Pos ieu bakal ngajelaskeun netepkeun visualisasi dasbor ELK sareng SIEM dina ELK
Artikel ieu dibagi kana sababaraha bagian:
1- ELK SIEM Review
2- Dasbor standar
3- Nyieun dasbor munggaran anjeun
Daptar eusi sadaya tulisan.
- Integrasi sareng WAZUH
- Waspada
- Ngalaporkeun
- Manajemén hal
1-ELK SIEM Review
ELK SIEM nembe ditambahkeun kana tumpukan Elk dina versi 7.2 dina 25 Juni 2019.
Ieu mangrupikeun solusi SIEM anu diciptakeun ku elastic.co pikeun ngajantenkeun kahirupan analis kaamanan langkung gampang sareng kirang pikasieuneun.
Dina versi karya urang, urang mutuskeun pikeun nyieun SIEM sorangan tur milih panel kontrol urang sorangan.
Tapi kami pikir penting pikeun ngajalajah ELK SIEM heula.
1.1- Bagian acara host
Urang bakal ningali bagian host heula. Bagian host bakal ngidinan Anjeun pikeun ningali kajadian anu dihasilkeun dina titik tungtung sorangan.
Saatos ngaklik view host anjeun kedah nampi anu sapertos kieu. Sakumaha anjeun tiasa tingali, aya tilu host anu nyambung ka komputer ieu:
1 Windows 10.
2 Ubuntu Server 18.04.
Kami gaduh sababaraha visualisasi anu ditampilkeun, masing-masing ngagambarkeun jinis acara anu béda.
Contona, hiji di tengah nembongkeun data login dina sakabéh tilu mesin.
Jumlah data anu anjeun tingali di dieu dikumpulkeun salami lima dinten. Ieu ngécéskeun jumlah badag logins gagal jeung suksés. Anjeun meureun bakal boga sajumlah leutik log, jadi ulah salempang
1.2- Bagian acara jaringan
Pindah ka bagian jaringan, anjeun kedah nampi anu sapertos kieu. Bagian ieu bakal ngamungkinkeun anjeun pikeun ngawaskeun sadayana anu lumangsung dina jaringan anjeun, tina lalu lintas HTTP / TLS ka lalu lintas DNS sareng panggeuing acara éksternal.
2- Dasbor standar
Pikeun ngagampangkeun kahirupan pikeun pangguna, pamekar elastic.co parantos nyiptakeun tulbar standar anu dirojong sacara resmi ku ELK. Ketukan urang henteu iwal ti aturan ieu. Di dieu kuring bakal nganggo dasbor standar Packetbeat salaku conto.
Upami anjeun leres-leres nuturkeun léngkah dua tina tulisan éta. Anjeun kedah gaduh toolbar nyetél ngantosan anjeun. Ku kituna hayu urang ngamimitian.
Tina tab kénca Kibana, pilih simbol dasbor. Ieu nu katilu, lamun diitung ti luhur.
Lebetkeun nami dibagikeun dina tab pilarian
Upami aya sababaraha modul dina bit. Hiji panel kontrol bakal dijieun pikeun tiap sahijina. Tapi ngan hiji jeung modul aktip bakal nembongkeun data non-kosong.
Pilih hiji kalayan nami modul anjeun.
Ieu template utama PacketBeat.
Ieu panel kontrol aliran jaringan. Bakal ngabejaan urang ngeunaan pakét asup jeung kaluar, sumber jeung tujuan alamat IP, sarta ogé nyadiakeun loba informasi mangpaat pikeun analis puseur kaamanan.
3 - Nyieun dasbor munggaran anjeun
3–1- Konsép Dasar
A- Jenis dasbor:
Ieu mangrupikeun sababaraha jinis visualisasi anu anjeun tiasa dianggo pikeun ngabayangkeun data anjeun.
contona urang gaduh:
- grafik bar
- peta
- widget markdown
- Bagan pai
B- KQL (Kibana Query Language):
Ieu mangrupikeun basa anu dianggo dina Kibana pikeun gampang milarian data. Eta ngidinan Anjeun pikeun mariksa lamun data tangtu aya jeung loba fitur mangpaat séjén. Pikeun milarian langkung seueur, anjeun tiasa ngajalajah inpormasi dina tautan ieu
Ieu mangrupikeun conto patarosan pikeun milarian host anu ngajalankeun Windows 10 pro.
C- saringan:
Fitur ieu bakal ngidinan Anjeun pikeun nyaring parameter tangtu kayaning hostname, kode acara atawa ID, jsb Saringan bakal greatly ngaronjatkeun fase panalungtikan dina watesan waktu jeung usaha spent neangan bukti.
D- Visualisasi munggaran:
Hayu urang nyieun visualisasi pikeun MITRE ATT & CK.
Kahiji urang kudu indit ka Dasbor → Jieun dasbor anyar → jieun anyar → Dasbor pai
Setel jinis pola indéks, teras ketok nami ketukan anjeun.
Pencét Lebetkeun. Ayeuna anjeun kedah ningali donat héjo.
Dina tab Ember di kénca anjeun bakal mendakan:
- Potongan pamisah bakal ngabagi donat kana sababaraha bagian gumantung kana sumebarna data.
- Bagan Split bakal nyiptakeun donat sanés di gigireun ieu.
Urang bakal ngagunakeun keureut pamisah.
Urang bakal visualize data urang gumantung kana istilah urang milih. Dina hal ieu istilah bakal nujul ka MITRE ATT & CK.
Dina Winlogbeat, widang anu bakal masihan kami inpormasi ieu disebut:
winlog.event_data.RuleNameKami bakal nyetél métrik cacah pikeun mesen acara dumasar kana jumlah kali kajadian.
Aktipkeun fitur "Grupkeun nilai-nilai sanés dina bagéan anu misah".
Ieu bakal mangpaat upami istilah anu anjeun pilih gaduh seueur hartos anu béda dumasar kana wirahma. Ieu mantuan visualize sesa data sakabéhna. Ieu bakal masihan anjeun gambaran ngeunaan perséntase acara sésana.
Ayeuna urang parantos nyetél tab data, hayu urang teraskeun kana tab pilihan
Anjeun kedah ngalakukeun ieu:
** Leupaskeun bentuk donat jadi rendering nembongkeun bunderan pinuh.
** Pilih posisi legenda anu anjeun resep. Dina hal ieu, urang bakal nembongkeun aranjeunna di katuhu.
**Setel nilai tampilan pikeun dipintonkeun di gigireun snippetna supados langkung gampang dibaca sareng tinggalkeun sésana salaku standar
Truncation nangtukeun sabaraha nu Anjeun hoyong mintonkeun tina ngaran acara.
Setel waktos dimana anjeun hoyong rendering dimimitian, teras klik kotak biru.
Anjeun kedah mungkas ku hal sapertos kieu:
Anjeun ogé tiasa nambihan saringan kana visualisasi anjeun pikeun nyaring host khusus anu anjeun hoyong parios atanapi parameter anu anjeun pikir mangpaat pikeun tujuan anjeun. Visualisasi ngan bakal nembongkeun data nu cocog aturan disimpen dina filter nu. Dina hal ieu, urang ngan bakal nembongkeun MITRE ATT & CK data datang ti host ngaranna win10.
3-2- Nyieun dasbor munggaran anjeun:
Dashboard mangrupikeun kumpulan seueur visualisasi. Dashboard Anjeun kedah jelas, kaharti, sarta ngandung mangpaat, data deterministik. Di handap ieu conto dashboards kami dijieun ti scratch pikeun winlogbeat.
Hatur nuhun pikeun waktos Anjeun. Kuring miharep anjeun kapanggih artikel ieu mantuan. Upami anjeun hoyong inpormasi anu langkung lengkep ihwal topik, kami nyarankeun anjeun kunjungan .
Obrolan Telegram dina Elasticsearch:
sumber: www.habr.com