Ин паём насб кардани визуализатсияи панелҳои ELK ва SIEM-ро дар ELK тавсиф мекунад
Мақола ба бахшҳои зерин тақсим шудааст:
1- Шарҳи ELK SIEM
2- Панелҳои пешфарз
3- Сохтани панелҳои аввалини худ
Ҷадвали мундариҷаи ҳама паёмҳо.
- Интегратсия бо WAZUH
- Огоҳӣ
- Ҳисобот
- Идоракунии ҳолат
Шарҳи 1-ELK SIEM
ELK SIEM ба наздикӣ ба стеки elk дар версияи 7.2 25 июни соли 2019 илова карда шуд.
Ин як ҳалли SIEM мебошад, ки аз ҷониби elastic.co сохта шудааст, то ҳаёти таҳлилгари амниятро хеле осонтар ва дилгиркунанда гардонад.
Дар версияи кор, мо тасмим гирифтем, ки SIEM-и худро эҷод кунем ва панели идоракунии худро интихоб кунем.
Аммо мо фикр мекунем, ки аввал омӯхтани ELK SIEM муҳим аст.
1.1- Бахши рӯйдодҳои мизбон
Мо аввал қисмати мизбонро дида мебароем. Бахши мизбон ба шумо имкон медиҳад, ки рӯйдодҳоеро, ки дар худи нуқтаи ниҳоӣ тавлид мешаванд, бубинед.
Пас аз клик кардани мизбонҳои дидан, шумо бояд чунин чизе гиред. Тавре ки шумо мебинед, ба ин компютер се мизбон пайвастанд:
1 Windows 10.
2 Сервери Ubuntu 18.04.
Мо якчанд визуализатсия дорем, ки ҳар яке намудҳои гуногуни рӯйдодҳоро намояндагӣ мекунанд.
Масалан, дар мобайн маълумоти воридшавӣ дар ҳар се мошин нишон дода мешавад.
Ин миқдори маълумоте, ки шумо дар ин ҷо мебинед, дар тӯли панҷ рӯз ҷамъоварӣ шудааст. Ин шумораи зиёди воридшавии ноком ва муваффақро шарҳ медиҳад. Шояд шумо шумораи ками гузоришҳо дошта бошед, аз ин рӯ хавотир нашавед
1.2- Бахши рӯйдодҳои шабака
Гузаштан ба бахши шабака, шумо бояд чизе монанди ин гиред. Ин бахш ба шумо имкон медиҳад, ки ҳама чизеро, ки дар шабакаи шумо рух медиҳад, аз трафики HTTP/TLS то трафики DNS ва огоҳиҳои рӯйдодҳои беруна бодиққат нигоҳ доред.
2- Панелҳои пешфарз
Барои осон кардани ҳаёт барои корбарон, таҳиягарони elastic.co панели асбобҳои пешфарзро сохтаанд, ки аз ҷониби ELK расман дастгирӣ мешавад. Зарбҳои мо аз ин қоида истисно набуданд. Дар ин ҷо ман ҳамчун намуна панелҳои пешфарзии Packetbeat -ро истифода хоҳам кард.
Агар шумо қадами дуюми мақоларо дуруст иҷро карда бошед. Шумо бояд панели асбобҳое дошта бошед, ки шуморо интизор аст. Пас биёед оғоз кунем.
Аз ҷадвали чапи Кибана, рамзи панели идоракуниро интихоб кунед. Ин сеюм аст, агар шумо аз боло ҳисоб кунед.
Номи мубодиларо дар ҷадвали ҷустуҷӯ ворид кунед
Агар дар бит якчанд модул мавҷуд бошад. Барои хар кадоми онхо панели идоракунй сохта мешавад. Аммо танҳо як модули фаъол маълумоти холиро нишон медиҳад.
Якеро бо номи модули худ интихоб кунед.
Ин қолаби асосӣ аст PacketBeat.
Ин панели идоракунии ҷараёни шабака аст. Он ба мо дар бораи бастаи воридотӣ ва содиротӣ, манбаъҳо ва макони суроғаҳои IP нақл мекунад ва инчунин барои таҳлилгари маркази амният маълумоти зиёди муфид медиҳад.
3 — Эҷоди панелҳои аввалини худ
3–1- Мафҳумҳои асосӣ
A- Намудҳои панелҳои идоракунӣ:
Инҳо намудҳои гуногуни визуализатсия мебошанд, ки шумо метавонед барои визуализатсияи маълумоти шумо истифода баред.
масалан, мо дорем:
- штрих-граф
- харита
- Виҷети Markdown
- Диаграммаи пирожни
B- KQL (Забони Query Kibana):
Ин забонест, ки дар Кибана барои ҷустуҷӯи осони маълумот истифода мешавад. Он ба шумо имкон медиҳад, ки оё маълумоти муайян ва бисёр дигар хусусиятҳои муфидро тафтиш кунед. Барои гирифтани маълумоти бештар, шумо метавонед ин маълумотро дар ин пайванд омӯзед
Ин як дархости намунавӣ барои дарёфти ҳостест, ки бо Windows 10 pro кор мекунад.
C- Филтрҳо:
Ин хусусият ба шумо имкон медиҳад, ки параметрҳои муайян, аз қабили номи мизбон, рамзи рӯйдод ё ID ва ғайра филтр кунед. Филтрҳо марҳилаи тафтишотро аз нигоҳи вақт ва кӯшиши сарфшуда барои ҷустуҷӯи далелҳо хеле беҳтар мекунанд.
D- Аввалин визуализатсия:
Биёед барои MITER ATT & CK визуализатсия эҷод кунем.
Аввал мо бояд ба он равем Панели идоракунӣ → Сохтани панели нав → Сохтани панели нав → Pie
Навъи намунаи индексро таъин кунед ва сипас номи зарбаи худро ламс кунед.
Enterро пахш кунед. Ҳоло шумо бояд як донаи сабзро бинед.
Дар ҷадвали Сатилҳо дар тарафи чап шумо хоҳед ёфт:
— Буридаҳои тақсимшуда пончикро вобаста ба паҳншавии маълумот ба қисмҳои гуногун тақсим мекунанд.
- Диаграммаи тақсимшуда дар паҳлӯи ин як донаи дигар эҷод мекунад.
Мо буридаҳои тақсимшударо истифода мебарем.
Мо маълумоти худро вобаста ба истилоҳи интихобкардаамон тасаввур мекунем. Дар ин ҳолат истилоҳ ба MITER ATT & CK ишора мекунад.
Дар Winlogbeat, майдоне, ки ба мо ин маълумот медиҳад, номида мешавад:
winlog.event_data.RuleNameМо як метрикаи ҳисобро барои фармоиш додани рӯйдодҳо дар асоси шумораи такрори онҳо муқаррар мекунем.
Хусусияти "Гурӯҳи арзишҳои дигарро дар сегменти алоҳида" фаъол созед.
Ин муфид хоҳад буд, агар истилоҳҳои интихобкардаи шумо дар асоси ритм маъноҳои гуногун дошта бошанд. Ин барои дидани маълумоти боқимонда дар маҷмӯъ кӯмак мекунад. Ин ба шумо дар бораи фоизи рӯйдодҳои боқимонда тасаввурот медиҳад.
Акнун, ки мо насб кардани ҷадвали маълумотро анҷом додем, биёед ба ҷадвали параметрҳо гузарем
Шумо бояд амалҳои зеринро иҷро кунед:
**Шакли донутро хориҷ кунед, то рендеринг як даври пурраро нишон диҳад.
** Мавқеи афсонавии ба шумо маъқулро интихоб кунед. Дар ин ҳолат, мо онҳоро дар тарафи рост нишон медиҳем.
** Қиматҳои намоишро барои хондан осонтар дар паҳлӯи порчаи онҳо нишон диҳед ва боқимондаро ҳамчун пешфарз гузоред
Ихтисоркунӣ муайян мекунад, ки шумо аз номи рӯйдод чӣ қадар нишон додан мехоҳед.
Вақтеро, ки шумо мехоҳед намоишро оғоз кунед, таъин кунед ва сипас квадрати кабудро клик кунед.
Шумо бояд бо чунин чизе хотима диҳед:
Шумо инчунин метавонед ба визуализатсияи худ филтр илова кунед, то мизбони мушаххасеро, ки шумо тафтиш кардан мехоҳед ё ягон параметре, ки ба назари шумо барои ҳадафи шумо муфид аст, филтр кунед. Визуализатсия танҳо маълумотеро нишон медиҳад, ки ба қоидаи дар филтр ҷойгиршуда мувофиқат мекунад. Дар ин ҳолат, мо танҳо маълумоти MITER ATT&CK-ро намоиш медиҳем, ки аз ҳост бо номи win10 меояд.
3-2- Сохтани панели аввалини шумо:
Панели идоракунӣ маҷмӯи визуализатсияҳои зиёд аст. Панелҳои панели шумо бояд равшан, фаҳмо бошанд ва дорои маълумоти муфид ва муайянкунанда бошанд. Ин аст як мисоли панелҳои идоракунӣ, ки мо аз сифр барои winlogbeat сохтаем.
Ташаккур барои вақтатон. Умедворам, ки шумо ин мақоларо муфид ёфтед. Агар шумо дар бораи ин мавзӯъ маълумоти бештар дошта бошед, тавсия медиҳем, ки боздид кунед .
Чати Telegram дар Elasticsearch:
Манбаъ: will.com