Det hÀr inlÀgget kommer att tÀcka hur du stÀller in ELK instrumentpanel och SIEM-visualisering i ELK
Artikeln Àr uppdelad i följande avsnitt:
1- ELK SIEM Ăversikt
2- Standardinstrumentpaneler
3- Skapa dina första instrumentpaneler
InnehÄllsförteckning för alla inlÀgg.
- Integration med WAZUH
- Varna
- Rapportering
- Fallhantering
1-ELK SIEM recension
ELK SIEM lades nyligen till i Àlgstacken i version 7.2 som slÀpptes den 25 juni 2019.
Det Àr en SIEM-lösning skapad av elastic.co för att göra livet för en sÀkerhetsanalytiker mycket enklare och mindre trÄkigt.
I vÄr version av arbetet bestÀmde vi oss för att skapa vÄr egen SIEM och vÀlja vÄr egen kontrollpanel.
Men vi tycker att det Àr viktigt att lÀra sig ELK SIEM först.
1.1- avsnittet VÀrdhÀndelser
Först ska vi titta pÄ vÀrdsektionen. VÀrdsektionen lÄter dig se hÀndelserna som genereras vid sjÀlva slutpunkten.
Efter att ha klickat pÄ visa vÀrdar bör du fÄ nÄgot liknande detta. Som du kan se finns det tre vÀrdar anslutna till den hÀr datorn:
1 Windows 10.
2 servrar Ubuntu 18.04.
Vi har flera visualiseringar som visas, var och en visar olika typer av hÀndelser.
Till exempel visar den i mitten inloggningsuppgifter pÄ alla tre maskiner.
Den hÀr mÀngden data som du ser hÀr samlades in under fem dagar. Detta förklarar det stora antalet misslyckade och lyckade inloggningar. Du kommer förmodligen att ha ett litet antal tidningar, sÄ oroa dig inte.
1.2- Avsnittet NÀtverkshÀndelser
Om du gÄr vidare till nÀtverkssektionen borde du fÄ nÄgot liknande detta. Det hÀr avsnittet lÄter dig noggrant övervaka allt som hÀnder pÄ ditt nÀtverk, frÄn HTTP/TLS-trafik till DNS-trafik och externa hÀndelsevarningar.
2- Standardinstrumentpaneler
För att göra livet enklare för anvÀndarna har utvecklare av elastic.co skapat en standardinstrumentpanel som officiellt stöds av ELK. VÄra beats var inget undantag frÄn denna regel. HÀr tar jag standardpanelen för Packetbeat som exempel.
Om du har slutfört steg tvÄ i artikeln korrekt. Du bör ha ett verktygsfÀlt instÀllt och vÀntar pÄ dig. SÄ, lÄt oss börja.
PÄ den vÀnstra fliken i Kibana vÀljer du instrumentpanelssymbolen. Detta Àr den tredje frÄn toppen.
Ange delningsnamnet pÄ sökfliken
Om det finns flera moduler i en bit. En kontrollpanel kommer att skapas för var och en av dem. Men bara den som har modulen aktiv kommer att visa icke-tom data.
VÀlj den som har namnet pÄ din modul.
Detta Àr huvudmallen PacketBeat.
Detta Àr kontrollpanelen för nÀtverksströmmar. Det kommer att berÀtta för oss om inkommande och utgÄende paket, IP-adresskÀllor och destinationer, och kommer ocksÄ att ge mycket anvÀndbar information för sÀkerhetscenteranalytikern.
3 - Skapa dina första instrumentpaneler
3â1- GrundlĂ€ggande begrepp
A- Instrumentpaneltyper:
Det hÀr Àr de olika typerna av visualiseringar du kan anvÀnda för att visualisera dina data.
vi har till exempel:
- stapeldiagram
- Karta
- Markdown-widget
- Cirkeldiagram
B- KQL (Kibana Query Language):
Detta Àr sprÄket som anvÀnds i Kibana för att göra data lÀtt att söka. Detta lÄter dig kontrollera om vissa data finns och mÄnga andra anvÀndbara funktioner. För att lÀra dig mer kan du kolla in informationen pÄ den hÀr lÀnken
Detta Àr ett exempel pÄ en begÀran om att hitta en vÀrd med ett system Windows 10 proffs.
C- Filter:
Den hÀr funktionen lÄter dig filtrera specifika parametrar som vÀrdnamn, hÀndelsekod eller ID, etc. Filter kommer att avsevÀrt förbÀttra undersökningsfasen nÀr det gÀller tid och anstrÀngning för att hitta ledtrÄdar.
D- Första visualiseringen:
LÄt oss skapa en visualisering för MITER ATT & CK.
Först mĂ„ste vi gĂ„ till Instrumentpanel â Skapa ny instrumentpanelâ skapa ny â Paj-instrumentpanel
StÀll in typen för indexmönstret och tryck sedan pÄ namnet pÄ ditt slag.
Tryck pÄ Enter. Vid det hÀr laget bör du se en grön munk.
PÄ fliken Buckets till vÀnster hittar du:
â Delade skivor kommer att dela munken i olika delar beroende pĂ„ spridningen av data.
- Split Chart skapar en annan munk bredvid den hÀr.
Vi kommer att anvÀnda delade skivor.
Vi kommer att visualisera vÄr data beroende pÄ vilken term vi vÀljer. I detta fall skulle termen syfta pÄ MITRE ATT&CK.
I Winlogbeat heter fÀltet som ger oss denna information:
winlog.event_data.RuleNameVi kommer att stÀlla in ett rÀknemÄtt för att bestÀlla hÀndelser baserat pÄ antalet gÄnger de intrÀffar.
Aktivera funktionen "Gruppera andra vÀrden i ett separat segment".
Detta kommer att vara anvÀndbart om termerna du vÀljer har mÄnga olika betydelser som kommer frÄn rytmen. Detta hjÀlper till att visualisera resten av datan som en helhet. Detta ger dig en uppfattning om andelen ÄterstÄende hÀndelser.
Nu nÀr vi har stÀllt in datafliken, lÄt oss gÄ vidare till fliken alternativ
Du mÄste göra följande:
**Ta bort munkformen sÄ att visualiseringen visar en hel cirkel.
** VÀlj den förklaringsposition du gillar. I det hÀr fallet kommer vi att visa dem till höger.
** StÀll in visningsvÀrdena sÄ att de visas bredvid deras utdrag för enklare lÀsning, och lÀmna resten som standard
Trunkering avgör hur mycket av hÀndelsenamnet du vill visa.
StÀll in nÀr du vill att visualiseringen ska starta och klicka sedan pÄ den blÄ fyrkanten.
Du borde fÄ nÄgot sÄnt hÀr:
Du kan ocksÄ lÀgga till ett filter i din visualisering för att filtrera bort en specifik vÀrd som du vill kontrollera, eller parametrar som du tror Àr anvÀndbara för ditt ÀndamÄl. Visualiseringen visar bara data som matchar regeln som placerats i filtret. I det hÀr fallet kommer vi att visa MITER ATT&CK-data som endast kommer frÄn vÀrden som heter win10.
3â2- Skapa din första instrumentpanel:
En instrumentpanel Àr en samling av flera visualiseringar. Dina instrumentpaneler bör vara tydliga, begripliga och innehÄlla anvÀndbar, deterministisk data. HÀr Àr ett exempel pÄ instrumentpanelerna vi byggde frÄn grunden för winlogbeat.
Tack för din tid. Jag hoppas att du tyckte att den hÀr artikeln var till hjÀlp. Om du vill fÄ mer detaljerad information om detta Àmne rekommenderar vi att du besöker .
Telegramchatt pÄ Elasticsearch:
KĂ€lla: will.com
