ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

ఈ పోస్ట్ ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్‌ని సెటప్ చేయడం గురించి వివరిస్తుంది
వ్యాసం క్రింది విభాగాలుగా విభజించబడింది:

1- ELK SIEM సమీక్ష
2- డిఫాల్ట్ డాష్‌బోర్డ్‌లు
3- మీ మొదటి డాష్‌బోర్డ్‌లను సృష్టిస్తోంది

అన్ని పోస్ట్‌ల విషయాల పట్టిక.

1-ELK SIEM సమీక్ష

ELK SIEM ఇటీవల జూన్ 7.2, 25న వెర్షన్ 2019లో ఎల్క్ స్టాక్‌కు జోడించబడింది.

ఇది భద్రతా విశ్లేషకుల జీవితాన్ని చాలా సులభతరం చేయడానికి మరియు తక్కువ శ్రమతో కూడుకున్నదిగా చేయడానికి elastic.co ద్వారా సృష్టించబడిన SIEM పరిష్కారం.

మా పని సంస్కరణలో, మేము మా స్వంత SIEMని సృష్టించి, మా స్వంత నియంత్రణ ప్యానెల్‌ను ఎంచుకోవాలని నిర్ణయించుకున్నాము.

అయితే ముందుగా ELK SIEMని అన్వేషించడం ముఖ్యం అని మేము భావిస్తున్నాము.

1.1- హోస్ట్ ఈవెంట్స్ విభాగం

మేము ముందుగా హోస్ట్ విభాగాన్ని చూస్తాము. హోస్ట్ విభాగం ఎండ్‌పాయింట్‌లోనే రూపొందించబడిన ఈవెంట్‌లను చూడటానికి మిమ్మల్ని అనుమతిస్తుంది.

ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

వీక్షణ హోస్ట్‌లపై క్లిక్ చేసిన తర్వాత మీరు ఇలాంటివి పొందాలి. మీరు చూడగలిగినట్లుగా, ఈ కంప్యూటర్‌కు మూడు హోస్ట్‌లు కనెక్ట్ చేయబడ్డాయి:

1 Windows 10.

2 సర్వర్ Ubuntu <span style="font-family: arial; ">10</span>

మేము అనేక విజువలైజేషన్‌లను ప్రదర్శించాము, ఒక్కొక్కటి విభిన్న రకాల ఈవెంట్‌లను సూచిస్తాయి.

ఉదాహరణకు, మధ్యలో ఉన్నది మూడు మెషీన్లలో లాగిన్ డేటాను చూపుతుంది.

మీరు ఇక్కడ చూసే ఈ మొత్తం డేటా ఐదు రోజులలో సేకరించబడింది. ఇది పెద్ద సంఖ్యలో విఫలమైన మరియు విజయవంతమైన లాగిన్‌లను వివరిస్తుంది. మీరు బహుశా తక్కువ సంఖ్యలో లాగ్‌లను కలిగి ఉండవచ్చు, కాబట్టి చింతించకండి

1.2- నెట్‌వర్క్ ఈవెంట్స్ విభాగం

నెట్‌వర్క్ విభాగానికి వెళ్లడం, మీరు ఇలాంటివి పొందాలి. HTTP/TLS ట్రాఫిక్ నుండి DNS ట్రాఫిక్ మరియు బాహ్య ఈవెంట్ హెచ్చరికల వరకు మీ నెట్‌వర్క్‌లో జరిగే ప్రతిదానిని నిశితంగా గమనించడానికి ఈ విభాగం మిమ్మల్ని అనుమతిస్తుంది.

ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

2- డిఫాల్ట్ డాష్‌బోర్డ్‌లు

వినియోగదారులకు జీవితాన్ని సులభతరం చేయడానికి, elastic.co డెవలపర్‌లు ELK ద్వారా అధికారికంగా మద్దతు ఇచ్చే డిఫాల్ట్ టూల్‌బార్‌ను సృష్టించారు. మా బీట్స్ ఈ నియమానికి మినహాయింపు కాదు. ఇక్కడ నేను ప్యాకెట్‌బీట్ డిఫాల్ట్ డ్యాష్‌బోర్డ్‌లను ఉదాహరణగా ఉపయోగిస్తాను.

మీరు వ్యాసం యొక్క రెండవ దశను సరిగ్గా అనుసరించినట్లయితే. మీరు మీ కోసం టూల్‌బార్ సెటప్‌ని కలిగి ఉండాలి. కాబట్టి ప్రారంభిద్దాం.

కిబానా యొక్క ఎడమ ట్యాబ్ నుండి, డాష్‌బోర్డ్ చిహ్నాన్ని ఎంచుకోండి. మీరు ఎగువ నుండి లెక్కించినట్లయితే ఇది మూడవది.

శోధన ట్యాబ్‌లో షేర్ పేరును నమోదు చేయండి

బిట్‌లో అనేక మాడ్యూల్స్ ఉంటే. వాటిలో ప్రతి దాని కోసం ఒక నియంత్రణ ప్యానెల్ సృష్టించబడుతుంది. కానీ మాడ్యూల్ సక్రియంగా ఉన్నది మాత్రమే ఖాళీ కాని డేటాను ప్రదర్శిస్తుంది.

మీ మాడ్యూల్ పేరుతో ఒకదాన్ని ఎంచుకోండి.

ఇది ప్రధాన టెంప్లేట్ ప్యాకెట్‌బీట్.

ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

ఇది నెట్‌వర్క్ ప్రవాహ నియంత్రణ ప్యానెల్. ఇది ఇన్‌కమింగ్ మరియు అవుట్‌గోయింగ్ ప్యాకెట్, IP చిరునామాల మూలాలు మరియు గమ్యస్థానాల గురించి మాకు తెలియజేస్తుంది మరియు భద్రతా కేంద్ర విశ్లేషకుడికి చాలా ఉపయోగకరమైన సమాచారాన్ని కూడా అందిస్తుంది.

ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

3 — మీ మొదటి డ్యాష్‌బోర్డ్‌లను సృష్టిస్తోంది

3–1- ప్రాథమిక భావనలు

A- డాష్‌బోర్డ్‌ల రకాలు:

ఇవి మీ డేటాను దృశ్యమానం చేయడానికి మీరు ఉపయోగించే వివిధ రకాల విజువలైజేషన్‌లు.

ఉదాహరణకు మనకు ఉన్నాయి:

  • బార్ గ్రాఫ్
  • చిహ్నం
  • మార్క్‌డౌన్ విడ్జెట్
  • పై చార్ట్

ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

B- KQL (కిబానా ప్రశ్న భాష):

డేటాను సులభంగా శోధించడానికి కిబానాలో ఉపయోగించే భాష ఇది. నిర్దిష్ట డేటా మరియు అనేక ఇతర ఉపయోగకరమైన ఫీచర్లు ఉన్నాయో లేదో తనిఖీ చేయడానికి ఇది మిమ్మల్ని అనుమతిస్తుంది. మరింత తెలుసుకోవడానికి, మీరు ఈ లింక్‌లో సమాచారాన్ని అన్వేషించవచ్చు

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

సిస్టమ్‌తో హోస్ట్‌ను కనుగొనమని చేసిన అభ్యర్థనకు ఇది ఒక ఉదాహరణ. Windows 10 అనుకూల.

ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

సి-ఫిల్టర్లు:

హోస్ట్ పేరు, ఈవెంట్ కోడ్ లేదా ID మొదలైన నిర్దిష్ట పారామితులను ఫిల్టర్ చేయడానికి ఈ ఫీచర్ మిమ్మల్ని అనుమతిస్తుంది. సాక్ష్యం కోసం వెతకడానికి వెచ్చించే సమయం మరియు శ్రమ పరంగా ఫిల్టర్‌లు దర్యాప్తు దశను బాగా మెరుగుపరుస్తాయి.

D- మొదటి విజువలైజేషన్:

MITER ATT & CK కోసం విజువలైజేషన్‌ని క్రియేట్ చేద్దాం.

ముందుగా మనం వెళ్ళాలి డాష్‌బోర్డ్ → కొత్త డ్యాష్‌బోర్డ్‌ను సృష్టించండి→కొత్త →పై డాష్‌బోర్డ్‌ను సృష్టించండి

సూచిక నమూనా కోసం రకాన్ని సెట్ చేయండి, ఆపై మీ బీట్ పేరును నొక్కండి.

ఎంటర్ నొక్కండి. ఈలోగా మీరు ఆకుపచ్చ డోనట్‌ను చూడాలి.

ఎడమ వైపున ఉన్న బకెట్స్ ట్యాబ్‌లో మీరు కనుగొంటారు:

ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

— స్ప్లిట్ స్లైస్‌లు డేటా వ్యాప్తిని బట్టి డోనట్‌ను వేర్వేరు భాగాలుగా విభజిస్తాయి.

- స్ప్లిట్ చార్ట్ దీని ప్రక్కన మరొక డోనట్‌ని సృష్టిస్తుంది.

మేము స్ప్లిట్ ముక్కలను ఉపయోగిస్తాము.

మేము ఎంచుకున్న పదాన్ని బట్టి మా డేటాను విజువలైజ్ చేస్తాము. ఈ సందర్భంలో పదం MITER ATT & CKని సూచిస్తుంది.

Winlogbeatలో, ఈ సమాచారాన్ని మాకు అందించే ఫీల్డ్ అంటారు:

winlog.event_data.RuleName

ఈవెంట్‌లు ఎన్నిసార్లు జరుగుతాయి అనే దాని ఆధారంగా ఆర్డర్ చేయడానికి మేము కౌంట్ మెట్రిక్‌ని సెటప్ చేస్తాము.

“వేరే విభాగంలో ఇతర విలువలను సమూహపరచు” లక్షణాన్ని ప్రారంభించండి.

మీరు ఎంచుకున్న పదాలు రిథమ్ ఆధారంగా అనేక విభిన్న అర్థాలను కలిగి ఉంటే ఇది ఉపయోగకరంగా ఉంటుంది. ఇది మొత్తంగా మిగిలిన డేటాను దృశ్యమానం చేయడంలో సహాయపడుతుంది. ఇది మీకు మిగిలిన ఈవెంట్‌ల శాతం గురించి ఒక ఆలోచన ఇస్తుంది.

ఇప్పుడు మేము డేటా ట్యాబ్‌ని సెటప్ చేయడం పూర్తి చేసాము, ఎంపికల ట్యాబ్‌కు వెళ్దాం

మీరు ఈ క్రింది వాటిని చేయాలి:

** డోనట్ ఆకారాన్ని తీసివేయండి, తద్వారా రెండరింగ్ పూర్తి వృత్తాన్ని చూపుతుంది.

** మీకు నచ్చిన లెజెండ్ స్థానాన్ని ఎంచుకోండి. ఈ సందర్భంలో, మేము వాటిని కుడి వైపున ప్రదర్శిస్తాము.

** సులభంగా చదవడం కోసం వారి స్నిప్పెట్ పక్కన చూపించడానికి ప్రదర్శన విలువలను సెట్ చేయండి మరియు మిగిలిన వాటిని డిఫాల్ట్‌గా వదిలివేయండి

ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

మీరు ఈవెంట్ పేరు నుండి ఎంత ప్రదర్శించాలనుకుంటున్నారో కత్తిరించడం నిర్ణయిస్తుంది.

మీరు రెండరింగ్ ప్రారంభించాలనుకుంటున్న సమయాన్ని సెట్ చేసి, ఆపై నీలి రంగు చతురస్రాన్ని క్లిక్ చేయండి.

మీరు ఇలాంటి వాటితో ముగించాలి:

ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

మీరు తనిఖీ చేయాలనుకుంటున్న నిర్దిష్ట హోస్ట్‌ను లేదా మీ ప్రయోజనం కోసం ఉపయోగకరంగా ఉన్న ఏవైనా పారామితులను ఫిల్టర్ చేయడానికి మీరు మీ విజువలైజేషన్‌కు ఫిల్టర్‌ను కూడా జోడించవచ్చు. ఫిల్టర్‌లో ఉంచిన నియమానికి సరిపోలే డేటాను మాత్రమే విజువలైజేషన్ ప్రదర్శిస్తుంది. ఈ సందర్భంలో, మేము win10 అనే హోస్ట్ నుండి వచ్చే MITER ATT&CK డేటాను మాత్రమే ప్రదర్శిస్తాము.

ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

3-2- మీ మొదటి డాష్‌బోర్డ్‌ని సృష్టిస్తోంది:

డ్యాష్‌బోర్డ్ అనేది అనేక విజువలైజేషన్‌ల సమాహారం. మీ డ్యాష్‌బోర్డ్‌లు స్పష్టంగా, అర్థమయ్యేలా మరియు ఉపయోగకరమైన, నిర్ణయాత్మక డేటాను కలిగి ఉండాలి. Winlogbeat కోసం మేము మొదటి నుండి సృష్టించిన డాష్‌బోర్డ్‌ల ఉదాహరణ ఇక్కడ ఉంది.

ELK SIEM ఓపెన్ డిస్ట్రో: ELKలో ELK మరియు SIEM డాష్‌బోర్డ్‌ల విజువలైజేషన్

నీ సమయానికి ధన్యవాదాలు. ఈ కథనం మీకు సహాయకరంగా ఉందని నేను ఆశిస్తున్నాను. మీరు అంశంపై మరింత సమాచారం కావాలనుకుంటే, మీరు సందర్శించాలని మేము సిఫార్సు చేస్తున్నాము అధికారిక వెబ్సైట్.

సాగే శోధనలో టెలిగ్రామ్ చాట్: https://t.me/elasticsearch_ru

మూలం: www.habr.com

DDoS రక్షణ, VPS VDS సర్వర్‌లతో సైట్‌ల కోసం నమ్మకమైన హోస్టింగ్‌ను కొనుగోలు చేయండి 🔥 DDoS రక్షణతో కూడిన నమ్మకమైన వెబ్‌సైట్ హోస్టింగ్, VPS VDS సర్వర్‌లను కొనండి | ProHoster