ELK SIEM u shtua së fundi në pirgun e dre në versionin 7.2 më 25 qershor 2019.
Kjo është një zgjidhje SIEM e krijuar nga elastic.co për ta bërë jetën e një analisti sigurie shumë më të lehtë dhe më pak të lodhshme.
Në versionin tonë të punës, ne vendosëm të krijonim SIEM-in tonë dhe të zgjidhnim panelin tonë të kontrollit.
Por ne mendojmë se është e rëndësishme që së pari të eksplorojmë ELK SIEM.
1.1- Seksioni i ngjarjeve pritës
Së pari do të shikojmë seksionin pritës. Seksioni pritës do t'ju lejojë të shihni ngjarjet që krijohen në vetë pikën përfundimtare.
Pasi të klikoni në view hosts, duhet të merrni diçka të tillë. Siç mund ta shihni, ka tre hoste të lidhur me këtë kompjuter:
1 Windows 10.
2 Serveri Ubuntu 18.04.
Ne kemi disa vizualizime të shfaqura, secila që përfaqëson lloje të ndryshme ngjarjesh.
Për shembull, ai në mes tregon të dhënat e hyrjes në të tre makinat.
Kjo sasi e të dhënave që shihni këtu është mbledhur gjatë pesë ditëve. Kjo shpjegon numrin e madh të hyrjeve të dështuara dhe të suksesshme. Ndoshta do të keni një numër të vogël shkrimesh, ndaj mos u shqetësoni
1.2- Seksioni i ngjarjeve të rrjetit
Duke kaluar në seksionin e rrjetit, duhet të merrni diçka të tillë. Ky seksion do t'ju lejojë të vëzhgoni me vëmendje gjithçka që ndodh në rrjetin tuaj, nga trafiku HTTP/TLS deri te trafiku DNS dhe sinjalizimet e ngjarjeve të jashtme.
2- Paneli i parazgjedhur
Për ta bërë jetën më të lehtë për përdoruesit, zhvilluesit e elastic.co kanë krijuar një shirit veglash të paracaktuar të mbështetur zyrtarisht nga ELK. Rrahjet tona nuk ishin përjashtim nga ky rregull. Këtu do të përdor si shembull pultet e paracaktuara të Packetbeat.
Nëse keni ndjekur saktë hapin e dytë të artikullit. Ju duhet të keni një shirit veglash të ngritur duke pritur për ju. Pra, le të fillojmë.
Nga skeda e majtë e Kibana, zgjidhni simbolin e pultit. Ky është i treti, nëse numëroni nga lart.
Futni emrin e aksionit në skedën e kërkimit
Nëse ka disa module në bit. Për secilën prej tyre do të krijohet një panel kontrolli. Por vetëm ai me modulin aktiv do të shfaqë të dhëna jo bosh.
Zgjidhni atë me emrin e modulit tuaj.
Ky është shablloni kryesor PacketBeat.
Ky është paneli i kontrollit të rrjedhës së rrjetit. Do të na tregojë për paketën hyrëse dhe dalëse, burimet dhe destinacionet e adresave IP, dhe gjithashtu ofron shumë informacione të dobishme për një analist të qendrës së sigurisë.
3 — Krijimi i tabelave tuaja të para
3–1- Konceptet bazë
A- Llojet e tabelave:
Këto janë llojet e ndryshme të vizualizimeve që mund të përdorni për të vizualizuar të dhënat tuaja.
për shembull kemi:
grafiku shtyllash
Hartë
Miniaplikacioni Markdown
Tabela byrek
B- KQL (Kibana Query Language):
Kjo është gjuha e përdorur në Kibana për kërkim të lehtë të të dhënave. Kjo ju lejon të kontrolloni nëse ekzistojnë të dhëna të caktuara dhe shumë veçori të tjera të dobishme. Për të mësuar më shumë, mund të eksploroni informacionin në këtë lidhje
Ky është një pyetje shembull për të gjetur një host që ekzekuton Windows 10 pro.
C- Filtrat:
Kjo veçori do t'ju lejojë të filtroni disa parametra si emri i hostit, kodi i ngjarjes ose ID, etj. Filtrat do të përmirësojnë shumë fazën e hetimit për sa i përket kohës dhe përpjekjes së shpenzuar për të kërkuar prova.
D- Vizualizimi i parë:
Le të krijojmë një vizualizim për MITER ATT & CK.
Së pari duhet të shkojmë në Paneli → Krijo panel të ri → krijo të re → Paneli i Pie
Vendosni llojin për modelin e indeksit, më pas prekni emrin e ritmit tuaj.
Shtypni Enter. Deri tani ju duhet të shihni një donut të gjelbër.
Në skedën Buckets në të majtë do të gjeni:
— Fetat e ndara do ta ndajnë donutin në pjesë të ndryshme në varësi të përhapjes së të dhënave.
- Split Chart do të krijojë një tjetër donut pranë këtij.
Ne do të përdorim feta të ndara.
Ne do t'i vizualizojmë të dhënat tona në varësi të termit që zgjedhim. Në këtë rast termi do t'i referohet MITER ATT & CK.
Në Winlogbeat, fusha që do të na japë këtë informacion quhet:
winlog.event_data.RuleName
Ne do të konfigurojmë një metrikë numërimi për të renditur ngjarjet bazuar në numrin e herëve që ndodhin.
Aktivizo funksionin "Grupo vlerat e tjera në një segment të veçantë".
Kjo do të jetë e dobishme nëse termat që zgjidhni kanë shumë kuptime të ndryshme bazuar në ritmin. Kjo ndihmon në vizualizimin e pjesës tjetër të të dhënave në tërësi. Kjo do t'ju japë një ide për përqindjen e ngjarjeve të mbetura.
Tani që kemi mbaruar konfigurimin e skedës së të dhënave, le të kalojmë te skeda e opsioneve
Ju duhet të bëni sa më poshtë:
**Hiqni formën e donutit në mënyrë që interpretimi të tregojë një rreth të plotë.
**Zgjidhni pozicionin e legjendës që ju pëlqen. Në këtë rast, ne do t'i shfaqim ato në të djathtë.
**Vendosni vlerat e ekranit që të shfaqen pranë fragmentit të tyre për lexim më të lehtë dhe lëreni pjesën tjetër si parazgjedhje
Shkurtimi përcakton se sa dëshironi të shfaqni nga emri i ngjarjes.
Vendosni kohën në të cilën dëshironi të fillojë interpretimi dhe më pas klikoni në katrorin blu.
Ju duhet të përfundoni me diçka të tillë:
Ju gjithashtu mund të shtoni një filtër në vizualizimin tuaj për të filtruar hostin specifik që dëshironi të kontrolloni ose ndonjë parametër që mendoni se është i dobishëm për qëllimin tuaj. Vizualizimi do të shfaq vetëm të dhëna që përputhen me rregullin e vendosur në filtër. Në këtë rast, ne do të shfaqim vetëm të dhënat MITER ATT&CK që vijnë nga hosti i quajtur win10.
3-2- Krijimi i panelit tuaj të parë:
Një panel kontrolli është një koleksion i shumë vizualizimeve. Pultet tuaja duhet të jenë të qarta, të kuptueshme dhe të përmbajnë të dhëna të dobishme e përcaktuese. Këtu është një shembull i paneleve që krijuam nga e para për winlogbeat.
Faleminderit per kohen tende. Shpresoj ta keni gjetur të dobishëm këtë artikull. Nëse dëshironi më shumë informacion mbi temën, ju rekomandojmë ta vizitoni website zyrtar.