В этом посте будет описана настройка визуализации дашбордов ELK и SIEM в ELK. Статья разделена на следующие разделы: 1- Обзор ELK SIEM 2- Панели мониторинга по умолчанию 3- Создание первых информационных панелей Оглавление всех постов.
- Введение.
Развертывание инфраструктуры и технологий SOC как услуга (SOCasS)
- Стек ELK – установка и настройка
- Пройдитесь по открытому дистрибутиву
- Визуализация дашбордов и ELK SIEM
- Интеграция с WAZUH
- Оповещение
- Составление отчетов
- Управление делом
Обзор 1-ELK SIEM
ELK SIEM был недавно добавлен в стек Elk в версии 7.2 25 июня 2019 года.Это SIEM-решение, созданное компанией elastic.co, чтобы сделать жизнь аналитика безопасности намного проще и менее утомительной.
В нашем варианте работы мы решили создать свой SIEM и выбрать свою панель управления.
Но мы считаем, что важно сначала изучить ELK SIEM.
1.1- Раздел проведения мероприятий
Сначала мы рассмотрим раздел хоста.Раздел хоста позволит вам увидеть события, генерируемые в самой конечной точке.
После нажатия на «Просмотреть хосты» вы должны получить что-то вроде этого.
Как видите, к этому компьютеру подключено три хоста: 1 Винда 10. 2 Сервер Ubuntu 18.04. У нас отображается несколько визуализаций, каждая из которых представляет разные типы событий.
Например, тот, что посередине, показывает данные для входа на всех трех машинах.
Этот объем данных, который вы видите здесь, был собран в течение пяти дней.
Это объясняет большое количество неудачных и успешных входов в систему.
Вероятно, у вас будет небольшое количество журналов, так что не волнуйтесь.
1.2- Раздел сетевых событий
Перейдя к разделу сети, вы должны получить что-то вроде этого.Этот раздел позволит вам внимательно следить за всем, что происходит в вашей сети, от трафика HTTP/TLS до трафика DNS и оповещений о внешних событиях.
2- Панели мониторинга по умолчанию
Чтобы облегчить жизнь пользователям, разработчики elastic.co создали панель инструментов по умолчанию, официально поддерживаемую ELK. Наши биты не стали исключением из этого правила.Здесь я буду использовать панели мониторинга Packetbeat по умолчанию в качестве примера.
Если вы правильно выполнили второй шаг статьи.
У вас должна быть настроена панель инструментов.
Итак, давайте начнем.
На левой вкладке Kibana выберите символ информационной панели.
Это третий, если считать сверху.
Введите имя общего ресурса во вкладке поиска Если в бите несколько модулей.
Для каждого из них будет создана панель управления.
Но непустые данные будет отображать только тот, у которого активен модуль.
Выберите тот, который содержит название вашего модуля.
Это основной шаблон ПакетБит .
Это панель управления сетевым потоком.
Он расскажет нам о входящем и исходящем пакете, источниках и пунктах назначения IP-адресов, а также предоставит много полезной информации для аналитика центра безопасности.
3. Создание первых информационных панелей
3–1- Основные понятия
A- Типы информационных панелей: Это различные типы визуализаций, которые вы можете использовать для визуализации своих данных.например, у нас есть:
- гистограмма
- карта
- Виджет уценки
- Круговая диаграмма
B-KQL (язык запросов Kibana): Это язык, используемый в Kibana для удобного поиска данных.
Это позволяет вам проверить наличие определенных данных и многие другие полезные функции.
Чтобы узнать больше, вы можете изучить информацию по этой ссылке https://www.elastic.co/guide/en/kibana/current/kuery-query.html Это пример запроса для поиска хоста под управлением Windows 10 pro.
C- Фильтры: Эта функция позволит вам фильтровать определенные параметры, такие как имя хоста, код события или идентификатор и т. д. Фильтры значительно улучшат этап расследования с точки зрения времени и усилий, затрачиваемых на поиск доказательств.
D- Первая визуализация: Создадим визуализацию для MITRE ATT&CK. Сначала нам нужно зайти в Панель инструментов → Создать новую панель мониторинга → создать новую → Панель мониторинга Pie. Установите тип индексного паттерна, затем коснитесь названия своего ритма.
Нажмите Ввод. К этому моменту вы должны увидеть зеленый пончик.
На вкладке «Ведра» слева вы найдете:
— Разделенные фрагменты разделят пончик на разные части в зависимости от распространения данных.
- Разделить диаграмму создаст еще один пончик рядом с этим.
Мы будем использовать разделенные ломтики.
Мы будем визуализировать наши данные в зависимости от выбранного нами термина.
В этом случае термин будет относиться к MITRE ATT & CK. В Winlogbeat поле, которое предоставит нам эту информацию, называется:
Мы настроим метрику подсчета, чтобы упорядочить события по количеству раз, когда они происходят. Включите функцию «Группировать другие значения в отдельный сегмент».winlog.event_data.RuleName
Это будет полезно, если выбранные вами термины имеют много разных значений в зависимости от ритма.
Это помогает визуализировать остальные данные в целом.
Это даст вам представление о проценте оставшихся событий.
Теперь, когда мы закончили настройку вкладки данных, давайте перейдем к вкладке параметров.
Вы должны сделать следующее: **Удалите форму пончика, чтобы на рендере отображался полный круг.
**Выберите положение легенды, которое вам нравится.
В этом случае мы отобразим их справа.
**Установите отображаемые значения рядом с их фрагментом для облегчения чтения, а остальные оставьте по умолчанию.
Усечение определяет, какую часть имени события вы хотите отобразить.
Установите время начала рендеринга, а затем щелкните синий квадрат. В итоге у вас должно получиться что-то вроде этого:
Вы также можете добавить фильтр к своей визуализации, чтобы отфильтровать конкретный хост, который вы хотите проверить, или любые параметры, которые, по вашему мнению, полезны для вашей цели.
Визуализация будет отображать только данные, соответствующие правилу, помещенному в фильтр.
В этом случае мы будем отображать только данные MITRE ATT&CK, поступающие с хоста с именем win10.
3-2- Создание первой информационной панели:
Панель мониторинга представляет собой набор множества визуализаций.Ваши информационные панели должны быть ясными, понятными и содержать полезные детерминированные данные.
Вот пример информационных панелей, которые мы создали с нуля для winlogbeat.
Спасибо за ваше время.
Надеюсь, вы нашли эту статью полезной.
Если вам нужна дополнительная информация по этой теме, рекомендуем посетить официальный сайт .
Telegram-чат на Elasticsearch: https://t.me/elasticsearch_ru Теги: #ИТ-инфраструктура #Администрирование серверов #DevOps #Большие данные #Визуализация данных #elk #siem #siem #SIEM
-
Беспроводные Электронные Сети — Это Чудо
19 Oct, 24 -
Карнеад
19 Oct, 24 -
Аутентификация Как Механизм Лицензирования
19 Oct, 24