یہ پوسٹ ELK میں ELK اور SIEM ڈیش بورڈز کے تصور کو ترتیب دینے کی وضاحت کرے گی۔
مضمون کو درج ذیل حصوں میں تقسیم کیا گیا ہے۔
1- ELK SIEM کا جائزہ
2- ڈیفالٹ ڈیش بورڈز
3- اپنا پہلا ڈیش بورڈ بنانا
تمام پوسٹس کے مندرجات کا جدول۔
- وضو کے ساتھ انضمام
- خبردار کرنا
- رپورٹنگ
- کیس مینجمنٹ
1-ELK SIEM کا جائزہ
ELK SIEM کو حال ہی میں 7.2 جون 25 کو ورژن 2019 میں ایلک اسٹیک میں شامل کیا گیا تھا۔
یہ ایک SIEM حل ہے جسے elastic.co نے سیکیورٹی تجزیہ کار کی زندگی کو بہت آسان اور کم تکلیف دہ بنانے کے لیے بنایا ہے۔
کام کے اپنے ورژن میں، ہم نے خود اپنا SIEM بنانے اور اپنا کنٹرول پینل منتخب کرنے کا فیصلہ کیا۔
لیکن ہم سمجھتے ہیں کہ پہلے ELK SIEM کو دریافت کرنا ضروری ہے۔
1.1- میزبان ایونٹس سیکشن
ہم پہلے میزبان سیکشن کو دیکھیں گے۔ میزبان سیکشن آپ کو ان واقعات کو دیکھنے کی اجازت دے گا جو اختتامی نقطہ پر ہی پیدا ہوتے ہیں۔
ویو ہوسٹس پر کلک کرنے کے بعد آپ کو کچھ ایسا ملنا چاہیے۔ جیسا کہ آپ دیکھ سکتے ہیں، اس کمپیوٹر سے تین میزبان جڑے ہوئے ہیں:
1 ونڈوز 10۔
2 اوبنٹو سرور 18.04۔
ہمارے پاس کئی تصورات دکھائے گئے ہیں، ہر ایک مختلف قسم کے واقعات کی نمائندگی کرتا ہے۔
مثال کے طور پر، درمیان میں والا تینوں مشینوں پر لاگ ان ڈیٹا دکھاتا ہے۔
ڈیٹا کی یہ مقدار جو آپ یہاں دیکھ رہے ہیں وہ پانچ دنوں کے دوران جمع کی گئی تھی۔ یہ ناکام اور کامیاب لاگ ان کی بڑی تعداد کی وضاحت کرتا ہے۔ آپ کے پاس شاید بہت کم لاگز ہوں گے، لہذا فکر نہ کریں۔
1.2- نیٹ ورک ایونٹس سیکشن
نیٹ ورک سیکشن میں آگے بڑھتے ہوئے، آپ کو کچھ ایسا ملنا چاہیے۔ یہ سیکشن آپ کو HTTP/TLS ٹریفک سے لے کر DNS ٹریفک اور بیرونی ایونٹ الرٹس تک، آپ کے نیٹ ورک پر ہونے والی ہر چیز پر گہری نظر رکھنے کی اجازت دے گا۔
2- ڈیفالٹ ڈیش بورڈز
صارفین کے لیے زندگی کو آسان بنانے کے لیے، elastic.co کے ڈویلپرز نے ایک ڈیفالٹ ٹول بار بنایا ہے جسے سرکاری طور پر ELK کے ذریعے سپورٹ کیا گیا ہے۔ ہماری دھڑکنیں اس اصول سے مستثنیٰ نہیں تھیں۔ یہاں میں Packetbeat کے ڈیفالٹ ڈیش بورڈز کو بطور مثال استعمال کروں گا۔
اگر آپ نے مضمون کے دوسرے مرحلے کی صحیح طریقے سے پیروی کی ہے۔ آپ کے پاس ایک ٹول بار سیٹ اپ ہونا چاہیے جو آپ کا انتظار کر رہے ہیں۔ تو آئیے شروع کرتے ہیں۔
Kibana کے بائیں ٹیب سے، ڈیش بورڈ کی علامت کو منتخب کریں۔ اگر آپ اوپر سے شمار کریں تو یہ تیسرا ہے۔
سرچ ٹیب میں شیئر کا نام درج کریں۔
اگر بٹ میں کئی ماڈیولز ہیں۔ ان میں سے ہر ایک کے لیے ایک کنٹرول پینل بنایا جائے گا۔ لیکن صرف ایک ماڈیول فعال ہے غیر خالی ڈیٹا دکھائے گا۔
اپنے ماڈیول کے نام کے ساتھ ایک کو منتخب کریں۔
یہ مرکزی ٹیمپلیٹ ہے۔ پیکٹ بیٹ.
یہ نیٹ ورک فلو کنٹرول پینل ہے۔ یہ ہمیں آنے والے اور جانے والے پیکٹ، آئی پی ایڈریس کے ذرائع اور منزلوں کے بارے میں بتائے گا، اور سیکیورٹی سینٹر کے تجزیہ کار کے لیے بہت ساری مفید معلومات بھی فراہم کرتا ہے۔
3 - اپنا پہلا ڈیش بورڈ بنانا
3-1- بنیادی تصورات
A- ڈیش بورڈز کی اقسام:
یہ مختلف قسم کے تصورات ہیں جنہیں آپ اپنے ڈیٹا کو دیکھنے کے لیے استعمال کر سکتے ہیں۔
مثال کے طور پر ہمارے پاس ہے:
- بار گراف
- نقشہ
- مارک ڈاؤن ویجیٹ
- پائی چارٹ
B- KQL (Kibana Query Language):
یہ وہ زبان ہے جسے کبانا میں ڈیٹا کی آسانی سے تلاش کرنے کے لیے استعمال کیا جاتا ہے۔ یہ آپ کو چیک کرنے کی اجازت دیتا ہے کہ آیا کچھ ڈیٹا موجود ہے اور بہت سی دوسری مفید خصوصیات۔ مزید جاننے کے لیے، آپ اس لنک پر معلومات کو تلاش کر سکتے ہیں۔
ونڈوز 10 پرو چلانے والے میزبان کو تلاش کرنے کے لیے یہ ایک مثالی سوال ہے۔
سی فلٹرز:
یہ خصوصیت آپ کو کچھ پیرامیٹرز جیسے میزبان نام، ایونٹ کوڈ یا ID وغیرہ کو فلٹر کرنے کی اجازت دے گی۔ فلٹرز ثبوت کی تلاش میں صرف کیے گئے وقت اور کوشش کے لحاظ سے تفتیشی مرحلے کو بہت بہتر بنائیں گے۔
D- پہلا تصور:
آئیے MITER ATT اور CK کے لیے ایک تصور بنائیں۔
پہلے ہمیں جانے کی ضرورت ہے۔ ڈیش بورڈ → نیا ڈیش بورڈ بنائیں → نیا بنائیں → پائی ڈیش بورڈ
انڈیکس پیٹرن کے لیے قسم سیٹ کریں، پھر اپنی بیٹ کے نام پر ٹیپ کریں۔
انٹر دبائیں. اب تک آپ کو سبز ڈونٹ نظر آنا چاہیے۔
بائیں جانب بالٹی ٹیب میں آپ کو مل جائے گا:
- سپلٹ سلائسز ڈونٹ کو ڈیٹا کے پھیلاؤ کے لحاظ سے مختلف حصوں میں تقسیم کر دیں گے۔
- اسپلٹ چارٹ اس کے آگے ایک اور ڈونٹ بنائے گا۔
ہم اسپلٹ سلائس استعمال کریں گے۔
ہم اپنی منتخب کردہ اصطلاح کے لحاظ سے اپنے ڈیٹا کو تصور کریں گے۔ اس صورت میں یہ اصطلاح MITER ATT اور CK کا حوالہ دے گی۔
Winlogbeat میں، وہ فیلڈ جو ہمیں یہ معلومات فراہم کرے گی کہلاتا ہے:
winlog.event_data.RuleNameہم واقعات کو ترتیب دینے کے لیے ایک شمار میٹرک ترتیب دیں گے جس کی بنیاد پر وہ وقوع پذیر ہوں گے۔
"الگ سیگمنٹ میں دیگر اقدار کو گروپ کریں" خصوصیت کو فعال کریں۔
یہ مفید ہو گا اگر آپ کی منتخب کردہ اصطلاحات تال کی بنیاد پر بہت سے مختلف معنی رکھتی ہیں۔ اس سے بقیہ ڈیٹا کو مجموعی طور پر دیکھنے میں مدد ملتی ہے۔ اس سے آپ کو باقی واقعات کے فیصد کا اندازہ ہو جائے گا۔
اب جب کہ ہم ڈیٹا ٹیب کو سیٹ اپ کر چکے ہیں، آئیے آپشنز ٹیب پر چلتے ہیں۔
آپ کو درج ذیل کام کرنے چاہئیں:
** ڈونٹ کی شکل کو ہٹا دیں تاکہ رینڈرنگ ایک مکمل دائرہ دکھائے۔
** اپنی پسند کی لیجنڈ پوزیشن کا انتخاب کریں۔ اس صورت میں، ہم انہیں دائیں طرف دکھائیں گے۔
**آسان پڑھنے کے لیے ان کے ٹکڑوں کے آگے دکھانے کے لیے ڈسپلے ویلیوز سیٹ کریں اور باقی کو بطور ڈیفالٹ چھوڑ دیں۔
تراشنا اس بات کا تعین کرتا ہے کہ آپ ایونٹ کے نام سے کتنا ڈسپلے کرنا چاہتے ہیں۔
وہ وقت مقرر کریں جس پر آپ رینڈرنگ شروع کرنا چاہتے ہیں، اور پھر نیلے مربع پر کلک کریں۔
آپ کو اس طرح کچھ ختم کرنا چاہئے:
آپ اپنے ویژولائزیشن میں ایک فلٹر بھی شامل کر سکتے ہیں تاکہ اس مخصوص میزبان کو فلٹر کیا جا سکے جسے آپ چیک کرنا چاہتے ہیں یا کوئی بھی پیرامیٹرز جو آپ اپنے مقصد کے لیے مفید سمجھتے ہیں۔ تصور صرف وہی ڈیٹا دکھائے گا جو فلٹر میں رکھے گئے اصول سے میل کھاتا ہے۔ اس صورت میں، ہم صرف win10 نامی میزبان سے آنے والا MITER ATT&CK ڈیٹا ڈسپلے کریں گے۔
3-2- اپنا پہلا ڈیش بورڈ بنانا:
ڈیش بورڈ بہت سے تصورات کا مجموعہ ہے۔ آپ کے ڈیش بورڈز واضح، قابل فہم، اور مفید، تعییناتی ڈیٹا پر مشتمل ہونا چاہیے۔ یہاں ڈیش بورڈز کی ایک مثال ہے جو ہم نے شروع سے winlogbeat کے لیے بنائے ہیں۔
اپ کے وقت کا شکریہ. مجھے امید ہے کہ آپ کو یہ مضمون مفید لگا۔ اگر آپ اس موضوع پر مزید معلومات چاہتے ہیں، تو ہم آپ کو وزٹ کرنے کا مشورہ دیتے ہیں۔ .
Elasticsearch پر ٹیلیگرام چیٹ:
ماخذ: www.habr.com