ELK SIEM Open Distro:ELKスタック-インストールと構成。
この章では、ELKスタックのインストールと構成について説明します。この章をスキップして翻訳しなかった可能性がありますが、元の章の間のスレッドは失われます。
すべての投稿の目次。
- 前書き。SOC as a Service(SOCasS)のインフラストラクチャとテクノロジーの展開
- ELKスタック-インストールと構成
- オープンディストロを歩く
- ダッシュボードとELKSIEMの視覚化
- WAZUHとの統合
- アラート
- レポート作成
- ケース管理
1- ELKSTACKのインストールと構成
1.1-ELKの紹介
A- ELKとは何ですか?
1.2-ELKのインストール
私たちのプロジェクトでは、ELK Stack Basic(7.6.1)の構成を開始し、elastic.coが提供する公式ガイドを参照しました。
https://www.elastic.co/guide/en/elastic-stack/current/installing-elastic-stack.html
1.3-ELK構成
このセクションでは、ELKスタック用に作成した構成を提供します。
A-Elasticsearchの構成
すべての設定は、/ etc / elasticsearch /elasticsearch.ymlにあるelasticsearch.ymlファイルで行われました。
, : sudo nano /etc/elasticsearch/elasticsearch.yml
elasticsearch.
. , , . http.port . .
network.bind_host: 0.0.0.0 Elasticsearch, ELK.
, ElasticSearch :
sudo systemctl restart elasticsearch: network.bind_host to 0.0.0.0 - . .
B-Kibana:
kibana.yml, /etc/kibana/kibana.yml. , :
sudo nano /etc/kibana/kibana.yml
Kibana , server.host: "0.0.0.0". , , . , , 5601. Kibana: sudo systemctl restart kibana
Kibana . Http://your_Server_IP: 5601
, , , .
: server.host 0.0.0.0 - . .
C-Logstash:
logstash:
sudo cat /etc/logstash/logstash-sample.confLogstash. , /etc/logstash/conf.d/ logstash.conf
: sudo systemctl restart logstash
D- :**
logstash, kibana elasticsearch. :
, . , tcp6 tcp.
Kibana: 5601
Elasticsearch: 9200
Logstash: 5044
2-Beats :
A- Winlogbeat:
URL:
https://www.elastic.co/fr/downloads/beats/winlogbeat
:
https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation.html
B- Winlogbeat:
winlogbeat.yml:
winlogbeat.event_logs:
winlogbeat winlogbeat.yml , Winlogbeat. , , . , Sysmon .
:
— index.number_of_shards:
, . , Elasticsearch , , .
— index.number_of_replicas:
, Elasticsearch . , , Elasticsearch. , .
:
Elasticsearch Logstash .
:
, winlogbeat, :
(ILM):
, ILM. ILM Index Lifecycle Manager — x-pack, ELK, ELK oss. ILM , . : , , , , , .
ILM ELK, , Elasticsearch. ILM , .
Sysmon MITER ATT & CK:
Sysmon , , sysmon ELK.
(Sysmon) — Windows , , , Windows. , . , Windows Event Collection SIEM, , , .
MITER ATT & CK — , . ATT & CK , , .
I. Sysmon:
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
II. xml- sysmon, MITER ATT CK: https://raw.githubusercontent.com/ion-storm/sysmon-config/master/sysmonconfig-export.xml
III. Sysmon :
sysmon64 -accepteula -i sysmonconfig-export.xmlIV. :
sysmon64 –c, :
I. :
, . , , , , .
Elasticsearch. Elasticsearch, . winlogbeat Elasticsearch, .
Logstash Elasticsearch.
II. :
https://www.elastic.co/guide/en/beats/winlogbeat/current/load-kibana-dashboards.html
:
, Kibana.
:
, . Elasticsearch, , Logstash, .
ELK:
winlogbeat sysmon PowerShell services.msc, Kibana.
winlogbeat. ELK STACK Logstash , .
winlogbeat:
Discover sysmon ( MITER):
winlogbeat , .
, :
Winlogbeat
Filebeat
Packetbeat
Metricbeat
, , metricbeat filebeat, , .
, filebeat ssh, sudo ubuntu Suricata Suricata IDS.
Suricata:
Suricata filebeat:
sudo filebeat modules enable Suricata
, filebeat, /etc/filebeat/modules.d/
, :
filebeat modules list
これは、デバイスにSuricataをインストールするために使用したリンクです:https://www.alibabacloud.com/blog/594941
これに似たツールバーが表示されます。この結果が正確に得られなくても心配しないでください。次の記事でダッシュボードを使用します。
SuricataインターフェースをELKスタックに統合することも可能です。このリンクを確認できます。