புரோஹோஸ்டர் > Блог > நிர்வாகம் > ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

இந்த இடுகை ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தலை அமைப்பதை விவரிக்கும்
கட்டுரை பின்வரும் பிரிவுகளாக பிரிக்கப்பட்டுள்ளது:

1- ELK SIEM மதிப்பாய்வு
2- இயல்புநிலை டாஷ்போர்டுகள்
3- உங்கள் முதல் டாஷ்போர்டுகளை உருவாக்குதல்

அனைத்து இடுகைகளின் உள்ளடக்க அட்டவணை.

1-ELK SIEM மதிப்பாய்வு

ELK SIEM சமீபத்தில் ஜூன் 7.2, 25 அன்று பதிப்பு 2019 இல் எல்க் ஸ்டேக்கில் சேர்க்கப்பட்டது.

இது elastic.co ஆல் உருவாக்கப்பட்ட ஒரு SIEM தீர்வாகும், இது ஒரு பாதுகாப்பு ஆய்வாளரின் வாழ்க்கையை மிகவும் எளிதாகவும் குறைவான சோர்வாகவும் மாற்றுகிறது.

எங்கள் பதிப்பில், எங்கள் சொந்த SIEM ஐ உருவாக்கி எங்கள் சொந்த கட்டுப்பாட்டுப் பலகத்தைத் தேர்வுசெய்ய முடிவு செய்தோம்.

ஆனால் முதலில் ELK SIEM ஐ ஆராய்வது முக்கியம் என்று நாங்கள் நினைக்கிறோம்.

1.1- ஹோஸ்ட் நிகழ்வுகள் பிரிவு

முதலில் ஹோஸ்ட் பகுதியைப் பார்ப்போம். இறுதிப் புள்ளியிலேயே உருவாக்கப்படும் நிகழ்வுகளைக் காண ஹோஸ்ட் பிரிவு உங்களை அனுமதிக்கும்.

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

வியூ ஹோஸ்ட்களைக் கிளிக் செய்த பிறகு, இதுபோன்ற ஒன்றை நீங்கள் பெற வேண்டும். நீங்கள் பார்க்க முடியும் என, இந்த கணினியில் மூன்று ஹோஸ்ட்கள் இணைக்கப்பட்டுள்ளன:

1 விண்டோஸ் 10.

2 உபுண்டு சர்வர் 18.04.

எங்களிடம் பல காட்சிப்படுத்தல்கள் காட்டப்பட்டுள்ளன, ஒவ்வொன்றும் வெவ்வேறு வகையான நிகழ்வுகளைக் குறிக்கும்.

எடுத்துக்காட்டாக, நடுவில் உள்ள ஒன்று மூன்று கணினிகளிலும் உள்நுழைவு தரவைக் காட்டுகிறது.

நீங்கள் இங்கு பார்க்கும் இந்தத் தரவு ஐந்து நாட்களில் சேகரிக்கப்பட்டது. இது அதிக எண்ணிக்கையிலான தோல்வியுற்ற மற்றும் வெற்றிகரமான உள்நுழைவுகளை விளக்குகிறது. உங்களிடம் சிறிய எண்ணிக்கையிலான பதிவுகள் இருக்கலாம், எனவே கவலைப்பட வேண்டாம்

1.2- நெட்வொர்க் நிகழ்வுகள் பிரிவு

நெட்வொர்க் பிரிவுக்குச் செல்லும்போது, ​​​​இது போன்ற ஒன்றை நீங்கள் பெற வேண்டும். HTTP/TLS ட்ராஃபிக் முதல் DNS டிராஃபிக் மற்றும் வெளிப்புற நிகழ்வு விழிப்பூட்டல்கள் வரை உங்கள் நெட்வொர்க்கில் நடக்கும் அனைத்தையும் உன்னிப்பாகக் கண்காணிக்க இந்தப் பிரிவு உங்களை அனுமதிக்கும்.

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

2- இயல்புநிலை டாஷ்போர்டுகள்

பயனர்களுக்கு வாழ்க்கையை எளிதாக்க, elastic.co டெவலப்பர்கள் ELK ஆல் அதிகாரப்பூர்வமாக ஆதரிக்கப்படும் இயல்புநிலை கருவிப்பட்டியை உருவாக்கியுள்ளனர். எங்கள் அடிகளும் இந்த விதிக்கு விதிவிலக்கல்ல. இங்கே நான் Packetbeat இன் இயல்புநிலை டாஷ்போர்டுகளை உதாரணமாகப் பயன்படுத்துகிறேன்.

கட்டுரையின் இரண்டாவது படியை நீங்கள் சரியாகப் பின்பற்றினால். உங்களுக்காக ஒரு கருவிப்பட்டியை அமைக்க வேண்டும். எனவே ஆரம்பிக்கலாம்.

கிபானாவின் இடது தாவலில் இருந்து, டாஷ்போர்டு சின்னத்தைத் தேர்ந்தெடுக்கவும். மேலே இருந்து எண்ணினால் இது மூன்றாவது.

தேடல் தாவலில் பங்கு பெயரை உள்ளிடவும்

பிட்டில் பல தொகுதிகள் இருந்தால். அவை ஒவ்வொன்றிற்கும் ஒரு கட்டுப்பாட்டு குழு உருவாக்கப்படும். ஆனால் செயலில் உள்ள தொகுதி மட்டுமே காலியாக இல்லாத தரவைக் காண்பிக்கும்.

உங்கள் தொகுதி பெயருடன் ஒன்றைத் தேர்ந்தெடுக்கவும்.

இது முக்கிய டெம்ப்ளேட் PacketBeat.

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

இது நெட்வொர்க் ஃப்ளோ கண்ட்ரோல் பேனல். இது உள்வரும் மற்றும் வெளிச்செல்லும் பாக்கெட், IP முகவரிகளின் ஆதாரங்கள் மற்றும் சேருமிடங்களைப் பற்றி எங்களுக்குத் தெரிவிக்கும், மேலும் பாதுகாப்பு மைய ஆய்வாளருக்கு பல பயனுள்ள தகவல்களையும் வழங்குகிறது.

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

3 — உங்கள் முதல் டாஷ்போர்டுகளை உருவாக்குதல்

3-1- அடிப்படைக் கருத்துக்கள்

A- டேஷ்போர்டுகளின் வகைகள்:

உங்கள் தரவைக் காட்சிப்படுத்த நீங்கள் பயன்படுத்தக்கூடிய பல்வேறு வகையான காட்சிப்படுத்தல்கள் இவை.

உதாரணமாக எங்களிடம் உள்ளது:

  • சட்ட வரைபடம்
  • வரைபடம்
  • மார்க் டவுன் விட்ஜெட்
  • பை விளக்கப்படம்

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

B- KQL (கிபானா வினவல் மொழி):

தரவுகளை எளிதாகத் தேடுவதற்கு கிபானாவில் பயன்படுத்தப்படும் மொழி இதுவாகும். குறிப்பிட்ட தரவு உள்ளதா மற்றும் பல பயனுள்ள அம்சங்கள் உள்ளதா என்பதைச் சரிபார்க்க இது உங்களை அனுமதிக்கிறது. மேலும் அறிய, இந்த இணைப்பில் உள்ள தகவலை நீங்கள் ஆராயலாம்

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

விண்டோஸ் 10 ப்ரோவில் இயங்கும் ஹோஸ்ட்டைக் கண்டறிய இது ஒரு எடுத்துக்காட்டு வினவல்.

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

சி- வடிகட்டிகள்:

இந்த அம்சம், ஹோஸ்ட்பெயர், நிகழ்வுக் குறியீடு அல்லது ஐடி போன்ற சில அளவுருக்களை வடிகட்ட உங்களை அனுமதிக்கும். ஆதாரங்களைத் தேடுவதற்கு செலவிடும் நேரம் மற்றும் முயற்சியின் அடிப்படையில் வடிப்பான்கள் விசாரணைக் கட்டத்தை பெரிதும் மேம்படுத்தும்.

D- முதல் காட்சிப்படுத்தல்:

MITER ATT & CK க்கான காட்சிப்படுத்தலை உருவாக்குவோம்.

முதலில் நாம் செல்ல வேண்டும் டாஷ்போர்டு → புதிய டாஷ்போர்டை உருவாக்கவும் →புதிய → பை டாஷ்போர்டை உருவாக்கவும்

இன்டெக்ஸ் பேட்டர்னுக்கான வகையை அமைத்து, உங்கள் பீட்டின் பெயரைத் தட்டவும்.

Enter ஐ அழுத்தவும். இப்போது நீங்கள் ஒரு பச்சை டோனட்டைப் பார்க்க வேண்டும்.

இடதுபுறத்தில் உள்ள பக்கெட்ஸ் தாவலில் நீங்கள் காண்பீர்கள்:

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

— ஸ்பிலிட் ஸ்லைஸ்கள் தரவு பரவலைப் பொறுத்து டோனட்டை வெவ்வேறு பகுதிகளாகப் பிரிக்கும்.

- பிளவு விளக்கப்படம் இதற்கு அடுத்ததாக மற்றொரு டோனட்டை உருவாக்கும்.

நாங்கள் பிளவு துண்டுகளைப் பயன்படுத்துவோம்.

நாம் தேர்ந்தெடுக்கும் காலத்தைப் பொறுத்து எங்கள் தரவைக் காட்சிப்படுத்துவோம். இந்த வழக்கில் சொல் MITER ATT & CK ஐக் குறிக்கும்.

Winlogbeat இல், இந்தத் தகவலை எங்களுக்கு வழங்கும் புலம் அழைக்கப்படுகிறது:

winlog.event_data.RuleName

நிகழ்வுகளின் எண்ணிக்கையின் அடிப்படையில் நிகழ்வுகளை வரிசைப்படுத்த, எண்ணிக்கை அளவீட்டை அமைப்போம்.

"பிற மதிப்புகளை ஒரு தனி பிரிவில் குழுவாக்கு" அம்சத்தை இயக்கவும்.

நீங்கள் தேர்ந்தெடுக்கும் சொற்கள் தாளத்தின் அடிப்படையில் பல்வேறு அர்த்தங்களைக் கொண்டிருந்தால் இது பயனுள்ளதாக இருக்கும். இது மீதமுள்ள தரவை ஒட்டுமொத்தமாகக் காட்சிப்படுத்த உதவுகிறது. இது மீதமுள்ள நிகழ்வுகளின் சதவீதத்தைப் பற்றிய யோசனையை உங்களுக்கு வழங்கும்.

இப்போது தரவுத் தாவலை அமைத்து முடித்துவிட்டோம், விருப்பங்கள் தாவலுக்குச் செல்லலாம்

நீங்கள் பின்வருவனவற்றைச் செய்ய வேண்டும்:

** டோனட் வடிவத்தை அகற்றவும், அதனால் ரெண்டரிங் முழு வட்டத்தைக் காட்டுகிறது.

** நீங்கள் விரும்பும் லெஜண்ட் நிலையை தேர்வு செய்யவும். இந்த வழக்கில், அவற்றை வலதுபுறத்தில் காண்பிப்போம்.

** எளிதாகப் படிக்க, அவற்றின் துணுக்கிற்கு அடுத்ததாக காட்சி மதிப்புகளை அமைக்கவும், மீதமுள்ளவற்றை இயல்புநிலையாக விடவும்

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

நிகழ்வின் பெயரிலிருந்து நீங்கள் எவ்வளவு காட்ட விரும்புகிறீர்கள் என்பதை துண்டித்தல் தீர்மானிக்கிறது.

நீங்கள் ரெண்டரிங் தொடங்க விரும்பும் நேரத்தை அமைக்கவும், பின்னர் நீல சதுரத்தில் கிளிக் செய்யவும்.

இது போன்ற ஒன்றை நீங்கள் முடிக்க வேண்டும்:

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

நீங்கள் சரிபார்க்க விரும்பும் குறிப்பிட்ட ஹோஸ்ட் அல்லது உங்கள் நோக்கத்திற்கு பயனுள்ளதாக இருக்கும் என நீங்கள் நினைக்கும் எந்த அளவுருக்களையும் வடிகட்ட உங்கள் காட்சிப்படுத்தலில் வடிப்பானைச் சேர்க்கலாம். வடிப்பானில் வைக்கப்பட்டுள்ள விதியுடன் பொருந்தக்கூடிய தரவை மட்டுமே காட்சிப்படுத்தல் காண்பிக்கும். இந்த நிலையில், win10 என்ற ஹோஸ்டில் இருந்து வரும் MITER ATT&CK தரவை மட்டுமே காண்பிப்போம்.

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

3-2- உங்கள் முதல் டாஷ்போர்டை உருவாக்குதல்:

டாஷ்போர்டு என்பது பல காட்சிப்படுத்தல்களின் தொகுப்பாகும். உங்கள் டாஷ்போர்டுகள் தெளிவாகவும், புரிந்துகொள்ளக்கூடியதாகவும், பயனுள்ள, உறுதியான தரவையும் கொண்டிருக்க வேண்டும். வின்லாக்பீட்டிற்காக புதிதாக நாங்கள் உருவாக்கிய டாஷ்போர்டுகளின் உதாரணம் இதோ.

ELK SIEM திறந்த டிஸ்ட்ரோ: ELK இல் ELK மற்றும் SIEM டாஷ்போர்டுகளின் காட்சிப்படுத்தல்

உங்கள் நேரத்திற்கு நன்றி. இந்த கட்டுரை உங்களுக்கு பயனுள்ளதாக இருந்தது என்று நம்புகிறேன். தலைப்பைப் பற்றிய கூடுதல் தகவல்களை நீங்கள் விரும்பினால், நீங்கள் பார்வையிட பரிந்துரைக்கிறோம் அதிகாரப்பூர்வ வலைத்தளம்.

மீள் தேடலில் டெலிகிராம் அரட்டை: https://t.me/elasticsearch_ru

ஆதாரம்: www.habr.com

கருத்தைச் சேர்