Det här inlägget kommer att beskriva hur du ställer in visualiseringen av ELK- och SIEM-instrumentpaneler i ELK
Artikeln är uppdelad i följande avsnitt:
1- ELK SIEM Review
2- Standardinstrumentpaneler
3- Skapa dina första instrumentpaneler
Innehållsförteckning för alla inlägg.
- Integration med WAZUH
- Varning
- Rapportering
- Fallhantering
1-ELK SIEM recension
ELK SIEM lades nyligen till i älgstacken i version 7.2 den 25 juni 2019.
Detta är en SIEM-lösning skapad av elastic.co för att göra livet för en säkerhetsanalytiker mycket enklare och mindre tråkigt.
I vår version av arbetet bestämde vi oss för att skapa vår egen SIEM och välja vår egen kontrollpanel.
Men vi tycker att det är viktigt att utforska ELK SIEM först.
1.1- Avsnitt för värdevenemang
Vi ska först titta på värdsektionen. Värdsektionen låter dig se händelserna som genereras vid själva slutpunkten.
Efter att ha klickat på visa värdar bör du få något liknande detta. Som du kan se finns det tre värdar anslutna till den här datorn:
1 Windows 10.
2 Ubuntu Server 18.04.
Vi har flera visualiseringar som visas, var och en representerar olika typer av händelser.
Till exempel visar den i mitten inloggningsdata på alla tre maskiner.
Den här mängden data som du ser här samlades in under fem dagar. Detta förklarar det stora antalet misslyckade och lyckade inloggningar. Du kommer förmodligen att ha ett litet antal loggar, så oroa dig inte
1.2- avsnittet Nätverkshändelser
Om du går vidare till nätverkssektionen borde du få något liknande detta. Det här avsnittet låter dig hålla ett öga på allt som händer på ditt nätverk, från HTTP/TLS-trafik till DNS-trafik och externa händelsevarningar.
2- Standardinstrumentpaneler
För att göra livet enklare för användarna har utvecklare av elastic.co skapat ett standardverktygsfält som officiellt stöds av ELK. Våra beats var inget undantag från denna regel. Här kommer jag att använda Packetbeats standardinstrumentpaneler som exempel.
Om du följt steg två i artikeln korrekt. Du bör ha ett verktygsfält som väntar på dig. Så låt oss börja.
Från vänsterfliken i Kibana väljer du instrumentpanelssymbolen. Detta är den tredje, om man räknar från toppen.
Ange delningsnamnet på sökfliken
Om det finns flera moduler i biten. En kontrollpanel kommer att skapas för var och en av dem. Men bara den med modulen aktiv kommer att visa icke-tomma data.
Välj den med ditt modulnamn.
Detta är huvudmallen PacketBeat.
Detta är kontrollpanelen för nätverksflödet. Det kommer att berätta om det inkommande och utgående paketet, källorna och destinationerna för IP-adresser, och ger också mycket användbar information för en säkerhetscenteranalytiker.
3 — Skapa dina första instrumentpaneler
3–1- Grundläggande koncept
A- Typer av instrumentpaneler:
Det här är de olika typerna av visualiseringar som du kan använda för att visualisera dina data.
vi har till exempel:
- stapeldiagram
- Karta
- Markdown-widget
- Tårtdiagram
B- KQL (Kibana Query Language):
Detta är språket som används i Kibana för enkel sökning av data. Det låter dig kontrollera om vissa data finns och många andra användbara funktioner. För att ta reda på mer kan du utforska informationen på den här länken
Detta är en exempelfråga för att hitta en värd som kör Windows 10 pro.
C- Filter:
Den här funktionen låter dig filtrera vissa parametrar som värdnamn, händelsekod eller ID, etc. Filter kommer att avsevärt förbättra utredningsfasen när det gäller tid och ansträngning för att söka efter bevis.
D- Första visualiseringen:
Låt oss skapa en visualisering för MITER ATT & CK.
Först måste vi gå till Instrumentpanel → Skapa ny instrumentpanel→ skapa ny → Paj-instrumentpanel
Ställ in typen för indexmönstret och tryck sedan på namnet på ditt slag.
Tryck enter. Vid det här laget bör du se en grön munk.
På fliken Buckets till vänster hittar du:
— Delade skivor kommer att dela munken i olika delar beroende på spridningen av data.
- Split Chart skapar en annan munk bredvid den här.
Vi kommer att använda delade skivor.
Vi kommer att visualisera vår data beroende på vilken term vi väljer. I detta fall kommer termen att hänvisa till MITRE ATT & CK.
I Winlogbeat heter fältet som ger oss denna information:
winlog.event_data.RuleNameVi ställer in ett räknemått för att ordna händelser baserat på antalet gånger de inträffar.
Aktivera funktionen "Gruppera andra värden i ett separat segment".
Detta kommer att vara användbart om termerna du väljer har många olika betydelser baserat på rytm. Detta hjälper till att visualisera resten av data som helhet. Detta ger dig en uppfattning om andelen återstående händelser.
Nu när vi är klara med att ställa in datafliken, låt oss gå vidare till fliken alternativ
Du måste göra följande:
**Ta bort munkformen så att renderingen visar en hel cirkel.
**Välj den legendposition du gillar. I det här fallet kommer vi att visa dem till höger.
** Ställ in visningsvärden så att de ska visas bredvid deras utdrag för enklare läsning och lämna resten som standard
Trunkering avgör hur mycket du vill visa från händelsenamnet.
Ställ in den tidpunkt då du vill att renderingen ska starta och klicka sedan på den blå fyrkanten.
Du borde sluta med något sånt här:
Du kan också lägga till ett filter i din visualisering för att filtrera bort den specifika värd du vill kontrollera eller parametrar som du tror är användbara för ditt ändamål. Visualiseringen visar bara data som matchar regeln som placerats i filtret. I det här fallet kommer vi bara att visa MITER ATT&CK-data som kommer från värden som heter win10.
3-2- Skapa din första instrumentpanel:
En instrumentpanel är en samling av många visualiseringar. Dina instrumentpaneler bör vara tydliga, begripliga och innehålla användbar, deterministisk data. Här är ett exempel på instrumentpanelerna vi skapade från början för winlogbeat.
Tack för din tid. Jag hoppas att du tyckte att den här artikeln var till hjälp. Om du vill ha mer information om ämnet rekommenderar vi att du besöker .
Telegramchatt på Elasticsearch:
Källa: will.com