ELK, SIEM de OpenSource, Open Distro: An Introduction. Implantação de infraestrutura e tecnologia para SOC as a Service (SOCasS)

ELK SIEM Open Distro: An Introduction. Implantação de infraestrutura e tecnologia para SOC as a Service (SOCasS)

Nos últimos anos, o número de ataques cibernéticos disparou. Esses ataques visam não apenas indivíduos, mas também empresas, governos, infraestrutura crítica e muito mais. Soluções tradicionais como antivírus, firewall, NIDS e NIPS não são mais suficientes devido à complexidade e ao número impressionante de ataques.

Esta série de artigos foi concebida como uma contraparte de SIEM totalmente de código aberto. Os detalhes serão apresentados nos artigos a seguir.

Índice de todas as postagens.

• Introdução. Implantação de infraestrutura e tecnologia para SOC as a Service (SOCasS)
• Pilha ELK - instalação e configuração
• Caminhando pela Distro aberta
• Painéis e visualização ELK SIEM
• Integração com WAZUH
• Alerta
• Fazendo relatório
• Gestão de caso

Nos últimos anos, o número de ataques cibernéticos disparou. Esses ataques visam não apenas indivíduos, mas também empresas, governos, infraestrutura crítica e muito mais. Soluções tradicionais como antivírus, firewall, NIDS e NIPS não são mais suficientes devido à complexidade e ao número impressionante de ataques.

SIEM (Security Information and Event Management) , , . , .

, SOC, . SOC- , , , . , , . - SOC.

. SOCaaS . , .

100% .

:

, , , , , .

, . Logstash (VPN-). ELK beats wazuh-agent ELK SIEM.

Logstash. Elasticsearch . , .

WAZUH HIDS Wazuh Elasticsearch.

ElastAlert .

MISP, , . , Cortex MISP.

, :

Hardware:

, , .

, .

, , (, , . .… )

Disclaimer :

• , , - POC . POC.

  
  
  

• , , . . 8 Vcpu , 32 8 .

  
  
  

:

• ELK stack: ELK stack- , , : Elasticsearch, Logstash Kibana. Elasticsearch, ELK , , , .

  
  
  

• Beats: , (, , ). Beats Elasticsearch , Logstash, Kibana.

  
  
  

• Elastalert: , Elasticsearch. Elasticsearch , . Elasticsearch , , , . , , .

  
  
  

• Suricata: , (OISF). Suricata (IDS) (IPS), .

  
  
  

• Open Distro Elasticsearch:

  
  
  
  • (Alerting): , , . Kibana API .
  • (Security): ( Active Directory OpenID), , , , .
  
  
  

• Praeco: Elasticsearch- ElastAlert, API ElastAlert. Praeco Elasticsearch , Slack, , Telegram HTTP POST, , .

  
  
  

• Wazuh: , , . , , . Wazuh , . , , .

  
  
  

• Nessus Essentials: , . , .

  
  
  

• TheHive: TheHive " , , , , ”.

  
  
  

• Cortex: Cortex- , TheHive, . Cortex "" , . , IP, URL , . VirusTotal, .

  
  
  

• MISP : Malware Information and Sharing Platform (MISP) é uma plataforma de inteligência de ameaças para compartilhar, armazenar e correlacionar as métricas de comprometimento de ataques direcionados, análise de ameaças, informações de fraude financeira e muito mais. O MISP é usado hoje em muitas organizações para armazenar, compartilhar conhecimento, colaborar em métricas de segurança cibernética e analisar malware para fornecer melhor proteção de segurança.

  
  
  

Bate-papo por telegrama no Elasticsearch: https://t.me/elasticsearch_ru