaabin buuxda.
** Dooro booska halyeeyga ee aad jeceshahay. Xaaladdan oo kale, waxaanu ku soo bandhigi doonaa dhinaca midigta.
** Deji qiyamka bandhigga si aad ugu muujiso qaybtooda xigta si ay u sahlanaato akhriska oo u daa inta soo hadhay
Goynta ayaa go'aamisa inta aad rabto inaad ka soo muuqato magaca dhacdada.
Samee wakhtiga aad rabto in wax-bixintu ay bilaabato,kadibna riix afargeeska buluuga ah.
Waa inaad ku dhameysato wax sidan oo kale ah:
Waxa kale oo aad ku dari kartaa shaandhaynta araggaaga si aad u shaandhayso martigeliyaha gaarka ah ee aad rabto inaad hubiso ama wax kasta oo cabbiraad ah oo aad u malaynayso inay faa'iido u leeyihiin ujeedadaada. Aragtida ayaa kaliya soo bandhigi doonta xogta u dhiganta xeerka lagu riday shaandhada. Xaaladdan oo kale, waxaanu kaliya soo bandhigi doonaa xogta MITER ATT&CK ee ka imanaysa martida loo yahay win10.
3-2- Abuuritaanka dashboardkaaga ugu horreeya:
Dashboard-ku waa ururinta muuqaallo badan. Dashboards-kaagu waa inuu noqdaa mid cad, la fahmi karo, oo ka kooban xog faa'iido leh, oo go'aaminaysa. Waa kuwan tusaale ka mid ah boodhadhka aan ka abuurnay xoq ee winlogbeat.
Waad ku mahadsan tahay waqtigaaga. Waxaan rajeynayaa inaad maqaalkan ka heshay waxtar. Haddii aad rabto macluumaad dheeraad ah oo ku saabsan mawduuca, waxaan kugula talineynaa inaad soo booqato .
Telegram ku wada sheekaysta Elasticsearch:
Source: www.habr.com