この投稿では、ELKおよびSIEMダッシュボードの視覚化をELKでカスタマイズする方法について説明します。この
記事は次のセクションに分かれています。
1- ELKSIEMの概要
2-デフォルトのダッシュボード
3-最初のダッシュボードを作成する
すべての投稿の目次。
- 前書き。SOC as a Service(SOCasS)のインフラストラクチャとテクノロジーの展開
- ELKスタック-インストールと構成
- オープンディストロを歩く
- ダッシュボードとELKSIEMの視覚化
- WAZUHとの統合
- アラート
- レポート作成
- ケース管理
1-ELKSIEMの概要
ELK SIEMは、2019年6月25日のバージョン7.2でelkスタックに最近追加されました。
これは、elastic.coによって作成されたSIEMソリューションであり、セキュリティアナリストの生活をはるかに簡単で面倒なものにしません。
私たちのバージョンの作業では、独自のSIEMを作成し、独自のコントロールパネルを選択することにしました。
しかし、最初にELKSIEMを学ぶことが重要だと考えています。
1.1-ホストイベントセクション
まず、ホストセクションを見てみましょう。ホストセクションでは、エンドポイントで生成されたイベントを確認できます。
- . , :
1 Windows 10.
2 Ubuntu 18.04.
, .
, , , .
, , . . , , ,
1.2-
, - . , , HTTP / TLS DNS .
2-
, elastic.co , ELK. . Packetbeat .
. , . , .
Kibana . , .
. . , , .
, .
PacketBeat.
. , IP-, .
3 —
3–1-
A- :
, .
:
- Markdown
B- KQL ( Kibana):
, . , , . ,
https://www.elastic.co/guide/en/kibana/current/kuery-query.html
Windows 10 pro.
C- :
, , , . . , .
D- :
MITER ATT & CK.
Dashboard → Create new dashboard→create new →Pie dashboard
, .
. .
Buckets :
— Split slices .
— Split Chart .
.
. MITER ATT & CK.
Winlogbeat , , :
winlog.event_data.RuleName, .
“ ”.
, , , , . . .
, ,
:
** , .
** , . .
** , ,
, .
, , .
:
, , , , , , . , , . MITER ATT & CK, win10.
3-2-最初のダッシュボードを作成します。
ダッシュボードは、多くの視覚化のコレクションです。ダッシュボードは明確で理解しやすく、有用で決定論的なデータが含まれている必要があります。これは、winlogbeat用に最初から作成したダッシュボードの例です。
お時間をいただきありがとうございます。この記事がお役に立てば幸いです。このトピックの詳細については、公式Webサイトにアクセスすることをお勧めします。
Elasticsearchでのテレグラムチャット:https://t.me/elasticsearch_ru