ELK SIEM був нещодавно доданий до стек elk у версії 7.2 від 25 червня 2019 р.
Це SIEM-рішення, створене elastic.co, щоб зробити життя аналітика безпеки набагато простіше і менш стомлюючим.
У нашій версії ми вирішили створити власний SIEM і вибрати власну панель управління.
Але ми вважаємо за важливе спочатку вивчити ELK SIEM.
1.1- Розділ Host events
Спочатку ми розглянемо хост-розділ. Розділ хоста дозволить вам побачити події, які генеруються в кінцевій точці.
Після натискання на перегляд хостів ви повинні отримати щось на зразок цього. Як бачите, до цього комп'ютера підключено три хости:
1 Windows 10.
2 Сервер Ubuntu 18.04.
У нас є кілька відображених візуалізацій, кожна з яких відображає різні типи подій.
Наприклад, той, що посередині, показує дані про логіни на всіх трьох машинах.
Цей обсяг даних, який ви бачите тут, було зібрано за п'ять днів. Це пояснює велику кількість невдалих та успішних входів у систему. У вас, ймовірно, буде невелика кількість журналів, тому не турбуйтесь
1.2- Розділ мережевих подій
Переходячи до розділу мережі, ви повинні отримати щось на зразок цього. Цей розділ дозволить вам уважно стежити за усім, що відбувається у вашій мережі, від трафіку HTTP/TLS до трафіку DNS та зовнішніх попереджень про події.
2- Дашборди за замовчуванням
Щоб полегшити життя користувачам, розробники elastic.co створили стандартну панель інструментів, офіційно підтримувану ELK. Наші біти були винятком із цього правила. Тут я братиму як приклад панелі моніторингу Packetbeat за замовчуванням.
Якщо ви правильно виконали крок другої статті. У вас має бути налаштована панель інструментів, яка чекає на вас. Отже, почнемо.
На лівій вкладці Kibana виберіть символ панелі приладів. Це третій, якщо рахувати зверху.
Введіть назву частки у вкладці пошуку
Якщо в биті кілька модулів. Буде створено панель керування для кожного з них. Але тільки той, у кого активний модуль, відображатиме непусті дані.
Виберіть той, який має назву вашого модуля.
Це основний шаблон PacketBeat.
Це панель керування мережними потоками. Вона повідомить нам про вхідний та вихідний пакет, джерела та призначення IP-адрес, а також дасть багато корисної інформації для аналітика центру безпеки.
3 - Створення ваших перших дашбордів
3-1- Основні поняття
A- Типи дашбордів:
Це різні типи візуалізації, які можна використовувати для візуалізації ваших даних.
наприклад, у нас є:
Гістограма
Карта
Віджет Markdown
Кругова діаграма
B-KQL (мова запитів Kibana):
Це мова, яка використовується в Кібана для зручного пошуку даних. Це дозволяє вам перевірити, чи існують певні дані, і багато інших корисних функцій. Щоб дізнатися більше, ви можете вивчити інформацію за цим посиланням
Це приклад запиту на пошук хоста із системою Windows 10 pro.
C- Фільтри:
Ця функція дозволить вам фільтрувати певні параметри, наприклад, ім'я хоста, код або ідентифікатор події тощо.
D- Перша візуалізація:
Створимо візуалізацію для MITER ATT&CK.
Спочатку нам потрібно перейти в Dashboard → Create new dashboard → create new → Pie dashboard
Встановіть тип для індексного патерна, торкніться назви свого біта.
Натисніть Enter. На цей момент ви повинні побачити зелений пончик.
У вкладці Buckets зліва ви знайдете:
— Split slices розділить пончик на різні частини, залежно від розкиду даних.
— Split Chart створить ще один пончик поруч із цим.
Ми будемо використовувати розділені зрізи.
Ми візуалізуватимемо наші дані в залежності від обраного нами терміну. У цьому випадку термін ставитиметься до MITER ATT & CK.
У Winlogbeat поле, яке надаватиме нам цю інформацію, називається:
winlog.event_data.RuleName
Ми встановимо метрику підрахунку, щоб упорядкувати події в залежності від кількості їх появи.
Увімкніть “Групувати інші значення в окремому сегменті”.
Це буде зручно, якщо терміни, які ви вибрали, мають багато різних значень, що виходять із ритму. Це допомагає візуалізувати решту даних як єдине ціле. Це дасть вам уявлення про відсоток інших подій.
Тепер, коли ми закінчили налаштування вкладки даних, перейдемо до вкладки параметрів
Ви повинні зробити такі:
** Видаліть форму пончика, щоб на візуалізації з'явилося повне коло.
** Виберіть позицію легенди, яка вам подобається. І тут ми відобразимо їх справа.
** Встановіть значення відображення, щоб вони відображалися поруч із їх фрагментом для полегшення читання, а решту залиште за замовчуванням
Усічення визначає, скільки ви хочете відобразити з імені події.
Встановіть час, з якого повинна починатися візуалізація, а потім натисніть синій квадрат.
У вас має вийти щось подібне:
Ви також можете додати фільтр до своєї візуалізації, щоб відфільтрувати певний хост, який ви хочете перевірити, або будь-які параметри, які, на вашу думку, є корисними для вашої мети. Візуалізація відображатиме лише дані, що відповідають правилу, розміщеному у фільтрі. В цьому випадку ми будемо відображати дані MITER ATT & CK, що надходять лише з хоста з ім'ям win10.
3–2- Створення першої інформаційної панелі:
Панель моніторингу - це набір безлічі візуалізацій. Ваші інформаційні панелі повинні бути ясними, зрозумілими та містити корисні та детерміновані дані. Ось приклад дашбордів, які ми створили з нуля для winlogbeat.
Дякую за приділений час. Сподіваюся, ця стаття була вам корисною. Якщо ви хочете отримати більш детальну інформацію на тему, ми рекомендуємо вам відвідати офіційний сайт.