こんにちは。SOCaaSソリューションのアラートに関する新しい記事へようこそ。ご存知のとおり、SOCのアラートは、対応チームに通知する上で重要な役割を果たします。
企業とチームのポリシーに応じて、サイバー攻撃の連鎖を中断したり、この攻撃を追跡したりできます。なぜもっと警告を含める必要があるのか疑問に思われるかもしれません。Open Distro Alertsモジュールでは不十分ですか?これは、出力の数と、Thehiveなどの他のソリューションとの統合性が不足しているためです。別の選択肢を紹介します。
すべての投稿の目次。
- 前書き。SOC as a Service(SOCasS)のインフラストラクチャとテクノロジーの展開
- ELKスタック-インストールと構成
- オープンディストロを歩く
- ダッシュボードとELKSIEMの視覚化
- WAZUHとの統合
- アラート
- レポート作成
- ケース管理
この記事は次のセクションに分かれています。
* ElastAlert、ElastAlert-Server、およびPraecoをインストールして構成します
*ルールを作成する
1- ElastAlert, ElastAlert-Server Praeco:
1.1 :
A-
— Praeco: , Slack, , Telegram, Jira.
Praeco , , , Kibana (KQL).
— ElastAlert — , Elasticsearch. Elasticsearch : . Elasticsearch , , , . , , .
, , .
— Sigma: Sigma — , . , . — , .
B- :
cd /etc
git clone https://github.com/Yelp/elastalert.git
git clone https://github.com/ServerCentral/elastalert-server.git
git clone https://github.com/ServerCentral/praeco.gitURL-: https://github.com/ServerCentral/praeco
1.2- Elastalert:
cd /etc/elastalert
mkdir rules rule_templates
cp config.yaml.example config.yaml
nano config.yamlelastalert config.yaml :
es_host: localhost
writeback_index: elastalert_status
rules_folder rules
. python 2.7, 3.6.
A- python3.6 Ubuntu:
sudo add-apt-repository ppa:deadsnakes/ppa
sudo apt update
sudo apt install python3.6B- Python:
sudo update-alternatives — install /usr/bin/python python /usr/bin/python2.7
sudo update-alternatives — install /usr/bin/python python /usr/bin/python3.6C- Python :
update-alternatives — config pythonpython3.6
python3.6
D-Install pip3:
sudo apt install python3-pipE- PyYAML ( 5.1):
pip install PyYAML==5.1F- elastalert
cd /etc/elastalert
pip3 install “setuptools>=11.3”
python setup.py installG- :
cd /usr/local/bin/
./elastalert-create-indexES Host : localhost
ES Port : 9200
Use ssl : t
Verify ssl :fES_username: admin ES_password: admin.
.
1.3- API:
API /etc/elastalert-server/config/config.json :
- elastalert elastalertPath:
/etc/elastalert - elasticsearch es_host: elasticsearch
- writeback_index config.yaml: elastalert_status
A- (No Data):
, , _type elastalert. 7.x, , _type _doc.
, ( Praeco ) No Data.
, :
cd /etc/elastalert-server/src/handlers/metadata/
nano get.js, : «elastalert»,
praeco.
B- Elastalert-Server:
sudo npm install
sudo npm run start , . - (SSL_verify = False).
1.4- Praeco:
A- :
cd /etc/praeco/config
nano api.config.json
nano elastalert.yml
B- Praeco:
sudo npm install
export PRAECO_ELASTICSEARCH=localhostC- BaseRule.cfg:
:
cp /etc/praeco/rules/BaseRule.config /etc/elastalert/rules/Slack, SMTP Telegram.
URL- Slack Webhook, 2.
cd /etc/elastalert/rules/
nano BaseRule.configURL- Webhook
D- Praeco:
npm run serve, http://yourServerIP: 8080.
Praeco
2- :
2.1.- Praeco Slack webhook:
(Rules) -> (Add Rule):
, Open Distro Alerting Tool, .
UNFILTERED .
Close
Slack URL- -, 2, (#test).
Save
, Slack.
:
2.2- ElastAlert TheHive
, Praeco TheHive, elastalert-server.
Elastalert-server, Praeco, , , Praeco.
A- : «User_creation»:
-, Praceo, , URL- HTTP, .
, Save.
B- Thehive:
TheHive, Elastalert-Server
/etc/elastalert/rules
nano User_creation.yml
C. Praeco
Hive
, , Praeco, /etc/elastalert/rules:
D- TheHive:
2.3- Sigma :
, Sigma , Elastalert.
URL : https://github.com/Neo23x0/sigma.git
A- Sigma
cd ~
git clone https://github.com/Neo23x0/sigma.gitB-
cd ~/sigma/tools
pip3 install -r requirements.txt( ) ( ):
./sigmac -t elastalert -c winlogbeat ../rules/windows/builtin/win_user_creation.yml
, (Praeco / Elastalert-Server) - .
, ( ) Praeco .
, .
: (Kibana → Discover Interface) , , . , , « ».
2.4- Wazuh theHive:
, , wazuh, wazuh praeco, , Hive:
A. wazuh :
rule.id ( ).
wazuh → Overview → Security events.
B- elastalert-server:
nano /etc/elastalert/wazuh-alert-TEST.yaml
C- :
. , , . .