ELK SIEM சமீபத்தில் ஜூன் 7.2, 25 அன்று பதிப்பு 2019 இல் எல்க் ஸ்டேக்கில் சேர்க்கப்பட்டது.
இது elastic.co ஆல் உருவாக்கப்பட்ட ஒரு SIEM தீர்வாகும், இது ஒரு பாதுகாப்பு ஆய்வாளரின் வாழ்க்கையை மிகவும் எளிதாகவும் குறைவான சோர்வாகவும் மாற்றுகிறது.
எங்கள் பதிப்பில், எங்கள் சொந்த SIEM ஐ உருவாக்கி எங்கள் சொந்த கட்டுப்பாட்டுப் பலகத்தைத் தேர்வுசெய்ய முடிவு செய்தோம்.
ஆனால் முதலில் ELK SIEM ஐ ஆராய்வது முக்கியம் என்று நாங்கள் நினைக்கிறோம்.
1.1- ஹோஸ்ட் நிகழ்வுகள் பிரிவு
முதலில் ஹோஸ்ட் பகுதியைப் பார்ப்போம். இறுதிப் புள்ளியிலேயே உருவாக்கப்படும் நிகழ்வுகளைக் காண ஹோஸ்ட் பிரிவு உங்களை அனுமதிக்கும்.
வியூ ஹோஸ்ட்களைக் கிளிக் செய்த பிறகு, இதுபோன்ற ஒன்றை நீங்கள் பெற வேண்டும். நீங்கள் பார்க்க முடியும் என, இந்த கணினியில் மூன்று ஹோஸ்ட்கள் இணைக்கப்பட்டுள்ளன:
1 விண்டோஸ் 10.
2 உபுண்டு சர்வர் 18.04.
எங்களிடம் பல காட்சிப்படுத்தல்கள் காட்டப்பட்டுள்ளன, ஒவ்வொன்றும் வெவ்வேறு வகையான நிகழ்வுகளைக் குறிக்கும்.
எடுத்துக்காட்டாக, நடுவில் உள்ள ஒன்று மூன்று கணினிகளிலும் உள்நுழைவு தரவைக் காட்டுகிறது.
நீங்கள் இங்கு பார்க்கும் இந்தத் தரவு ஐந்து நாட்களில் சேகரிக்கப்பட்டது. இது அதிக எண்ணிக்கையிலான தோல்வியுற்ற மற்றும் வெற்றிகரமான உள்நுழைவுகளை விளக்குகிறது. உங்களிடம் சிறிய எண்ணிக்கையிலான பதிவுகள் இருக்கலாம், எனவே கவலைப்பட வேண்டாம்
1.2- நெட்வொர்க் நிகழ்வுகள் பிரிவு
நெட்வொர்க் பிரிவுக்குச் செல்லும்போது, இது போன்ற ஒன்றை நீங்கள் பெற வேண்டும். HTTP/TLS ட்ராஃபிக் முதல் DNS டிராஃபிக் மற்றும் வெளிப்புற நிகழ்வு விழிப்பூட்டல்கள் வரை உங்கள் நெட்வொர்க்கில் நடக்கும் அனைத்தையும் உன்னிப்பாகக் கண்காணிக்க இந்தப் பிரிவு உங்களை அனுமதிக்கும்.
2- இயல்புநிலை டாஷ்போர்டுகள்
பயனர்களுக்கு வாழ்க்கையை எளிதாக்க, elastic.co டெவலப்பர்கள் ELK ஆல் அதிகாரப்பூர்வமாக ஆதரிக்கப்படும் இயல்புநிலை கருவிப்பட்டியை உருவாக்கியுள்ளனர். எங்கள் அடிகளும் இந்த விதிக்கு விதிவிலக்கல்ல. இங்கே நான் Packetbeat இன் இயல்புநிலை டாஷ்போர்டுகளை உதாரணமாகப் பயன்படுத்துகிறேன்.
கட்டுரையின் இரண்டாவது படியை நீங்கள் சரியாகப் பின்பற்றினால். உங்களுக்காக ஒரு கருவிப்பட்டியை அமைக்க வேண்டும். எனவே ஆரம்பிக்கலாம்.
கிபானாவின் இடது தாவலில் இருந்து, டாஷ்போர்டு சின்னத்தைத் தேர்ந்தெடுக்கவும். மேலே இருந்து எண்ணினால் இது மூன்றாவது.
தேடல் தாவலில் பங்கு பெயரை உள்ளிடவும்
பிட்டில் பல தொகுதிகள் இருந்தால். அவை ஒவ்வொன்றிற்கும் ஒரு கட்டுப்பாட்டு குழு உருவாக்கப்படும். ஆனால் செயலில் உள்ள தொகுதி மட்டுமே காலியாக இல்லாத தரவைக் காண்பிக்கும்.
உங்கள் தொகுதி பெயருடன் ஒன்றைத் தேர்ந்தெடுக்கவும்.
இது முக்கிய டெம்ப்ளேட் PacketBeat.
இது நெட்வொர்க் ஃப்ளோ கண்ட்ரோல் பேனல். இது உள்வரும் மற்றும் வெளிச்செல்லும் பாக்கெட், IP முகவரிகளின் ஆதாரங்கள் மற்றும் சேருமிடங்களைப் பற்றி எங்களுக்குத் தெரிவிக்கும், மேலும் பாதுகாப்பு மைய ஆய்வாளருக்கு பல பயனுள்ள தகவல்களையும் வழங்குகிறது.
3 — உங்கள் முதல் டாஷ்போர்டுகளை உருவாக்குதல்
3-1- அடிப்படைக் கருத்துக்கள்
A- டேஷ்போர்டுகளின் வகைகள்:
உங்கள் தரவைக் காட்சிப்படுத்த நீங்கள் பயன்படுத்தக்கூடிய பல்வேறு வகையான காட்சிப்படுத்தல்கள் இவை.
உதாரணமாக எங்களிடம் உள்ளது:
சட்ட வரைபடம்
வரைபடம்
மார்க் டவுன் விட்ஜெட்
பை விளக்கப்படம்
B- KQL (கிபானா வினவல் மொழி):
தரவுகளை எளிதாகத் தேடுவதற்கு கிபானாவில் பயன்படுத்தப்படும் மொழி இதுவாகும். குறிப்பிட்ட தரவு உள்ளதா மற்றும் பல பயனுள்ள அம்சங்கள் உள்ளதா என்பதைச் சரிபார்க்க இது உங்களை அனுமதிக்கிறது. மேலும் அறிய, இந்த இணைப்பில் உள்ள தகவலை நீங்கள் ஆராயலாம்
விண்டோஸ் 10 ப்ரோவில் இயங்கும் ஹோஸ்ட்டைக் கண்டறிய இது ஒரு எடுத்துக்காட்டு வினவல்.
சி- வடிகட்டிகள்:
இந்த அம்சம், ஹோஸ்ட்பெயர், நிகழ்வுக் குறியீடு அல்லது ஐடி போன்ற சில அளவுருக்களை வடிகட்ட உங்களை அனுமதிக்கும். ஆதாரங்களைத் தேடுவதற்கு செலவிடும் நேரம் மற்றும் முயற்சியின் அடிப்படையில் வடிப்பான்கள் விசாரணைக் கட்டத்தை பெரிதும் மேம்படுத்தும்.
D- முதல் காட்சிப்படுத்தல்:
MITER ATT & CK க்கான காட்சிப்படுத்தலை உருவாக்குவோம்.
முதலில் நாம் செல்ல வேண்டும் டாஷ்போர்டு → புதிய டாஷ்போர்டை உருவாக்கவும் →புதிய → பை டாஷ்போர்டை உருவாக்கவும்
இன்டெக்ஸ் பேட்டர்னுக்கான வகையை அமைத்து, உங்கள் பீட்டின் பெயரைத் தட்டவும்.
Enter ஐ அழுத்தவும். இப்போது நீங்கள் ஒரு பச்சை டோனட்டைப் பார்க்க வேண்டும்.
இடதுபுறத்தில் உள்ள பக்கெட்ஸ் தாவலில் நீங்கள் காண்பீர்கள்:
— ஸ்பிலிட் ஸ்லைஸ்கள் தரவு பரவலைப் பொறுத்து டோனட்டை வெவ்வேறு பகுதிகளாகப் பிரிக்கும்.
- பிளவு விளக்கப்படம் இதற்கு அடுத்ததாக மற்றொரு டோனட்டை உருவாக்கும்.
நாங்கள் பிளவு துண்டுகளைப் பயன்படுத்துவோம்.
நாம் தேர்ந்தெடுக்கும் காலத்தைப் பொறுத்து எங்கள் தரவைக் காட்சிப்படுத்துவோம். இந்த வழக்கில் சொல் MITER ATT & CK ஐக் குறிக்கும்.
Winlogbeat இல், இந்தத் தகவலை எங்களுக்கு வழங்கும் புலம் அழைக்கப்படுகிறது:
winlog.event_data.RuleName
நிகழ்வுகளின் எண்ணிக்கையின் அடிப்படையில் நிகழ்வுகளை வரிசைப்படுத்த, எண்ணிக்கை அளவீட்டை அமைப்போம்.
"பிற மதிப்புகளை ஒரு தனி பிரிவில் குழுவாக்கு" அம்சத்தை இயக்கவும்.
நீங்கள் தேர்ந்தெடுக்கும் சொற்கள் தாளத்தின் அடிப்படையில் பல்வேறு அர்த்தங்களைக் கொண்டிருந்தால் இது பயனுள்ளதாக இருக்கும். இது மீதமுள்ள தரவை ஒட்டுமொத்தமாகக் காட்சிப்படுத்த உதவுகிறது. இது மீதமுள்ள நிகழ்வுகளின் சதவீதத்தைப் பற்றிய யோசனையை உங்களுக்கு வழங்கும்.
இப்போது தரவுத் தாவலை அமைத்து முடித்துவிட்டோம், விருப்பங்கள் தாவலுக்குச் செல்லலாம்
நீங்கள் பின்வருவனவற்றைச் செய்ய வேண்டும்:
** டோனட் வடிவத்தை அகற்றவும், அதனால் ரெண்டரிங் முழு வட்டத்தைக் காட்டுகிறது.
** நீங்கள் விரும்பும் லெஜண்ட் நிலையை தேர்வு செய்யவும். இந்த வழக்கில், அவற்றை வலதுபுறத்தில் காண்பிப்போம்.
** எளிதாகப் படிக்க, அவற்றின் துணுக்கிற்கு அடுத்ததாக காட்சி மதிப்புகளை அமைக்கவும், மீதமுள்ளவற்றை இயல்புநிலையாக விடவும்
நிகழ்வின் பெயரிலிருந்து நீங்கள் எவ்வளவு காட்ட விரும்புகிறீர்கள் என்பதை துண்டித்தல் தீர்மானிக்கிறது.
நீங்கள் ரெண்டரிங் தொடங்க விரும்பும் நேரத்தை அமைக்கவும், பின்னர் நீல சதுரத்தில் கிளிக் செய்யவும்.
இது போன்ற ஒன்றை நீங்கள் முடிக்க வேண்டும்:
நீங்கள் சரிபார்க்க விரும்பும் குறிப்பிட்ட ஹோஸ்ட் அல்லது உங்கள் நோக்கத்திற்கு பயனுள்ளதாக இருக்கும் என நீங்கள் நினைக்கும் எந்த அளவுருக்களையும் வடிகட்ட உங்கள் காட்சிப்படுத்தலில் வடிப்பானைச் சேர்க்கலாம். வடிப்பானில் வைக்கப்பட்டுள்ள விதியுடன் பொருந்தக்கூடிய தரவை மட்டுமே காட்சிப்படுத்தல் காண்பிக்கும். இந்த நிலையில், win10 என்ற ஹோஸ்டில் இருந்து வரும் MITER ATT&CK தரவை மட்டுமே காண்பிப்போம்.
3-2- உங்கள் முதல் டாஷ்போர்டை உருவாக்குதல்:
டாஷ்போர்டு என்பது பல காட்சிப்படுத்தல்களின் தொகுப்பாகும். உங்கள் டாஷ்போர்டுகள் தெளிவாகவும், புரிந்துகொள்ளக்கூடியதாகவும், பயனுள்ள, உறுதியான தரவையும் கொண்டிருக்க வேண்டும். வின்லாக்பீட்டிற்காக புதிதாக நாங்கள் உருவாக்கிய டாஷ்போர்டுகளின் உதாரணம் இதோ.
உங்கள் நேரத்திற்கு நன்றி. இந்த கட்டுரை உங்களுக்கு பயனுள்ளதாக இருந்தது என்று நம்புகிறேன். தலைப்பைப் பற்றிய கூடுதல் தகவல்களை நீங்கள் விரும்பினால், நீங்கள் பார்வையிட பரிந்துரைக்கிறோம் அதிகாரப்பூர்வ வலைத்தளம்.