ELK, SIEM de OpenSource, Open Distro: pilha ELK - instalação e configuração

ELK SIEM Open Distro: ELK stack - instalação e configuração.

Este capítulo descreverá a instalação e configuração da pilha ELK. Alguém poderia ter pulado este capítulo e não traduzido, mas então o fio entre os capítulos originais será perdido.

Índice de todas as postagens.

• Introdução. Implantação de infraestrutura e tecnologia para SOC as a Service (SOCasS)
• Pilha ELK - instalação e configuração
• Caminhando pela Distro aberta
• Painéis e visualização ELK SIEM
• Integração com WAZUH
• Alerta
• Fazendo relatório
• Gestão de caso

1- Instalação e configuração de ELK STACK

1.1- Introdução ao ELK

A- O que é ELK?

B- Diferença entre ELK Basic e ELK Oss?

1.2- Instalando ELK

Em nosso projeto, começamos a configurar ELK Stack Basic (7.6.1) e consultamos o guia oficial fornecido por elastic.co:

https://www.elastic.co/guide/en/elastic-stack/current/installing-elastic-stack.html

1.3- configuração ELK

Nesta seção, forneceremos a configuração que fizemos para a pilha ELK.

A- Configuração do Elasticsearch

Todas as configurações foram feitas no arquivo elasticsearch.yml localizado em /etc/elasticsearch/elasticsearch.yml

, : sudo nano /etc/elasticsearch/elasticsearch.yml

elasticsearch.

. , , . http.port . .

network.bind_host: 0.0.0.0 Elasticsearch, ELK.

, ElasticSearch :

sudo systemctl restart elasticsearch

: network.bind_host to 0.0.0.0 - . .

B-Kibana:

kibana.yml, /etc/kibana/kibana.yml. , :

sudo nano /etc/kibana/kibana.yml

Kibana , server.host: "0.0.0.0". , , . , , 5601. Kibana: sudo systemctl restart kibana

Kibana . Http://your_Server_IP: 5601

, , , .

: server.host 0.0.0.0 - . .

C-Logstash:

logstash:

sudo cat /etc/logstash/logstash-sample.conf

Logstash. , /etc/logstash/conf.d/ logstash.conf

: sudo systemctl restart logstash

D- :**

logstash, kibana elasticsearch. :

, . , tcp6 tcp.

Kibana: 5601

Elasticsearch: 9200

Logstash: 5044

2-Beats :

A- Winlogbeat:

URL:

https://www.elastic.co/fr/downloads/beats/winlogbeat

:

https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation.html

B- Winlogbeat:

winlogbeat.yml:

winlogbeat.event_logs:

winlogbeat winlogbeat.yml , Winlogbeat. , , . , Sysmon .

, .

:

— index.number_of_shards:

, . , Elasticsearch , , .

— index.number_of_replicas:

, Elasticsearch . , , Elasticsearch. , .

:

Elasticsearch Logstash .

:

, winlogbeat, :

(ILM):

, ILM. ILM Index Lifecycle Manager — x-pack, ELK, ELK oss. ILM , . : , , , , , .

ILM ELK, , Elasticsearch. ILM , .

Sysmon MITER ATT & CK:

Sysmon , , sysmon ELK.

(Sysmon) — Windows , , , Windows. , . , Windows Event Collection SIEM, , , .

MITER ATT & CK — , . ATT & CK , , .

I. Sysmon:

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

II. xml- sysmon, MITER ATT CK: https://raw.githubusercontent.com/ion-storm/sysmon-config/master/sysmonconfig-export.xml

III. Sysmon :

sysmon64 -accepteula -i sysmonconfig-export.xml

IV. :

sysmon64 –c

, :

I. :

, . , , , , .

Elasticsearch. Elasticsearch, . winlogbeat Elasticsearch, .

Logstash Elasticsearch.

II. :

https://www.elastic.co/guide/en/beats/winlogbeat/current/load-kibana-dashboards.html

:

, Kibana.

:

, . Elasticsearch, , Logstash, .

ELK:

winlogbeat sysmon PowerShell services.msc, Kibana.

winlogbeat. ELK STACK Logstash , .

winlogbeat:

Discover sysmon ( MITER):

winlogbeat , .

, :

Winlogbeat

Filebeat

Packetbeat

Metricbeat

, , metricbeat filebeat, , .

, filebeat ssh, sudo ubuntu Suricata Suricata IDS.

Suricata:

Suricata filebeat:

sudo filebeat modules enable Suricata

, filebeat, /etc/filebeat/modules.d/

, :

filebeat modules list

Este é o link que usamos para instalar o Suricata em nosso dispositivo: https://www.alibabacloud.com/blog/594941

Você deve obter uma barra de ferramentas semelhante a esta. Não se preocupe se não obtiver exatamente esse resultado, trabalharemos com o painel nos artigos a seguir.

Também é possível integrar a interface Suricata na pilha ELK, para a qual você pode verificar este link .

Elasticsearch telegrama chat