ఈ పోస్ట్ ELKలో ELK మరియు SIEM డాష్బోర్డ్ల విజువలైజేషన్ని సెటప్ చేయడం గురించి వివరిస్తుంది
వ్యాసం క్రింది విభాగాలుగా విభజించబడింది:
1- ELK SIEM సమీక్ష
2- డిఫాల్ట్ డాష్బోర్డ్లు
3- మీ మొదటి డాష్బోర్డ్లను సృష్టిస్తోంది
అన్ని పోస్ట్ల విషయాల పట్టిక.
- WAZUHతో ఏకీకరణ
- అప్రమత్తం చేస్తోంది
- నివేదించడం
- కేస్ మేనేజ్మెంట్
1-ELK SIEM సమీక్ష
ELK SIEM ఇటీవల జూన్ 7.2, 25న వెర్షన్ 2019లో ఎల్క్ స్టాక్కు జోడించబడింది.
ఇది భద్రతా విశ్లేషకుల జీవితాన్ని చాలా సులభతరం చేయడానికి మరియు తక్కువ శ్రమతో కూడుకున్నదిగా చేయడానికి elastic.co ద్వారా సృష్టించబడిన SIEM పరిష్కారం.
మా పని సంస్కరణలో, మేము మా స్వంత SIEMని సృష్టించి, మా స్వంత నియంత్రణ ప్యానెల్ను ఎంచుకోవాలని నిర్ణయించుకున్నాము.
అయితే ముందుగా ELK SIEMని అన్వేషించడం ముఖ్యం అని మేము భావిస్తున్నాము.
1.1- హోస్ట్ ఈవెంట్స్ విభాగం
మేము ముందుగా హోస్ట్ విభాగాన్ని చూస్తాము. హోస్ట్ విభాగం ఎండ్పాయింట్లోనే రూపొందించబడిన ఈవెంట్లను చూడటానికి మిమ్మల్ని అనుమతిస్తుంది.
వీక్షణ హోస్ట్లపై క్లిక్ చేసిన తర్వాత మీరు ఇలాంటివి పొందాలి. మీరు చూడగలిగినట్లుగా, ఈ కంప్యూటర్కు మూడు హోస్ట్లు కనెక్ట్ చేయబడ్డాయి:
1 విండోస్ 10.
2 ఉబుంటు సర్వర్ 18.04.
మేము అనేక విజువలైజేషన్లను ప్రదర్శించాము, ఒక్కొక్కటి విభిన్న రకాల ఈవెంట్లను సూచిస్తాయి.
ఉదాహరణకు, మధ్యలో ఉన్నది మూడు మెషీన్లలో లాగిన్ డేటాను చూపుతుంది.
మీరు ఇక్కడ చూసే ఈ మొత్తం డేటా ఐదు రోజులలో సేకరించబడింది. ఇది పెద్ద సంఖ్యలో విఫలమైన మరియు విజయవంతమైన లాగిన్లను వివరిస్తుంది. మీరు బహుశా తక్కువ సంఖ్యలో లాగ్లను కలిగి ఉండవచ్చు, కాబట్టి చింతించకండి
1.2- నెట్వర్క్ ఈవెంట్స్ విభాగం
నెట్వర్క్ విభాగానికి వెళ్లడం, మీరు ఇలాంటివి పొందాలి. HTTP/TLS ట్రాఫిక్ నుండి DNS ట్రాఫిక్ మరియు బాహ్య ఈవెంట్ హెచ్చరికల వరకు మీ నెట్వర్క్లో జరిగే ప్రతిదానిని నిశితంగా గమనించడానికి ఈ విభాగం మిమ్మల్ని అనుమతిస్తుంది.
2- డిఫాల్ట్ డాష్బోర్డ్లు
వినియోగదారులకు జీవితాన్ని సులభతరం చేయడానికి, elastic.co డెవలపర్లు ELK ద్వారా అధికారికంగా మద్దతు ఇచ్చే డిఫాల్ట్ టూల్బార్ను సృష్టించారు. మా బీట్స్ ఈ నియమానికి మినహాయింపు కాదు. ఇక్కడ నేను ప్యాకెట్బీట్ డిఫాల్ట్ డ్యాష్బోర్డ్లను ఉదాహరణగా ఉపయోగిస్తాను.
మీరు వ్యాసం యొక్క రెండవ దశను సరిగ్గా అనుసరించినట్లయితే. మీరు మీ కోసం టూల్బార్ సెటప్ని కలిగి ఉండాలి. కాబట్టి ప్రారంభిద్దాం.
కిబానా యొక్క ఎడమ ట్యాబ్ నుండి, డాష్బోర్డ్ చిహ్నాన్ని ఎంచుకోండి. మీరు ఎగువ నుండి లెక్కించినట్లయితే ఇది మూడవది.
శోధన ట్యాబ్లో షేర్ పేరును నమోదు చేయండి
బిట్లో అనేక మాడ్యూల్స్ ఉంటే. వాటిలో ప్రతి దాని కోసం ఒక నియంత్రణ ప్యానెల్ సృష్టించబడుతుంది. కానీ మాడ్యూల్ సక్రియంగా ఉన్నది మాత్రమే ఖాళీ కాని డేటాను ప్రదర్శిస్తుంది.
మీ మాడ్యూల్ పేరుతో ఒకదాన్ని ఎంచుకోండి.
ఇది ప్రధాన టెంప్లేట్ ప్యాకెట్బీట్.
ఇది నెట్వర్క్ ప్రవాహ నియంత్రణ ప్యానెల్. ఇది ఇన్కమింగ్ మరియు అవుట్గోయింగ్ ప్యాకెట్, IP చిరునామాల మూలాలు మరియు గమ్యస్థానాల గురించి మాకు తెలియజేస్తుంది మరియు భద్రతా కేంద్ర విశ్లేషకుడికి చాలా ఉపయోగకరమైన సమాచారాన్ని కూడా అందిస్తుంది.
3 — మీ మొదటి డ్యాష్బోర్డ్లను సృష్టిస్తోంది
3–1- ప్రాథమిక భావనలు
A- డాష్బోర్డ్ల రకాలు:
ఇవి మీ డేటాను దృశ్యమానం చేయడానికి మీరు ఉపయోగించే వివిధ రకాల విజువలైజేషన్లు.
ఉదాహరణకు మనకు ఉన్నాయి:
- బార్ గ్రాఫ్
- చిహ్నం
- మార్క్డౌన్ విడ్జెట్
- పై చార్ట్
B- KQL (కిబానా ప్రశ్న భాష):
డేటాను సులభంగా శోధించడానికి కిబానాలో ఉపయోగించే భాష ఇది. నిర్దిష్ట డేటా మరియు అనేక ఇతర ఉపయోగకరమైన ఫీచర్లు ఉన్నాయో లేదో తనిఖీ చేయడానికి ఇది మిమ్మల్ని అనుమతిస్తుంది. మరింత తెలుసుకోవడానికి, మీరు ఈ లింక్లో సమాచారాన్ని అన్వేషించవచ్చు
Windows 10 ప్రోలో నడుస్తున్న హోస్ట్ను కనుగొనడానికి ఇది ఒక ఉదాహరణ ప్రశ్న.
సి-ఫిల్టర్లు:
హోస్ట్ పేరు, ఈవెంట్ కోడ్ లేదా ID మొదలైన నిర్దిష్ట పారామితులను ఫిల్టర్ చేయడానికి ఈ ఫీచర్ మిమ్మల్ని అనుమతిస్తుంది. సాక్ష్యం కోసం వెతకడానికి వెచ్చించే సమయం మరియు శ్రమ పరంగా ఫిల్టర్లు దర్యాప్తు దశను బాగా మెరుగుపరుస్తాయి.
D- మొదటి విజువలైజేషన్:
MITER ATT & CK కోసం విజువలైజేషన్ని క్రియేట్ చేద్దాం.
ముందుగా మనం వెళ్ళాలి డాష్బోర్డ్ → కొత్త డ్యాష్బోర్డ్ను సృష్టించండి→కొత్త →పై డాష్బోర్డ్ను సృష్టించండి
సూచిక నమూనా కోసం రకాన్ని సెట్ చేయండి, ఆపై మీ బీట్ పేరును నొక్కండి.
ఎంటర్ నొక్కండి. ఈలోగా మీరు ఆకుపచ్చ డోనట్ను చూడాలి.
ఎడమ వైపున ఉన్న బకెట్స్ ట్యాబ్లో మీరు కనుగొంటారు:
— స్ప్లిట్ స్లైస్లు డేటా వ్యాప్తిని బట్టి డోనట్ను వేర్వేరు భాగాలుగా విభజిస్తాయి.
- స్ప్లిట్ చార్ట్ దీని ప్రక్కన మరొక డోనట్ని సృష్టిస్తుంది.
మేము స్ప్లిట్ ముక్కలను ఉపయోగిస్తాము.
మేము ఎంచుకున్న పదాన్ని బట్టి మా డేటాను విజువలైజ్ చేస్తాము. ఈ సందర్భంలో పదం MITER ATT & CKని సూచిస్తుంది.
Winlogbeatలో, ఈ సమాచారాన్ని మాకు అందించే ఫీల్డ్ అంటారు:
winlog.event_data.RuleNameఈవెంట్లు ఎన్నిసార్లు జరుగుతాయి అనే దాని ఆధారంగా ఆర్డర్ చేయడానికి మేము కౌంట్ మెట్రిక్ని సెటప్ చేస్తాము.
“వేరే విభాగంలో ఇతర విలువలను సమూహపరచు” లక్షణాన్ని ప్రారంభించండి.
మీరు ఎంచుకున్న పదాలు రిథమ్ ఆధారంగా అనేక విభిన్న అర్థాలను కలిగి ఉంటే ఇది ఉపయోగకరంగా ఉంటుంది. ఇది మొత్తంగా మిగిలిన డేటాను దృశ్యమానం చేయడంలో సహాయపడుతుంది. ఇది మీకు మిగిలిన ఈవెంట్ల శాతం గురించి ఒక ఆలోచన ఇస్తుంది.
ఇప్పుడు మేము డేటా ట్యాబ్ని సెటప్ చేయడం పూర్తి చేసాము, ఎంపికల ట్యాబ్కు వెళ్దాం
మీరు ఈ క్రింది వాటిని చేయాలి:
** డోనట్ ఆకారాన్ని తీసివేయండి, తద్వారా రెండరింగ్ పూర్తి వృత్తాన్ని చూపుతుంది.
** మీకు నచ్చిన లెజెండ్ స్థానాన్ని ఎంచుకోండి. ఈ సందర్భంలో, మేము వాటిని కుడి వైపున ప్రదర్శిస్తాము.
** సులభంగా చదవడం కోసం వారి స్నిప్పెట్ పక్కన చూపించడానికి ప్రదర్శన విలువలను సెట్ చేయండి మరియు మిగిలిన వాటిని డిఫాల్ట్గా వదిలివేయండి
మీరు ఈవెంట్ పేరు నుండి ఎంత ప్రదర్శించాలనుకుంటున్నారో కత్తిరించడం నిర్ణయిస్తుంది.
మీరు రెండరింగ్ ప్రారంభించాలనుకుంటున్న సమయాన్ని సెట్ చేసి, ఆపై నీలి రంగు చతురస్రాన్ని క్లిక్ చేయండి.
మీరు ఇలాంటి వాటితో ముగించాలి:
మీరు తనిఖీ చేయాలనుకుంటున్న నిర్దిష్ట హోస్ట్ను లేదా మీ ప్రయోజనం కోసం ఉపయోగకరంగా ఉన్న ఏవైనా పారామితులను ఫిల్టర్ చేయడానికి మీరు మీ విజువలైజేషన్కు ఫిల్టర్ను కూడా జోడించవచ్చు. ఫిల్టర్లో ఉంచిన నియమానికి సరిపోలే డేటాను మాత్రమే విజువలైజేషన్ ప్రదర్శిస్తుంది. ఈ సందర్భంలో, మేము win10 అనే హోస్ట్ నుండి వచ్చే MITER ATT&CK డేటాను మాత్రమే ప్రదర్శిస్తాము.
3-2- మీ మొదటి డాష్బోర్డ్ని సృష్టిస్తోంది:
డ్యాష్బోర్డ్ అనేది అనేక విజువలైజేషన్ల సమాహారం. మీ డ్యాష్బోర్డ్లు స్పష్టంగా, అర్థమయ్యేలా మరియు ఉపయోగకరమైన, నిర్ణయాత్మక డేటాను కలిగి ఉండాలి. Winlogbeat కోసం మేము మొదటి నుండి సృష్టించిన డాష్బోర్డ్ల ఉదాహరణ ఇక్కడ ఉంది.
నీ సమయానికి ధన్యవాదాలు. ఈ కథనం మీకు సహాయకరంగా ఉందని నేను ఆశిస్తున్నాను. మీరు అంశంపై మరింత సమాచారం కావాలనుకుంటే, మీరు సందర్శించాలని మేము సిఫార్సు చేస్తున్నాము .
సాగే శోధనలో టెలిగ్రామ్ చాట్:
మూలం: www.habr.com