Chapisho hili litaelezea kusanidi taswira ya dashibodi za ELK na SIEM katika ELK
Nakala hiyo imegawanywa katika sehemu zifuatazo:
1- Tathmini ya ELK SIEM
2- Dashibodi chaguomsingi
3- Kuunda dashibodi zako za kwanza
Jedwali la yaliyomo katika machapisho yote.
- Kuunganishwa na WAZUH
- Kutahadharisha
- Kuripoti
- Usimamizi wa Uchunguzi
Tathmini ya 1-ELK SIEM
ELK SIEM iliongezwa hivi majuzi kwenye safu ya elk katika toleo la 7.2 mnamo Juni 25, 2019.
Hili ni suluhisho la SIEM iliyoundwa na elastic.co ili kufanya maisha ya mchambuzi wa usalama kuwa rahisi na yasiwe ya kuchosha.
Katika toleo letu la kazi, tuliamua kuunda SIEM yetu wenyewe na kuchagua paneli yetu ya udhibiti.
Lakini tunafikiri ni muhimu kuchunguza ELK SIEM kwanza.
1.1- Sehemu ya matukio ya mwenyeji
Tutaangalia sehemu ya mwenyeji kwanza. Sehemu ya mwenyeji itakuruhusu kuona matukio ambayo yanatolewa kwenye sehemu ya mwisho yenyewe.
Baada ya kubofya kutazama majeshi unapaswa kupata kitu kama hiki. Kama unaweza kuona, kuna seva tatu zilizounganishwa kwenye kompyuta hii:
1 Windows 10.
2 Ubuntu Server 18.04.
Tuna taswira kadhaa zinazoonyeshwa, kila moja ikiwakilisha aina tofauti za matukio.
Kwa mfano, moja katikati inaonyesha data ya kuingia kwenye mashine zote tatu.
Kiasi hiki cha data unachokiona hapa kilikusanywa kwa siku tano. Hii inaelezea idadi kubwa ya walioshindwa kuingia na waliofaulu. Labda utakuwa na idadi ndogo ya magogo, kwa hivyo usijali
1.2- Sehemu ya matukio ya mtandao
Kuhamia kwenye sehemu ya mtandao, unapaswa kupata kitu kama hiki. Sehemu hii itakuruhusu kufuatilia kwa karibu kila kitu kinachotokea kwenye mtandao wako, kuanzia trafiki ya HTTP/TLS hadi trafiki ya DNS na arifa za matukio ya nje.
2- Dashibodi chaguomsingi
Ili kurahisisha maisha ya watumiaji, wasanidi wa elastic.co wameunda upau wa vidhibiti chaguo-msingi unaoungwa mkono rasmi na ELK. Mapigo yetu hayakuwa ubaguzi kwa sheria hii. Hapa nitatumia dashibodi chaguo-msingi za Packetbeat kama mfano.
Ikiwa ulifuata hatua ya pili ya kifungu kwa usahihi. Unapaswa kuwa na upau wa vidhibiti ukiwa unakungoja. Basi hebu tuanze.
Kutoka kwa kichupo cha kushoto cha Kibana, chagua ishara ya dashibodi. Hii ni ya tatu, ikiwa unahesabu kutoka juu.
Ingiza jina la kushiriki kwenye kichupo cha utafutaji
Ikiwa kuna moduli kadhaa kwenye bit. Jopo la kudhibiti litaundwa kwa kila mmoja wao. Lakini ni moja tu iliyo na moduli inayotumika itaonyesha data isiyo tupu.
Chagua moja yenye jina la moduli yako.
Hii ndio template kuu PacketBeat.
Hii ni paneli ya kudhibiti mtiririko wa mtandao. Itatuambia kuhusu pakiti zinazoingia na zinazotoka, vyanzo na maeneo ya anwani za IP, na pia hutoa habari nyingi muhimu kwa mchambuzi wa kituo cha usalama.
3 - Kuunda dashibodi zako za kwanza
3β1- Dhana za Msingi
A- Aina za dashibodi:
Hizi ndizo aina tofauti za taswira ambazo unaweza kutumia kuibua data yako.
kwa mfano tunayo:
- grafu ya baa
- ramani
- Wijeti ya Markdown
- Jedwali la mdwara
B- KQL (Lugha ya Maswali ya Kibana):
Hii ndiyo lugha inayotumika Kibana kwa utafutaji rahisi wa data. Inakuruhusu kuangalia ikiwa data fulani ipo na vipengele vingine vingi muhimu. Ili kujua zaidi, unaweza kuchunguza habari kwenye kiungo hiki
Hili ni swali la mfano kupata mwenyeji anayeendesha Windows 10 pro.
Vichujio vya C:
Kipengele hiki kitakuruhusu kuchuja vigezo fulani kama vile jina la mpangishaji, msimbo wa tukio au kitambulisho, n.k. Vichujio vitaboresha sana awamu ya uchunguzi kulingana na muda na juhudi zinazotumiwa kutafuta ushahidi.
D- taswira ya kwanza:
Hebu tuunde taswira ya MITER ATT na CK.
Kwanza tunahitaji kwenda Dashibodi β Unda dashibodi mpyaβunda mpya βDashibodi ya pai
Weka aina ya mchoro wa faharasa, kisha uguse jina la mpigo wako.
Bonyeza Enter. Kwa sasa unapaswa kuona donut ya kijani.
Kwenye kichupo cha Ndoo upande wa kushoto utapata:
- Kugawanya vipande kutagawanya donati katika sehemu tofauti kulingana na kuenea kwa data.
- Chati ya Mgawanyiko itaunda donati nyingine karibu na hii.
Tutatumia vipande vilivyogawanyika.
Tutaonyesha data yetu kulingana na neno tunalochagua. Katika hali hii neno litarejelea MITER ATT & CK.
Katika Winlogbeat, sehemu ambayo itatupatia habari hii inaitwa:
winlog.event_data.RuleNameTutaweka kipimo cha kuhesabu matukio ili kuagiza matukio kulingana na mara ambayo yanatokea.
Washa kipengele cha "Panga maadili mengine katika sehemu tofauti".
Hii itakuwa muhimu ikiwa maneno unayochagua yana maana nyingi tofauti kulingana na mdundo. Hii husaidia kuibua data iliyosalia kwa ujumla. Hii itakupa wazo la asilimia ya matukio yaliyosalia.
Sasa kwa kuwa tumemaliza kusanidi kichupo cha data, hebu tuendelee kwenye kichupo cha chaguo
Lazima ufanye yafuatayo:
**Ondoa umbo la donati ili uwasilishaji uonyeshe mduara kamili.
**Chagua nafasi ya hekaya unayopenda. Katika kesi hii, tutawaonyesha upande wa kulia.
**Weka thamani za onyesho ili zionyeshe kando ya kijisehemu chao kwa usomaji rahisi na uwache vingine kama chaguomsingi
Ukataji huamua ni kiasi gani unataka kuonyesha kutoka kwa jina la tukio.
Weka muda ambao ungependa uwasilishaji uanze, kisha ubofye mraba wa samawati.
Unapaswa kuishia na kitu kama hiki:
Unaweza pia kuongeza kichujio kwenye taswira yako ili kuchuja seva pangishi mahususi unayotaka kuangalia au vigezo vyovyote unavyofikiri vinafaa kwa madhumuni yako. Taswira itaonyesha data inayolingana na sheria iliyowekwa kwenye kichujio pekee. Katika hali hii, tutaonyesha tu data ya MITER ATT&CK inayotoka kwa mwenyeji anayeitwa win10.
3-2- Kuunda dashibodi yako ya kwanza:
Dashibodi ni mkusanyiko wa taswira nyingi. Dashibodi zako zinapaswa kuwa wazi, zinazoeleweka na ziwe na data muhimu na ya kubainisha. Huu hapa ni mfano wa dashibodi tulizounda kutoka mwanzo kwa winlogbeat.
Asante kwa muda wako. Natumaini umepata makala hii kuwa ya manufaa. Ikiwa ungependa habari zaidi juu ya mada, tunapendekeza utembelee .
Gumzo la Telegraph kwenye Elasticsearch:
Chanzo: mapenzi.com