主持人 > 博客 > 管理 > ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

这篇文章将描述在 ELK 中设置 ELK 和 SIEM 仪表板的可视化
文章分为以下几个部分:

1- ELK SIEM 评论
2- 默认仪表板
3- 创建您的第一个仪表板

所有帖子的目录。

1-ELK SIEM 评论

ELK SIEM 最近于 7.2 年 25 月 2019 日在 XNUMX 版本中添加到 elk 堆栈中。

这是由elastic.co 创建的SIEM 解决方案,旨在使安全分析师的工作变得更加轻松、更加轻松。

在我们的工作版本中,我们决定创建自己的 SIEM 并选择自己的控制面板。

但我们认为首先探索 ELK SIEM 很重要。

1.1- 主办活动部分

我们首先看一下主机部分。 主机部分将允许您查看端点本身生成的事件。

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

单击“查看主机”后,您应该会看到类似这样的内容。 正如您所看到的,有三台主机连接到这台计算机:

1 视窗 10。

2 Ubuntu 服务器 18.04。

我们显示了多种可视化效果,每种可视化效果代表不同类型的事件。

例如,中间的一台显示所有三台计算机上的登录数据。

您在此处看到的数据量是在五天内收集的。 这解释了出现大量失败和成功登录的原因。 您可能会有少量日志,所以不用担心

1.2- 网络事件部分

转到网络部分,您应该得到类似这样的内容。 此部分将允许您密切关注网络上发生的所有情况,从 HTTP/TLS 流量到 DNS 流量和外部事件警报。

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

2- 默认仪表板

为了让用户的生活更轻松,elastic.co 开发人员创建了 ELK 官方支持的默认工具栏。 我们的节奏也不例外。 这里我将使用Packetbeat的默认仪表板作为示例。

如果您正确遵循了本文的第二步。 您应该已经设置好了工具栏。 那么让我们开始吧。

从 Kibana 的左侧选项卡中,选择仪表板符号。 如果从上往下数,这是第三个。

在搜索选项卡中输入共享名称

如果位中有多个模块。 将为每个人创建一个控制面板。 但只有模块处于活动状态的模块才会显示非空数据。

选择包含您的模块名称的模块。

这是主要模板 数据包节拍.

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

这是网络流量控制面板。 它将告诉我们有关传入和传出数据包、IP 地址的来源和目的地的信息,并且还为安全中心分析师提供了许多有用的信息。

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

3 — 创建您的第一个仪表板

3–1- 基本概念

A- 仪表板类型:

这些是可用于可视化数据的不同类型的可视化。

例如我们有:

  • 条图
  • 地图
  • 降价小部件
  • 饼形图

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

B- KQL(Kibana 查询语言):

这是 Kibana 中用于轻松搜索数据的语言。 它允许您检查某些数据是否存在以及许多其他有用的功能。 要了解更多信息,您可以通过此链接浏览信息

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

这是查找运行 Windows 10 专业版的主机的示例查询。

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

C- 过滤器:

此功能将允许您过滤某些参数,例如主机名、事件代码或 ID 等。过滤器将极大地改善调查阶段寻找证据所花费的时间和精力。

D-第一次可视化:

让我们为 MITRE ATT & CK 创建可视化。

首先我们需要去 仪表板→创建新仪表板→创建新→饼状仪表板

设置索引模式的类型,然后点击节拍的名称。

按 Enter 键。 现在你应该看到一个绿色的甜甜圈。

在左侧的“存储桶”选项卡中,您会发现:

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

— 分割切片将根据数据的分布将甜甜圈分成不同的部分。

- 拆分图表将在该图表旁边创建另一个甜甜圈。

我们将使用分割切片。

我们将根据我们选择的术语可视化我们的数据。 在这种情况下,该术语将指 MITRE ATT & CK。

在 Winlogbeat 中,为我们提供此信息的字段称为:

winlog.event_data.RuleName

我们将设置一个计数指标,根据事件发生的次数对事件进行排序。

启用“将其他值分组到单独的段中”功能。

如果您选择的术语根据节奏有许多不同的含义,这将很有用。 这有助于将其余数据作为一个整体进行可视化。 这将使您了解剩余事件的百分比。

现在我们已经完成了数据选项卡的设置,让我们转到选项选项卡

您必须执行以下操作:

**删除甜甜圈形状,以便渲染显示完整的圆圈。

**选择您喜欢的图例位置。 在这种情况下,我们会将它们显示在右侧。

**设置显示值以显示在其代码片段旁边,以便于阅读,并将其余部分保留为默认值

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

截断决定了要从事件名称中显示多少内容。

设置渲染开始的时间,然后单击蓝色方块。

你最终应该得到这样的结果:

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

您还可以在可视化中添加过滤器,以过滤掉您想要检查的特定主机或您认为对您的目的有用的任何参数。 可视化将仅显示与过滤器中放置的规则匹配的数据。 在这种情况下,我们将仅显示来自名为 win10 的主机的 MITRE ATT&CK 数据。

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

3-2- 创建您的第一个仪表板:

仪表板是许多可视化的集合。 您的仪表板应该清晰、易于理解,并包含有用的确定性数据。 以下是我们为 winlogbeat 从头开始​​创建的仪表板示例。

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 仪表板的可视化

感谢您的时间。 我希望这篇文章对您有所帮助。 如果您想了解有关该主题的更多信息,我们建议您访问 官方网站.

Elasticsearch 上的 Telegram 聊天: https://t.me/elasticsearch_ru

来源: habr.com

添加评论