Ilalarawan ng post na ito ang pagse-set up ng visualization ng ELK at SIEM dashboard sa ELK
Ang artikulo ay nahahati sa mga sumusunod na seksyon:
1- Pagsusuri ng ELK SIEM
2- Default na mga dashboard
3- Paglikha ng iyong mga unang dashboard
Talaan ng mga nilalaman ng lahat ng mga post.
- Pagsasama sa WAZUH
- Nag-aalerto
- Pag-uulat
- Pamamahala ng Kaso
1-ELK SIEM Review
Ang ELK SIEM ay idinagdag kamakailan sa elk stack sa bersyon 7.2 noong Hunyo 25, 2019.
Isa itong solusyon sa SIEM na ginawa ng elastic.co para gawing mas madali at hindi nakakapagod ang buhay ng isang security analyst.
Sa aming bersyon ng trabaho, nagpasya kaming lumikha ng aming sariling SIEM at pumili ng aming sariling control panel.
Ngunit sa tingin namin, mahalagang tuklasin muna ang ELK SIEM.
1.1- Seksyon ng mga kaganapan sa host
Titingnan muna natin ang seksyon ng host. Ang seksyon ng host ay magbibigay-daan sa iyo na makita ang mga kaganapan na nabuo sa mismong endpoint.
Pagkatapos mag-click sa tingnan ang mga host dapat kang makakuha ng isang bagay na tulad nito. Gaya ng nakikita mo, may tatlong host na nakakonekta sa computer na ito:
1 Windows 10.
2 Ubuntu Server 18.04.
Mayroon kaming ilang visualization na ipinapakita, bawat isa ay kumakatawan sa iba't ibang uri ng mga kaganapan.
Halimbawa, ang nasa gitna ay nagpapakita ng data sa pag-log in sa lahat ng tatlong machine.
Ang dami ng data na nakikita mo dito ay nakolekta sa loob ng limang araw. Ipinapaliwanag nito ang malaking bilang ng mga nabigo at matagumpay na pag-login. Malamang na magkakaroon ka ng maliit na bilang ng mga log, kaya huwag mag-alala
1.2- Seksyon ng mga kaganapan sa network
Ang paglipat sa seksyon ng network, dapat kang makakuha ng isang bagay na tulad nito. Ang seksyong ito ay magbibigay-daan sa iyo na bantayang mabuti ang lahat ng nangyayari sa iyong network, mula sa trapiko ng HTTP/TLS hanggang sa trapiko ng DNS at mga alerto sa panlabas na kaganapan.
2- Default na mga dashboard
Upang gawing mas madali ang buhay para sa mga user, gumawa ang mga developer ng elastic.co ng default na toolbar na opisyal na sinusuportahan ng ELK. Ang aming mga beats ay walang pagbubukod sa panuntunang ito. Dito gagamitin ko ang mga default na dashboard ng Packetbeat bilang isang halimbawa.
Kung sinunod mo nang tama ang ikalawang hakbang ng artikulo. Dapat ay mayroon kang toolbar na naka-set up na naghihintay para sa iyo. Kaya simulan na natin.
Mula sa kaliwang tab ng Kibana, piliin ang simbolo ng dashboard. Ito ang pangatlo, kung bibilangin mo mula sa itaas.
Ilagay ang pangalan ng pagbabahagi sa tab ng paghahanap
Kung mayroong ilang mga module sa bit. Isang control panel ang gagawin para sa bawat isa sa kanila. Ngunit ang isa lamang na may aktibong module ang magpapakita ng hindi walang laman na data.
Piliin ang may pangalan ng iyong module.
Ito ang pangunahing template PacketBeat.
Ito ang control panel ng daloy ng network. Sasabihin nito sa amin ang tungkol sa papasok at papalabas na packet, ang mga pinagmulan at destinasyon ng mga IP address, at nagbibigay din ng maraming kapaki-pakinabang na impormasyon para sa isang analyst ng security center.
3 β Paglikha ng iyong mga unang dashboard
3β1- Pangunahing Konsepto
A- Mga uri ng dashboard:
Ito ang iba't ibang uri ng visualization na maaari mong gamitin upang mailarawan ang iyong data.
halimbawa mayroon kaming:
- bar graph
- Mapa
- Markdown na widget
- Pie chart
B- KQL (Kibana Query Language):
Ito ang wikang ginagamit sa Kibana para sa madaling paghahanap ng data. Binibigyang-daan ka nitong suriin kung may ilang partikular na data at marami pang ibang kapaki-pakinabang na feature. Upang malaman ang higit pa, maaari mong tuklasin ang impormasyon sa link na ito
Ito ay isang halimbawang query para makahanap ng host na nagpapatakbo ng Windows 10 pro.
C- Mga Filter:
Ang feature na ito ay magbibigay-daan sa iyong i-filter ang ilang partikular na parameter gaya ng hostname, event code o ID, atbp. Ang mga filter ay lubos na magpapahusay sa yugto ng pagsisiyasat sa mga tuntunin ng oras at pagsisikap na ginugol sa paghahanap ng ebidensya.
D- Unang visualization:
Gumawa tayo ng visualization para sa MITER ATT & CK.
Una kailangan nating pumunta sa Dashboard β Lumikha ng bagong dashboard β lumikha ng bago β Pie dashboard
Itakda ang uri para sa pattern ng index, pagkatapos ay i-tap ang pangalan ng iyong beat.
Pindutin ang enter. Sa ngayon dapat kang makakita ng berdeng donut.
Sa tab na Mga Bucket sa kaliwa makikita mo ang:
β Ang mga hiwa na hiwa ay hahatiin ang donut sa iba't ibang bahagi depende sa pagkalat ng data.
- Gagawa ang Split Chart ng isa pang donut sa tabi ng isang ito.
Gagamit kami ng mga split slice.
Isasalarawan namin ang aming data depende sa terminong pipiliin namin. Sa kasong ito, ang termino ay tumutukoy sa MITER ATT & CK.
Sa Winlogbeat, ang field na magbibigay sa amin ng impormasyong ito ay tinatawag na:
winlog.event_data.RuleNameMagse-set up kami ng sukatan ng bilang upang mag-order ng mga kaganapan batay sa dami ng beses na nangyari ang mga ito.
I-enable ang feature na βGoup other values ββin a separate segmentβ.
Magiging kapaki-pakinabang ito kung ang mga terminong pipiliin mo ay may maraming iba't ibang kahulugan batay sa ritmo. Nakakatulong ito na mailarawan ang natitirang bahagi ng data sa kabuuan. Bibigyan ka nito ng ideya ng porsyento ng mga natitirang kaganapan.
Ngayon na tapos na tayo sa pag-set up ng tab ng data, lumipat tayo sa tab na mga pagpipilian
Dapat mong gawin ang sumusunod:
**Alisin ang hugis ng donut upang ang rendering ay magpakita ng isang buong bilog.
**Piliin ang legend position na gusto mo. Sa kasong ito, ipapakita namin ang mga ito sa kanan.
**Itakda ang mga halaga ng display upang ipakita sa tabi ng kanilang snippet para sa mas madaling pagbabasa at iwanan ang iba bilang default
Tinutukoy ng pagputol kung gaano mo gustong ipakita mula sa pangalan ng kaganapan.
Itakda ang oras kung kailan mo gustong magsimula ang pag-render, at pagkatapos ay i-click ang asul na parisukat.
Dapat kang magtapos sa isang bagay na tulad nito:
Maaari ka ring magdagdag ng filter sa iyong visualization upang i-filter ang partikular na host na gusto mong suriin o anumang mga parameter na sa tingin mo ay kapaki-pakinabang para sa iyong layunin. Ipapakita lang ng visualization ang data na tumutugma sa panuntunang inilagay sa filter. Sa kasong ito, ipapakita lang namin ang data ng MITER ATT&CK na nagmumula sa host na pinangalanang win10.
3-2- Paglikha ng iyong unang dashboard:
Ang dashboard ay isang koleksyon ng maraming visualization. Ang iyong mga dashboard ay dapat na malinaw, naiintindihan, at naglalaman ng kapaki-pakinabang, deterministikong data. Narito ang isang halimbawa ng mga dashboard na ginawa namin mula sa simula para sa winlogbeat.
Salamat sa iyong oras. Umaasa ako na nakatulong sa iyo ang artikulong ito. Kung gusto mo ng higit pang impormasyon sa paksa, inirerekumenda namin na bumisita ka .
Telegram chat sa Elasticsearch:
Pinagmulan: www.habr.com