ELK SIEM Open Distro:はじめに。サービスとしてのSOC(SOCasS)のインフラストラクチャとテクノロジーの展開
過去2年間で、サイバー攻撃の数は頭打ちになっています。これらの攻撃は、個人だけでなく、企業、政府、重要なインフラストラクチャなども対象としています。攻撃の複雑さと圧倒的な数のため、アンチウイルス、ファイアウォール、NIDS、NIPSなどの従来のソリューションではもはや十分ではありません。
この一連の記事は、完全にオープンソースのSIEM対応物を構築することとして考案されました。詳細は以下の記事で紹介します。
すべての投稿の目次。
- 前書き。SOC as a Service(SOCasS)のインフラストラクチャとテクノロジーの展開
- ELKスタック-インストールと構成
- オープンディストロを歩く
- ダッシュボードとELKSIEMの視覚化
- WAZUHとの統合
- アラート
- レポート作成
- ケース管理
過去2年間で、サイバー攻撃の数は頭打ちになっています。これらの攻撃は、個人だけでなく、企業、政府、重要なインフラストラクチャなども対象としています。攻撃の複雑さと圧倒的な数のため、アンチウイルス、ファイアウォール、NIDS、NIPSなどの従来のソリューションではもはや十分ではありません。
SIEM (Security Information and Event Management) , , . , .
, SOC, . SOC- , , , . , , . - SOC.
. SOCaaS . , .
100% .
:
, , , , , .
, . Logstash (VPN-). ELK beats wazuh-agent ELK SIEM.
Logstash. Elasticsearch . , .
WAZUH HIDS Wazuh Elasticsearch.
ElastAlert .
MISP, , . , Cortex MISP.
, :
Hardware:
, , .
, .
, , (, , . .… )
Disclaimer :
, , - POC . POC.
, , . . 8 Vcpu , 32 8 .
:
ELK stack: ELK stack- , , : Elasticsearch, Logstash Kibana. Elasticsearch, ELK , , , .
Beats: , (, , ). Beats Elasticsearch , Logstash, Kibana.
Elastalert: , Elasticsearch. Elasticsearch , . Elasticsearch , , , . , , .
Suricata: , (OISF). Suricata (IDS) (IPS), .
Open Distro Elasticsearch:
- (Alerting): , , . Kibana API .
- (Security): ( Active Directory OpenID), , , , .
Praeco: Elasticsearch- ElastAlert, API ElastAlert. Praeco Elasticsearch , Slack, , Telegram HTTP POST, , .
Wazuh: , , . , , . Wazuh , . , , .
Nessus Essentials: , . , .
TheHive: TheHive " , , , , ”.
Cortex: Cortex- , TheHive, . Cortex "" , . , IP, URL , . VirusTotal, .
MISP:Malware Information and Sharing Platform(MISP)は、標的型攻撃、脅威分析、金融詐欺情報などからの侵害メトリックを共有、保存、および相関させるための脅威インテリジェンスプラットフォームです。MISPは現在、多くの組織で使用されており、知識の保存、知識の共有、サイバーセキュリティメトリックの共同作業、マルウェアの分析を行って、セキュリティ保護を強化しています。
Elasticsearchでのテレグラムチャット:https://t.me/elasticsearch_ru