Bu yazı, ELK'de ELK ve SIEM kontrol panellerinin görselleştirilmesinin ayarlanmasını açıklayacaktır.
Makale aşağıdaki bölümlere ayrılmıştır:
1- ELK SIEM İncelemesi
2- Varsayılan kontrol panelleri
3- İlk kontrol panellerinizi oluşturmak
Tüm gönderilerin içindekiler tablosu.
- WAZUH ile entegrasyon
- Uyarı
- Raporlama
- Durum Yönetimi
1-ELK SIEM İncelemesi
ELK SIEM yakın zamanda 7.2 Haziran 25'da 2019 sürümünde elk yığınına eklendi.
Bu, bir güvenlik analistinin hayatını çok daha kolay ve daha az sıkıcı hale getirmek için elastic.co tarafından oluşturulan bir SIEM çözümüdür.
Çalışmanın versiyonumuzda kendi SIEM'imizi oluşturup kendi kontrol panelimizi seçmeye karar verdik.
Ancak öncelikle ELK SIEM'i keşfetmenin önemli olduğunu düşünüyoruz.
1.1- Toplantı sahibi etkinlikleri bölümü
Önce host kısmına bakacağız. Ana bilgisayar bölümü, uç noktanın kendisinde oluşturulan olayları görmenize olanak tanır.
Ana bilgisayarları görüntüle'ye tıkladıktan sonra buna benzer bir şey elde etmelisiniz. Gördüğünüz gibi bu bilgisayara bağlı üç ana bilgisayar var:
1 Windows10.
2 Ubuntu Sunucusu 18.04.
Her biri farklı olay türlerini temsil eden çeşitli görselleştirmelerimiz var.
Örneğin ortadaki, her üç makinedeki oturum açma verilerini gösterir.
Burada gördüğünüz bu miktardaki veri beş gün boyunca toplandı. Bu, çok sayıda başarısız ve başarılı oturum açma işlemini açıklamaktadır. Muhtemelen az sayıda günlüğünüz olacak, bu yüzden endişelenmeyin
1.2- Ağ etkinlikleri bölümü
Ağ bölümüne geçtiğinizde buna benzer bir şey elde etmelisiniz. Bu bölüm, HTTP/TLS trafiğinden DNS trafiğine ve harici olay uyarılarına kadar ağınızda olup biten her şeyi yakından takip etmenize olanak tanır.
2- Varsayılan kontrol panelleri
Kullanıcıların hayatını kolaylaştırmak için elastic.co geliştiricileri resmi olarak ELK tarafından desteklenen varsayılan bir araç çubuğu oluşturdu. Vuruşlarımız bu kuralın bir istisnası değildi. Burada örnek olarak Packetbeat'in varsayılan kontrol panellerini kullanacağım.
Makalenin ikinci adımını doğru takip ettiyseniz. Sizi bekleyen bir araç çubuğunuzun olması gerekir. Öyleyse başlayalım.
Kibana'nın sol sekmesinden kontrol paneli sembolünü seçin. Yukarıdan sayarsak bu üçüncü.
Arama sekmesine paylaşım adını girin
Bitte birden fazla modül varsa. Her biri için bir kontrol paneli oluşturulacaktır. Ancak yalnızca modülün aktif olduğu modül boş olmayan verileri gösterecektir.
Modül adınıza sahip olanı seçin.
Bu ana şablon PacketBeat.
Bu ağ akış kontrol panelidir. Bize gelen ve giden paketler, IP adreslerinin kaynakları ve hedefleri hakkında bilgi verecek ve ayrıca bir güvenlik merkezi analisti için birçok yararlı bilgi sağlayacaktır.
3 — İlk kontrol panellerinizi oluşturma
3–1- Temel Kavramlar
A- Gösterge tablosu türleri:
Bunlar, verilerinizi görselleştirmek için kullanabileceğiniz farklı görselleştirme türleridir.
örneğin elimizde:
- çubuk grafik
- Harita
- İşaretleme widget'ı
- Pasta grafiği
B- KQL (Kibana Sorgu Dili):
Bu, Kibana'da verilerin kolay aranması için kullanılan dildir. Belirli verilerin mevcut olup olmadığını ve diğer birçok yararlı özelliği kontrol etmenizi sağlar. Daha fazlasını öğrenmek için bu bağlantıdaki bilgileri inceleyebilirsiniz.
Bu, Windows 10 pro çalıştıran bir ana bilgisayarı bulmak için örnek bir sorgudur.
C-Filtreler:
Bu özellik, ana bilgisayar adı, olay kodu veya kimlik vb. gibi belirli parametreleri filtrelemenize olanak tanır. Filtreler, kanıt aramak için harcanan zaman ve çaba açısından araştırma aşamasını büyük ölçüde iyileştirecektir.
D- İlk görselleştirme:
MITRE ATT & CK için bir görselleştirme oluşturalım.
Öncelikle şuraya gitmemiz gerekiyor Kontrol Paneli → Yeni kontrol paneli oluştur → yeni oluştur → Pasta kontrol paneli
İndeks modelinin türünü ayarlayın ve ardından ritminizin adına dokunun.
Enter tuşuna basın. Şimdiye kadar yeşil bir çörek görmelisiniz.
Soldaki Kovalar sekmesinde şunları bulacaksınız:
— Bölünmüş dilimler, verilerin yayılmasına bağlı olarak çörekleri farklı parçalara böler.
- Bölünmüş Grafik bunun yanında başka bir çörek oluşturacaktır.
Bölünmüş dilimleri kullanacağız.
Seçtiğimiz terime göre verilerimizi görselleştireceğiz. Bu durumda terim MITRE ATT & CK'ye atıfta bulunacaktır.
Winlogbeat'te bize bu bilgiyi sağlayacak olan alanın adı:
winlog.event_data.RuleNameOlayları gerçekleşme sayısına göre sıralamak için bir sayım ölçüsü oluşturacağız.
“Diğer değerleri ayrı bir segmentte grupla” özelliğini etkinleştirin.
Seçtiğiniz terimlerin ritim bazında birçok farklı anlamı varsa bu yararlı olacaktır. Bu, verilerin geri kalanının bir bütün olarak görselleştirilmesine yardımcı olur. Bu size kalan olayların yüzdesi hakkında bir fikir verecektir.
Artık veri sekmesini ayarlamayı bitirdiğimize göre seçenekler sekmesine geçelim
Aşağıdakileri yapmanız gerekir:
**Renderin tam bir daire göstermesi için halka şeklini kaldırın.
** Beğendiğiniz efsane konumunu seçin. Bu durumda bunları sağda göstereceğiz.
**Daha kolay okumak için ekran değerlerini snippet'lerinin yanında gösterilecek şekilde ayarlayın ve gerisini varsayılan olarak bırakın
Kesme, etkinlik adından ne kadarını görüntülemek istediğinizi belirler.
Oluşturmanın başlamasını istediğiniz zamanı ayarlayın ve ardından mavi kareye tıklayın.
Sonunda böyle bir şey elde etmelisin:
Kontrol etmek istediğiniz belirli ana bilgisayarı veya amacınız için yararlı olduğunu düşündüğünüz parametreleri filtrelemek için görselleştirmenize bir filtre de ekleyebilirsiniz. Görselleştirme yalnızca filtreye yerleştirilen kuralla eşleşen verileri görüntüler. Bu durumda sadece win10 isimli hosttan gelen MITRE ATT&CK verilerini görüntüleyeceğiz.
3-2- İlk kontrol panelinizi oluşturmak:
Kontrol paneli birçok görselleştirmenin bir koleksiyonudur. Kontrol panelleriniz açık, anlaşılır olmalı ve yararlı, belirleyici veriler içermelidir. İşte winlogbeat için sıfırdan oluşturduğumuz kontrol panellerinin bir örneği.
Zaman ayırdığın için teşekkürler. Umarım bu makaleyi faydalı bulmuşsunuzdur. Konuyla ilgili daha fazla bilgi edinmek isterseniz şu adresi ziyaret etmenizi öneririz: .
Elasticsearch'te Telegram sohbeti:
Kaynak: habr.com