主持人 > 博客 > 管理 > ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

這篇文章將描述在 ELK 中設定 ELK 和 SIEM 儀表板的可視化
文章分為以下幾個部分:

1- ELK SIEM 評論
2- 預設儀表板
3- 建立您的第一個儀表板

所有帖子的目錄。

1-ELK SIEM 評論

ELK SIEM 最近於 7.2 年 25 月 2019 日在 XNUMX 版本中新增至 elk 堆疊中。

這是由elastic.co 創建的SIEM 解決方案,旨在使安全分析師的工作變得更輕鬆、更輕鬆。

在我們的工作版本中,我們決定建立自己的 SIEM 並選擇自己的控制面板。

但我們認為先探索 ELK SIEM 很重要。

1.1- 主辦活動部分

我們先來看看主機部分。 主機部分將允許您查看端點本身產生的事件。

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

點擊“查看主機”後,您應該會看到類似這樣的內容。 正如您所看到的,有三台主機連接到這台電腦:

1 視窗 10。

2 Ubuntu 伺服器 18.04。

我們顯示了多種視覺化效果,每種視覺化效果代表不同類型的事件。

例如,中間的一台顯示所有三台電腦上的登入資料。

您在此處看到的數據量是在五天內收集的。 這解釋了出現大量失敗和成功登入的原因。 您可能會有少量日誌,所以不用擔心

1.2- 網路事件部分

轉到網路部分,您應該得到類似這樣的內容。 此部分將允許您密切注意網路上發生的所有情況,從 HTTP/TLS 流量到 DNS 流量和外部事件警報。

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

2- 預設儀表板

為了讓使用者的生活更輕鬆,elastic.co 開發人員創建了 ELK 官方支援的預設工具列。 我們的節奏也不例外。 這裡我將使用Packetbeat的預設儀表板作為範例。

如果您正確遵循了本文的第二步。 您應該已經設定好了工具列。 那麼就讓我們開始吧。

從 Kibana 的左側標籤中,選擇儀表板符號。 如果從上往下數,這是第三個。

在搜尋標籤中輸入共享名稱

如果位元中有多個模組。 將為每個人創建一個控制面板。 但只有模組處於活動狀態的模組才會顯示非空資料。

選擇包含您的模組名稱的模組。

這是主要模板 數據包節拍.

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

這是網路流量控制面板。 它將告訴我們有關傳入和傳出資料包、IP 位址的來源和目的地的信息,並且還為安全中心分析師提供了許多有用的信息。

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

3 — 建立您的第一個儀表板

3–1- 基本概念

A- 儀表板類型:

這些是可用於視覺化資料的不同類型的視覺化。

例如我們有:

  • 條形圖
  • 地圖
  • 降價小工具
  • 圓餅圖

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

B- KQL(Kibana 查詢語言):

這是 Kibana 中用於輕鬆搜尋資料的語言。 它允許您檢查某些數據是否存在以及許多其他有用的功能。 要了解更多信息,您可以透過此連結瀏覽信息

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

這是尋找執行 Windows 10 專業版的主機的範例查詢。

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

C- 過濾器:

此功能將允許您過濾某些參數,例如主機名稱、事件代碼或 ID 等。過濾器將極大地改善調查階段尋找證據所花費的時間和精力。

D-第一次可視化:

讓我們為 MITRE ATT & CK 創建視覺化。

首先我們需要去 儀表板→建立新儀表板→建立新→餅狀儀表板

設定索引模式的類型,然後點選節拍的名稱。

按 Enter 鍵。 現在你應該看到一個綠色的甜甜圈。

在左側的「儲存桶」標籤中,您會發現:

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

— 分割切片將根據資料的分佈將甜甜圈分成不同的部分。

- 拆分圖表將在該圖表旁邊創建另一個甜甜圈。

我們將使用分割切片。

我們將根據我們選擇的術語來視覺化我們的數據。 在這種情況下,該術語將指 MITRE ATT & CK。

在 Winlogbeat 中,為我們提供此資訊的欄位稱為:

winlog.event_data.RuleName

我們將設定一個計數指標,根據事件發生的次數對事件進行排序。

啟用“將其他值分組到單獨的段中”功能。

如果您選擇的術語根據節奏有許多不同的含義,這將很有用。 這有助於將其餘數據作為一個整體進行視覺化。 這將使您了解剩餘事件的百分比。

現在我們已經完成了數據選項卡的設置,讓我們轉到選項選項卡

您必須執行以下操作:

**刪除甜甜圈形狀,以便渲染完整的圓形。

**選擇您喜歡的圖例位置。 在這種情況下,我們會將它們顯示在右側。

**設定顯示值以顯示在其程式碼片段旁邊,以便於閱讀,並將其餘部分保留為預設值

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

截斷決定了要從事件名稱中顯示多少內容。

設定渲染開始的時間,然後點擊藍色方塊。

你最終應該得到這樣的結果:

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

您也可以在視覺化中新增過濾器,以過濾掉您想要檢查的特定主機或您認為對您的目的有用的任何參數。 視覺化將僅顯示與篩選器中放置的規則相符的資料。 在這種情況下,我們將僅顯示來自名為 win10 的主機的 MITRE ATT&CK 資料。

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

3-2- 建立您的第一個儀表板:

儀表板是許多可視化的集合。 您的儀表板應該清晰、易於理解,並包含有用的確定性數據。 以下是我們為 winlogbeat 從頭開始建立的儀表板範例。

ELK SIEM Open Distro:ELK 中 ELK 和 SIEM 儀表板的可視化

感謝您的時間。 我希望這篇文章對您有幫助。 如果您想了解有關該主題的更多信息,我們建議您訪問 官方網站.

Elasticsearch 上的 Telegram 聊天: https://t.me/elasticsearch_ru

來源: www.habr.com

添加評論