Bài đăng này sẽ mô tả việc thiết lập trực quan hóa bảng điều khiển ELK và SIEM trong ELK
Bài viết được chia thành các phần sau:
1- Đánh giá ELK SIEM
2- Bảng điều khiển mặc định
3- Tạo trang tổng quan đầu tiên của bạn
Mục lục của tất cả các bài viết.
- Tích hợp với WAZUH
- Cảnh báo
- Báo cáo
- Quản lý hồ sơ
Đánh giá SIEM 1-ELK
ELK SIEM gần đây đã được thêm vào ngăn xếp nai sừng tấm trong phiên bản 7.2 vào ngày 25 tháng 2019 năm XNUMX.
Đây là giải pháp SIEM do elastic.co tạo ra nhằm giúp công việc của nhà phân tích bảo mật trở nên dễ dàng và bớt tẻ nhạt hơn nhiều.
Trong phiên bản công việc của mình, chúng tôi đã quyết định tạo SIEM của riêng mình và chọn bảng điều khiển của riêng mình.
Nhưng chúng tôi nghĩ điều quan trọng là phải khám phá ELK SIEM trước.
1.1- Phần tổ chức sự kiện
Chúng ta sẽ xem xét phần máy chủ trước. Phần máy chủ sẽ cho phép bạn xem các sự kiện được tạo ở chính điểm cuối.
Sau khi nhấp vào xem máy chủ, bạn sẽ nhận được một cái gì đó như thế này. Như bạn có thể thấy, có ba máy chủ được kết nối với máy tính này:
1 Cửa sổ 10.
2 Máy chủ Ubuntu 18.04.
Chúng tôi có một số hình ảnh trực quan được hiển thị, mỗi hình ảnh đại diện cho các loại sự kiện khác nhau.
Ví dụ: cái ở giữa hiển thị dữ liệu đăng nhập trên cả ba máy.
Lượng dữ liệu bạn thấy ở đây được thu thập trong năm ngày. Điều này giải thích số lượng lớn các lần đăng nhập thất bại và thành công. Bạn có thể sẽ có một số lượng nhỏ nhật ký, vì vậy đừng lo lắng
1.2- Phần sự kiện mạng
Chuyển sang phần mạng, bạn sẽ nhận được kết quả như thế này. Phần này sẽ cho phép bạn theo dõi chặt chẽ mọi thứ xảy ra trên mạng của mình, từ lưu lượng HTTP/TLS đến lưu lượng DNS và cảnh báo sự kiện bên ngoài.
2- Bảng điều khiển mặc định
Để giúp cuộc sống của người dùng dễ dàng hơn, các nhà phát triển elastic.co đã tạo một thanh công cụ mặc định được ELK chính thức hỗ trợ. Nhịp đập của chúng tôi cũng không ngoại lệ với quy tắc này. Ở đây tôi sẽ sử dụng bảng điều khiển mặc định của Packetbeat làm ví dụ.
Nếu bạn làm đúng bước hai của bài viết. Bạn sẽ có một thanh công cụ được thiết lập đang chờ bạn. Vậy hãy bắt đầu.
Từ tab bên trái của Kibana, chọn biểu tượng bảng điều khiển. Đây là cái thứ ba, nếu tính từ trên xuống.
Nhập tên chia sẻ vào tab tìm kiếm
Nếu có một số mô-đun trong bit. Một bảng điều khiển sẽ được tạo cho mỗi người trong số họ. Nhưng chỉ cái có mô-đun hoạt động mới hiển thị dữ liệu không trống.
Chọn cái có tên mô-đun của bạn.
Đây là mẫu chính gói nhịp.
Đây là bảng điều khiển luồng mạng. Nó sẽ cho chúng ta biết về gói đến và đi, nguồn và đích của địa chỉ IP, đồng thời cung cấp nhiều thông tin hữu ích cho nhà phân tích của trung tâm bảo mật.
3 — Tạo trang tổng quan đầu tiên của bạn
3–1- Các khái niệm cơ bản
A- Các loại bảng điều khiển:
Đây là các loại trực quan hóa khác nhau mà bạn có thể sử dụng để trực quan hóa dữ liệu của mình.
ví dụ chúng ta có:
- thanh biểu đồ
- Bản đồ
- Tiện ích đánh dấu
- Biểu đồ tròn
B- KQL (Ngôn ngữ truy vấn Kibana):
Đây là ngôn ngữ được sử dụng ở Kibana để dễ dàng tìm kiếm dữ liệu. Nó cho phép bạn kiểm tra xem dữ liệu nhất định có tồn tại hay không và nhiều tính năng hữu ích khác. Để tìm hiểu thêm bạn có thể tìm hiểu thông tin tại link này
Đây là một truy vấn mẫu để tìm máy chủ chạy Windows 10 pro.
C-Bộ lọc:
Tính năng này sẽ cho phép bạn lọc một số thông số nhất định như tên máy chủ, mã sự kiện hoặc ID, v.v. Các bộ lọc sẽ cải thiện đáng kể giai đoạn điều tra về thời gian và công sức tìm kiếm bằng chứng.
D- Hình dung đầu tiên:
Hãy tạo một hình ảnh trực quan cho MITER ATT & CK.
Đầu tiên chúng ta cần phải đi đến Trang tổng quan → Tạo trang tổng quan mới→tạo mới → Trang tổng quan hình tròn
Đặt loại cho mẫu chỉ mục, sau đó chạm vào tên nhịp của bạn.
Bấm phím Enter. Bây giờ bạn sẽ thấy một chiếc bánh rán màu xanh lá cây.
Trong tab Nhóm ở bên trái, bạn sẽ tìm thấy:
— Split slice sẽ chia chiếc bánh rán thành nhiều phần khác nhau tùy thuộc vào mức độ lan truyền của dữ liệu.
- Biểu đồ phân chia sẽ tạo một chiếc bánh rán khác bên cạnh chiếc bánh rán này.
Chúng tôi sẽ sử dụng các lát cắt.
Chúng tôi sẽ trực quan hóa dữ liệu của mình tùy thuộc vào thuật ngữ chúng tôi chọn. Trong trường hợp này, thuật ngữ này sẽ đề cập đến MITER ATT & CK.
Trong Winlogbeat, trường sẽ cung cấp cho chúng tôi thông tin này được gọi là:
winlog.event_data.RuleNameChúng tôi sẽ thiết lập số liệu đếm để sắp xếp các sự kiện dựa trên số lần chúng xảy ra.
Kích hoạt tính năng “Nhóm các giá trị khác vào một phân đoạn riêng biệt”.
Điều này sẽ hữu ích nếu các thuật ngữ bạn chọn có nhiều ý nghĩa khác nhau dựa trên nhịp điệu. Điều này giúp trực quan hóa toàn bộ phần còn lại của dữ liệu. Điều này sẽ cho bạn ý tưởng về tỷ lệ phần trăm của các sự kiện còn lại.
Bây giờ chúng ta đã thiết lập xong tab dữ liệu, hãy chuyển sang tab tùy chọn
Bạn phải làm như sau:
**Xóa hình dạng bánh rán để kết xuất hiển thị một vòng tròn đầy đủ.
**Chọn vị trí huyền thoại mà bạn thích. Trong trường hợp này, chúng tôi sẽ hiển thị chúng ở bên phải.
**Đặt các giá trị hiển thị để hiển thị bên cạnh đoạn trích của chúng để dễ đọc hơn và để phần còn lại làm mặc định
Việc cắt bớt xác định mức độ bạn muốn hiển thị từ tên sự kiện.
Đặt thời gian bạn muốn bắt đầu hiển thị, sau đó nhấp vào hình vuông màu xanh lam.
Bạn nên kết thúc với một cái gì đó như thế này:
Bạn cũng có thể thêm bộ lọc vào trực quan hóa của mình để lọc ra máy chủ cụ thể mà bạn muốn kiểm tra hoặc bất kỳ thông số nào bạn cho là hữu ích cho mục đích của mình. Trực quan hóa sẽ chỉ hiển thị dữ liệu phù hợp với quy tắc được đặt trong bộ lọc. Trong trường hợp này, chúng tôi sẽ chỉ hiển thị dữ liệu MITER ATT&CK đến từ máy chủ có tên win10.
3-2- Tạo trang tổng quan đầu tiên của bạn:
Trang tổng quan là tập hợp nhiều hình ảnh trực quan. Trang tổng quan của bạn phải rõ ràng, dễ hiểu và chứa dữ liệu xác định, hữu ích. Dưới đây là ví dụ về trang tổng quan mà chúng tôi đã tạo từ đầu cho winlogbeat.
Cảm ơn bạn đã dành thời gian. Tôi hy vọng bạn thấy bài viết này hữu ích. Nếu bạn muốn biết thêm thông tin về chủ đề này, chúng tôi khuyên bạn nên truy cập .
Trò chuyện Telegram trên Elaticsearch:
Nguồn: www.habr.com