Ushbu post ELK-da ELK va SIEM boshqaruv panellarining vizualizatsiyasini o'rnatishni tasvirlaydi
Maqola quyidagi bo'limlarga bo'lingan:
1- ELK SIEM sharhi
2- Standart boshqaruv paneli
3- Birinchi asboblar panelini yaratish
Barcha xabarlarning mazmuni.
- WAZUH bilan integratsiya
- Ogohlantirish
- Hisobot berish
- Vaziyatni boshqarish
1-ELK SIEM sharhi
ELK SIEM yaqinda 7.2-yil 25-iyun kuni 2019-versiyasidagi elk stekiga qo‘shildi.
Bu xavfsizlik tahlilchisi hayotini ancha oson va zerikarli qilish uchun elastic.co tomonidan yaratilgan SIEM yechimidir.
Ishning bizning versiyamizda biz o'z SIEM-ni yaratishga va o'z boshqaruv panelimizni tanlashga qaror qildik.
Lekin biz birinchi navbatda ELK SIEMni o'rganish muhim deb hisoblaymiz.
1.1- Xost voqealari bo'limi
Biz birinchi navbatda xost bo'limini ko'rib chiqamiz. Xost bo'limi sizga oxirgi nuqtada yaratilgan voqealarni ko'rish imkonini beradi.
Ko'rish xostlarini bosgandan so'ng siz shunga o'xshash narsalarni olishingiz kerak. Ko'rib turganingizdek, ushbu kompyuterga uchta xost ulangan:
1 Windows 10.
2 Ubuntu Server 18.04.
Bizda har xil turdagi hodisalarni ifodalovchi bir nechta vizualizatsiya mavjud.
Masalan, o'rtadagi uchta mashinada kirish ma'lumotlarini ko'rsatadi.
Bu yerda koʻrgan maʼlumotlaringiz besh kun davomida toʻplangan. Bu muvaffaqiyatsiz va muvaffaqiyatli kirishlarning ko'pligini tushuntiradi. Ehtimol, sizda oz sonli jurnallar bo'ladi, shuning uchun tashvishlanmang
1.2- Tarmoq hodisalari bo'limi
Tarmoq bo'limiga o'tsangiz, shunga o'xshash narsalarni olishingiz kerak. Ushbu bo'lim sizga HTTP/TLS trafigidan tortib DNS trafigiga va tashqi hodisalar haqida ogohlantirishlarga qadar tarmog'ingizda sodir bo'layotgan hamma narsani diqqat bilan kuzatib borish imkonini beradi.
2- Standart boshqaruv paneli
Foydalanuvchilar hayotini osonlashtirish uchun elastic.co ishlab chiquvchilari ELK tomonidan rasman qo'llab-quvvatlanadigan standart asboblar panelini yaratdilar. Bizning zarbalarimiz bu qoidadan istisno emas edi. Bu erda men Packetbeat-ning standart boshqaruv panelini misol sifatida ishlataman.
Agar siz maqolaning ikkinchi bosqichini to'g'ri bajargan bo'lsangiz. Sizni kutayotgan asboblar paneli bo'lishi kerak. Shunday qilib, keling, boshlaylik.
Kibana chap yorlig'idan asboblar paneli belgisini tanlang. Agar yuqoridan hisoblasangiz, bu uchinchisi.
Qidiruv yorlig'iga ulashish nomini kiriting
Bitda bir nechta modul mavjud bo'lsa. Ularning har biri uchun boshqaruv paneli yaratiladi. Lekin faqat modul faol bo'lgan kishi bo'sh bo'lmagan ma'lumotlarni ko'rsatadi.
Modul nomi bilan birini tanlang.
Bu asosiy shablon PacketBeat.
Bu tarmoq oqimini boshqarish paneli. U bizga kiruvchi va chiquvchi paketlar, IP manzillarning manbalari va manzillari haqida ma'lumot beradi, shuningdek, xavfsizlik markazi tahlilchisi uchun juda ko'p foydali ma'lumotlarni taqdim etadi.
3 - Birinchi asboblar panelini yaratish
3–1- Asosiy tushunchalar
A- asboblar paneli turlari:
Bu ma'lumotlaringizni vizualizatsiya qilish uchun foydalanishingiz mumkin bo'lgan turli xil vizualizatsiya turlari.
masalan, bizda:
- shtrixli grafik
- xarita
- Markdown vidjeti
- Pastki grafik
B- KQL (Kibana so'rov tili):
Bu Kibanada ma'lumotlarni oson qidirish uchun ishlatiladigan til. Bu sizga ma'lum ma'lumotlar va boshqa ko'plab foydali xususiyatlar mavjudligini tekshirish imkonini beradi. Qo'shimcha ma'lumot olish uchun ushbu havoladagi ma'lumotlarni o'rganishingiz mumkin
Bu Windows 10 pro-da ishlaydigan xostni topish uchun namuna so'rovidir.
C- Filtrlar:
Bu xususiyat sizga xost nomi, voqea kodi yoki identifikatori kabi baʼzi parametrlarni filtrlash imkonini beradi. Filtrlar dalillarni qidirishga sarflangan vaqt va kuch jihatidan tergov bosqichini sezilarli darajada yaxshilaydi.
D- Birinchi vizualizatsiya:
Keling, MITER ATT & CK uchun vizualizatsiya yarataylik.
Avvaliga borishimiz kerak Boshqaruv paneli → Yangi asboblar panelini yaratish → yangi → Pirog asboblar panelini yaratish
Indeks naqshining turini o'rnating, so'ngra ritmingiz nomiga teging.
Enter tugmasini bosing. Hozir siz yashil donutni ko'rishingiz kerak.
Chap tarafdagi Paqirlar yorlig'ida siz quyidagilarni topasiz:
— Ajratilgan bo'laklar ma'lumotlarning tarqalishiga qarab donutni turli qismlarga ajratadi.
- Split Chart buning yonida yana bir donut yaratadi.
Biz ajratilgan bo'laklardan foydalanamiz.
Biz tanlagan atamaga qarab maʼlumotlarimizni ingl. Bu holda atama MITER ATT & CK ga tegishli bo'ladi.
Winlogbeat-da bizga ushbu ma'lumotni taqdim etadigan maydon deyiladi:
winlog.event_data.RuleNameVoqealarni sodir bo'lish soniga qarab tartiblash uchun hisoblash ko'rsatkichini o'rnatamiz.
"Boshqa qiymatlarni alohida segmentda guruhlash" funksiyasini yoqing.
Agar siz tanlagan atamalar ritmga asoslangan turli xil ma'nolarga ega bo'lsa, bu foydali bo'ladi. Bu qolgan ma'lumotlarni bir butun sifatida tasavvur qilishga yordam beradi. Bu sizga qolgan voqealar foizi haqida fikr beradi.
Endi biz ma'lumotlar yorlig'ini sozlashni tugatdik, keling, variantlar yorlig'iga o'tamiz
Siz quyidagilarni qilishingiz kerak:
**Donut shaklini olib tashlang, shunda render toʻliq doira koʻrsatadi.
**O'zingizga yoqqan afsonaviy pozitsiyani tanlang. Bunday holda, biz ularni o'ng tomonda ko'rsatamiz.
**Osonroq o‘qish uchun ularning parchasi yonida ko‘rsatiladigan displey qiymatlarini o‘rnating va qolganlarini sukut bo‘yicha qoldiring
Kesish hodisa nomidan qancha ko'rsatmoqchi ekanligingizni aniqlaydi.
Renderlashni boshlash vaqtini belgilang va keyin ko'k kvadratni bosing.
Siz shunday bir narsa bilan yakunlashingiz kerak:
Siz tekshirmoqchi bo'lgan xostni yoki maqsadingiz uchun foydali deb hisoblagan har qanday parametrlarni filtrlash uchun vizualizatsiyangizga filtr qo'shishingiz mumkin. Vizualizatsiya faqat filtrda joylashtirilgan qoidaga mos keladigan ma'lumotlarni ko'rsatadi. Bunday holda, biz faqat win10 nomli xostdan kelgan MITER ATT&CK ma'lumotlarini ko'rsatamiz.
3-2- Birinchi boshqaruv panelini yaratish:
Boshqaruv paneli - bu ko'plab vizualizatsiyalar to'plami. Sizning asboblar paneli aniq, tushunarli bo'lishi va foydali, deterministik ma'lumotlarni o'z ichiga olishi kerak. Mana biz winlogbeat uchun noldan yaratgan asboblar paneli misoli.
Vaqtingiz uchun rahmat. Umid qilamanki, siz ushbu maqolani foydali deb topdingiz. Agar siz mavzu bo'yicha qo'shimcha ma'lumot olishni istasangiz, tashrif buyurishingizni tavsiya qilamiz .
Elasticsearch-dagi Telegram suhbati:
Manba: www.habr.com