Овај пост ће описати подешавање визуелизације ЕЛК и СИЕМ контролних табли у ЕЛК-у
Чланак је подељен на следеће одељке:
1- ЕЛК СИЕМ преглед
2- Подразумеване контролне табле
3- Креирање прве контролне табле
Садржај свих постова.
- Интеграција са ВАЗУХ-ом
- Алертинг
- Извештавање
- Управљање предметима
1-ЕЛК СИЕМ преглед
ЕЛК СИЕМ је недавно додат у елк стацк у верзији 7.2 25. јуна 2019.
Ово је СИЕМ решење које је креирао еластиц.цо да би живот безбедносног аналитичара био много лакши и мање досадан.
У нашој верзији рада, одлучили смо да креирамо сопствени СИЕМ и изаберемо сопствену контролну таблу.
Али мислимо да је важно прво истражити ЕЛК СИЕМ.
1.1- Одељак за домаћине догађаја
Прво ћемо погледати одељак домаћина. Одељак домаћина ће вам омогућити да видите догађаје који се генеришу на самој крајњој тачки.
Након што кликнете на приказ хостова, требало би да добијете нешто овако. Као што видите, на овај рачунар су повезана три хоста:
1 Виндовс 10.
2 Убунту сервер 18.04.
Имамо неколико приказаних визуелизација, од којих свака представља различите врсте догађаја.
На пример, онај у средини приказује податке за пријаву на све три машине.
Ова количина података коју видите овде је прикупљена током пет дана. Ово објашњава велики број неуспешних и успешних пријава. Вероватно ћете имати мали број дневника, тако да не брините
1.2- Одељак о мрежним догађајима
Прелазећи на одељак о мрежи, требало би да добијете нешто овако. Овај одељак ће вам омогућити да пажљиво пратите све што се дешава на вашој мрежи, од ХТТП/ТЛС саобраћаја до ДНС саобраћаја и спољних упозорења о догађајима.
2- Подразумеване контролне табле
Да би олакшали живот корисницима, програмери еластиц.цо су направили подразумевану траку са алаткама коју званично подржава ЕЛК. Наши тактови нису били изузетак од овог правила. Овде ћу користити Пацкетбеат-ове подразумеване контролне табле као пример.
Ако сте правилно пратили други корак у чланку. Требало би да имате постављену траку са алаткама која вас чека. Па хајде да почнемо.
Са леве картице Кибана изаберите симбол контролне табле. Ово је трећи, ако се рачуна од врха.
Унесите назив дељења на картици за претрагу
Ако у биту има више модула. За сваку од њих биће креирана контролна табла. Али само онај са активним модулом ће приказати непразне податке.
Изаберите онај са именом вашег модула.
Ово је главни шаблон ПацкетБеат.
Ово је контролна табла мрежног тока. Рећи ће нам о долазном и одлазном пакету, изворима и одредиштима ИП адреса, а такође ће пружити много корисних информација за аналитичара центра безбедности.
3 — Креирање прве контролне табле
3–1- Основни појмови
А- Типови контролне табле:
Ово су различите врсте визуелизације које можете да користите за визуелизацију података.
на пример имамо:
- графикон
- мапа
- Маркдовн видгет
- Пие цхарт
Б- ККЛ (Кибана Куери Лангуаге):
Ово је језик који се користи у Кибани за једноставно претраживање података. Омогућава вам да проверите да ли постоје одређени подаци и многе друге корисне функције. Да бисте сазнали више, можете истражити информације на овој вези
Ово је пример упита за проналажење хоста који користи Виндовс 10 про.
Ц- Филтери:
Ова функција ће вам омогућити да филтрирате одређене параметре као што су име хоста, код догађаја или ИД, итд. Филтери ће у великој мери побољшати фазу истраге у смислу времена и труда утрошеног на тражење доказа.
Д- Прва визуелизација:
Хајде да направимо визуелизацију за МИТЕР АТТ & ЦК.
Прво треба да одемо до Контролна табла → Креирај нову контролну таблу → креирај нову → Пие контролну таблу
Подесите тип за образац индекса, а затим додирните назив свог такта.
Притисните ентер. До сада би требало да видите зелену крофну.
На картици Буцкетс са леве стране наћи ћете:
— Подељене кришке ће поделити крофну на различите делове у зависности од ширења података.
- Сплит Цхарт ће креирати још једну крофну поред ове.
Користићемо подељене резове.
Своје податке ћемо визуелизовати у зависности од термина који изаберемо. У овом случају термин ће се односити на МИТЕР АТТ & ЦК.
У Винлогбеат-у, поље које ће нам пружити ове информације се зове:
winlog.event_data.RuleNameПодесићемо метрику броја да бисмо поредали догађаје на основу броја дешавања.
Омогућите функцију „Групирајте друге вредности у посебан сегмент“.
Ово ће бити корисно ако термини које одаберете имају много различитих значења на основу ритма. Ово помаже у визуализацији осталих података у целини. Ово ће вам дати представу о проценту преосталих догађаја.
Сада када смо завршили са подешавањем картице са подацима, пређимо на картицу са опцијама
Морате урадити следеће:
**Уклоните облик крофне тако да приказ приказује пун круг.
**Одаберите позицију легенде која вам се свиђа. У овом случају, приказаћемо их на десној страни.
**Подесите вредности за приказ да се приказују поред њиховог исечка ради лакшег читања, а остале оставите као подразумеване
Скраћивање одређује колико желите да прикажете од назива догађаја.
Подесите време у којем желите да почне приказивање, а затим кликните на плави квадрат.
Требало би да завршите са нечим попут овога:
Такође можете додати филтер својој визуелизацији да бисте филтрирали одређени хост који желите да проверите или било које параметре за које мислите да су корисни за вашу сврху. Визуелизација ће приказати само податке који одговарају правилу постављеном у филтер. У овом случају, приказаћемо само МИТЕР АТТ&ЦК податке који долазе са хоста по имену вин10.
3-2- Креирање прве контролне табле:
Контролна табла је колекција многих визуелизација. Ваше контролне табле треба да буду јасне, разумљиве и да садрже корисне, детерминистичке податке. Ево примера контролних табли које смо креирали од нуле за винлогбеат.
Хвала на времену. Надам се да вам је овај чланак био од помоћи. Ако желите више информација о овој теми, препоручујемо да посетите .
Телеграм ћаскање на Еластицсеарцх-у:
Извор: ввв.хабр.цом