โปรโฮสต์ > บล็อก > การบริหาร > ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

โพสต์นี้จะอธิบายการตั้งค่าการแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK
บทความนี้แบ่งออกเป็นส่วนต่างๆ ดังต่อไปนี้:

1- รีวิว ELK เสียม
2- แดชบอร์ดเริ่มต้น
3- การสร้างแดชบอร์ดแรกของคุณ

สารบัญของโพสต์ทั้งหมด

รีวิว 1-ELK เสียม

ELK SIEM เพิ่งถูกเพิ่มไปยัง elk stack ในเวอร์ชัน 7.2 เมื่อวันที่ 25 มิถุนายน 2019

นี่คือโซลูชัน SIEM ที่สร้างขึ้นโดย elastic.co เพื่อทำให้ชีวิตของนักวิเคราะห์ความปลอดภัยง่ายขึ้นและน่าเบื่อน้อยลง

ในงานเวอร์ชันของเรา เราตัดสินใจสร้าง SIEM ของเราเอง และเลือกแผงควบคุมของเราเอง

แต่เราคิดว่าการสำรวจ ELK SIEM ก่อนเป็นสิ่งสำคัญ

1.1- ส่วนการจัดกิจกรรม

เราจะดูที่ส่วนของโฮสต์ก่อน ส่วนโฮสต์จะช่วยให้คุณเห็นเหตุการณ์ที่สร้างขึ้นที่ปลายทางเอง

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

หลังจากคลิกที่ดูโฮสต์แล้ว คุณควรได้รับสิ่งนี้ อย่างที่คุณเห็น มีโฮสต์สามเครื่องที่เชื่อมต่อกับคอมพิวเตอร์เครื่องนี้:

1 วินโดว์ 10.

2 เซิร์ฟเวอร์อูบุนตู 18.04

เรามีการแสดงภาพข้อมูลหลายภาพ ซึ่งแต่ละภาพแสดงถึงเหตุการณ์ประเภทต่างๆ

ตัวอย่างเช่นอันที่อยู่ตรงกลางจะแสดงข้อมูลการเข้าสู่ระบบทั้งสามเครื่อง

ข้อมูลจำนวนนี้ที่คุณเห็นที่นี่ถูกรวบรวมในช่วงห้าวัน สิ่งนี้จะอธิบายการเข้าสู่ระบบที่ล้มเหลวและสำเร็จจำนวนมาก คุณอาจมีบันทึกจำนวนน้อย ดังนั้นไม่ต้องกังวล

1.2- ส่วนกิจกรรมเครือข่าย

ไปที่ส่วนเครือข่ายคุณควรจะได้สิ่งนี้ ส่วนนี้จะช่วยให้คุณสามารถจับตาดูทุกสิ่งที่เกิดขึ้นบนเครือข่ายของคุณอย่างใกล้ชิด ตั้งแต่การรับส่งข้อมูล HTTP/TLS ไปจนถึงการรับส่งข้อมูล DNS และการแจ้งเตือนเหตุการณ์ภายนอก

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

2- แดชบอร์ดเริ่มต้น

เพื่อให้ชีวิตของผู้ใช้ง่ายขึ้น นักพัฒนา elastic.co ได้สร้างแถบเครื่องมือเริ่มต้นที่ ELK รองรับอย่างเป็นทางการ การเต้นของเราก็ไม่มีข้อยกเว้นสำหรับกฎนี้ ที่นี่ฉันจะใช้แดชบอร์ดเริ่มต้นของ Packetbeat เป็นตัวอย่าง

หากคุณทำตามขั้นตอนที่สองของบทความอย่างถูกต้อง คุณควรจะมีแถบเครื่องมือที่ตั้งค่าไว้รอคุณอยู่ มาเริ่มกันเลย

จากแท็บด้านซ้ายของ Kibana ให้เลือกสัญลักษณ์แดชบอร์ด นี่คืออันที่สาม ถ้าคุณนับจากด้านบน

ป้อนชื่อแชร์ในแท็บค้นหา

หากมีหลายโมดูลในบิต แผงควบคุมจะถูกสร้างขึ้นสำหรับแต่ละรายการ แต่เฉพาะโมดูลที่ใช้งานอยู่เท่านั้นที่จะแสดงข้อมูลที่ไม่ว่างเปล่า

เลือกอันที่มีชื่อโมดูลของคุณ

นี่คือเทมเพลตหลัก แพ็คเก็ตบีท.

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

นี่คือแผงควบคุมการไหลของเครือข่าย โดยจะบอกเราเกี่ยวกับแพ็กเก็ตขาเข้าและขาออก แหล่งที่มาและปลายทางของที่อยู่ IP และยังให้ข้อมูลที่เป็นประโยชน์มากมายสำหรับนักวิเคราะห์ศูนย์ความปลอดภัย

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

3 — การสร้างแดชบอร์ดแรกของคุณ

3–1- แนวคิดพื้นฐาน

A- ประเภทของแดชบอร์ด:

การแสดงภาพประเภทต่างๆ เหล่านี้คือคุณสามารถใช้เพื่อแสดงข้อมูลเป็นภาพได้

ตัวอย่างเช่น เรามี:

  • กราฟแท่ง
  • แผนที่
  • วิดเจ็ตมาร์กดาวน์
  • แผนภูมิวงกลม

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

B- KQL (ภาษาคิวรี Kibana):

นี่คือภาษาที่ใช้ใน Kibana เพื่อให้ค้นหาข้อมูลได้ง่าย ช่วยให้คุณสามารถตรวจสอบว่ามีข้อมูลบางอย่างอยู่และคุณสมบัติที่มีประโยชน์อื่น ๆ อีกมากมายหรือไม่ หากต้องการข้อมูลเพิ่มเติม คุณสามารถศึกษาข้อมูลได้ที่ลิงก์นี้

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

นี่คือตัวอย่างการค้นหาเพื่อค้นหาโฮสต์ที่ใช้ Windows 10 pro

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

C- ตัวกรอง:

คุณลักษณะนี้จะช่วยให้คุณสามารถกรองพารามิเตอร์บางอย่าง เช่น ชื่อโฮสต์ รหัสเหตุการณ์ หรือ ID ฯลฯ ตัวกรองจะปรับปรุงขั้นตอนการสืบสวนอย่างมากในแง่ของเวลาและความพยายามที่ใช้ในการค้นหาหลักฐาน

D- การสร้างภาพข้อมูลครั้งแรก:

มาสร้างภาพข้อมูลสำหรับ MITER ATT & CK กันดีกว่า

ก่อนอื่นเราต้องไปที่ แดชบอร์ด → สร้างแดชบอร์ดใหม่ → สร้างใหม่ → แดชบอร์ดพาย

กำหนดประเภทของรูปแบบดัชนี จากนั้นแตะชื่อจังหวะของคุณ

กดปุ่มตกลง. ตอนนี้คุณควรเห็นโดนัทสีเขียว

ในแท็บ Buckets ทางด้านซ้าย คุณจะพบ:

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

— การแบ่งชิ้นจะแบ่งโดนัทออกเป็นส่วนต่างๆ ขึ้นอยู่กับการแพร่กระจายของข้อมูล

- แผนภูมิแยกจะสร้างโดนัทอีกอันถัดจากอันนี้

เราจะใช้การแบ่งส่วน

เราจะแสดงภาพข้อมูลของเราขึ้นอยู่กับคำที่เราเลือก ในกรณีนี้ คำนี้จะหมายถึง MITER ATT & CK

ใน Winlogbeat ฟิลด์ที่จะให้ข้อมูลนี้แก่เราเรียกว่า:

winlog.event_data.RuleName

เราจะตั้งค่าเมตริกการนับเพื่อจัดลำดับเหตุการณ์ตามจำนวนครั้งที่เกิดขึ้น

เปิดใช้งานคุณสมบัติ “จัดกลุ่มค่าอื่นๆ ในส่วนแยก”

ซึ่งจะมีประโยชน์หากคำที่คุณเลือกมีความหมายที่แตกต่างกันมากมายตามจังหวะ ซึ่งจะช่วยให้เห็นภาพข้อมูลที่เหลือโดยรวม นี่จะทำให้คุณทราบถึงเปอร์เซ็นต์ของเหตุการณ์ที่เหลือ

ตอนนี้เราตั้งค่าแท็บข้อมูลเสร็จแล้ว มาดูแท็บตัวเลือกกันดีกว่า

คุณต้องทำสิ่งต่อไปนี้:

**ลบรูปร่างโดนัทออกเพื่อให้การเรนเดอร์แสดงเป็นวงกลมเต็ม

**เลือกตำแหน่งตำนานที่คุณชอบ ในกรณีนี้เราจะแสดงไว้ทางด้านขวา

**ตั้งค่าการแสดงผลให้แสดงถัดจากตัวอย่างข้อมูลเพื่อให้อ่านง่ายขึ้นและปล่อยให้ส่วนที่เหลือเป็นค่าเริ่มต้น

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

การตัดทอนจะกำหนดจำนวนที่คุณต้องการแสดงจากชื่อเหตุการณ์

ตั้งเวลาที่คุณต้องการให้เริ่มการเรนเดอร์ จากนั้นคลิกสี่เหลี่ยมสีน้ำเงิน

คุณควรจะได้สิ่งนี้:

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

คุณยังสามารถเพิ่มตัวกรองให้กับการแสดงภาพเพื่อกรองโฮสต์เฉพาะที่คุณต้องการตรวจสอบหรือพารามิเตอร์ใดๆ ที่คุณคิดว่ามีประโยชน์สำหรับวัตถุประสงค์ของคุณออก การแสดงภาพจะแสดงเฉพาะข้อมูลที่ตรงกับกฎที่วางไว้ในตัวกรองเท่านั้น ในกรณีนี้ เราจะแสดงเฉพาะข้อมูล MITER ATT&CK ที่มาจากโฮสต์ชื่อ win10 เท่านั้น

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

3-2- การสร้างแดชบอร์ดแรกของคุณ:

แดชบอร์ดคือชุดของการแสดงภาพข้อมูลจำนวนมาก แดชบอร์ดของคุณควรชัดเจน เข้าใจได้ และมีข้อมูลที่เป็นประโยชน์และกำหนดได้ นี่คือตัวอย่างแดชบอร์ดที่เราสร้างขึ้นตั้งแต่ต้นสำหรับ winlogbeat

ELK SIEM Open Distro: การแสดงภาพแดชบอร์ด ELK และ SIEM ใน ELK

ขอขอบคุณสำหรับเวลาของคุณ. ฉันหวังว่าคุณจะพบว่าบทความนี้มีประโยชน์ หากท่านต้องการข้อมูลเพิ่มเติมเกี่ยวกับหัวข้อนี้ เราขอแนะนำให้ท่านเข้าไปที่ เว็บไซต์อย่างเป็นทางการ.

การแชททางโทรเลขบน Elasticsearch: https://t.me/elasticsearch_ru

ที่มา: will.com

เพิ่มความคิดเห็น