ELK, SIEM von OpenSource, Open Distro: Eine Einführung. Bereitstellung von Infrastruktur und Technologie für SOC as a Service (SOCasS)

ELK SIEM Open Distro: Eine Einführung. Bereitstellung von Infrastruktur und Technologie für SOC as a Service (SOCasS)

In den letzten Jahren ist die Zahl der Cyber-Angriffe stark gestiegen. Diese Angriffe richten sich nicht nur an Einzelpersonen, sondern auch an Unternehmen, Regierungen, kritische Infrastrukturen und mehr. Herkömmliche Lösungen wie Antivirus, Firewall, NIDS und NIPS reichen aufgrund der Komplexität und der überwältigenden Anzahl von Angriffen nicht mehr aus.

Diese Artikelserie wurde als Aufbau eines vollständig Open-Source-SIEM-Gegenstücks konzipiert. Details werden in den folgenden Artikeln vorgestellt.

Inhaltsverzeichnis für alle Beiträge.

• Einführung. Bereitstellung von Infrastruktur und Technologie für SOC as a Service (SOCasS)
• ELK Stack - Installation und Konfiguration
• Spaziergang durch die offene Distribution
• Dashboards und ELK SIEM-Visualisierung
• Integration mit WAZUH
• Alarmierung
• Bericht erstellen
• Fallmanagement

In den letzten Jahren ist die Zahl der Cyber-Angriffe stark gestiegen. Diese Angriffe richten sich nicht nur an Einzelpersonen, sondern auch an Unternehmen, Regierungen, kritische Infrastrukturen und mehr. Herkömmliche Lösungen wie Antivirus, Firewall, NIDS und NIPS reichen aufgrund der Komplexität und der überwältigenden Anzahl von Angriffen nicht mehr aus.

SIEM (Security Information and Event Management) , , . , .

, SOC, . SOC- , , , . , , . - SOC.

. SOCaaS . , .

100% .

:

, , , , , .

, . Logstash (VPN-). ELK beats wazuh-agent ELK SIEM.

Logstash. Elasticsearch . , .

WAZUH HIDS Wazuh Elasticsearch.

ElastAlert .

MISP, , . , Cortex MISP.

, :

Hardware:

, , .

, .

, , (, , . .… )

Disclaimer :

• , , - POC . POC.

  
  
  

• , , . . 8 Vcpu , 32 8 .

  
  
  

:

• ELK stack: ELK stack- , , : Elasticsearch, Logstash Kibana. Elasticsearch, ELK , , , .

  
  
  

• Beats: , (, , ). Beats Elasticsearch , Logstash, Kibana.

  
  
  

• Elastalert: , Elasticsearch. Elasticsearch , . Elasticsearch , , , . , , .

  
  
  

• Suricata: , (OISF). Suricata (IDS) (IPS), .

  
  
  

• Open Distro Elasticsearch:

  
  
  
  • (Alerting): , , . Kibana API .
  • (Security): ( Active Directory OpenID), , , , .
  
  
  

• Praeco: Elasticsearch- ElastAlert, API ElastAlert. Praeco Elasticsearch , Slack, , Telegram HTTP POST, , .

  
  
  

• Wazuh: , , . , , . Wazuh , . , , .

  
  
  

• Nessus Essentials: , . , .

  
  
  

• TheHive: TheHive " , , , , ”.

  
  
  

• Cortex: Cortex- , TheHive, . Cortex "" , . , IP, URL , . VirusTotal, .

  
  
  

• MISP : Malware Information and Sharing Platform (MISP) ist eine Plattform für Bedrohungsinformationen zum Teilen, Speichern und Korrelieren von Kompromissmetriken aus gezielten Angriffen, Bedrohungsanalysen, Informationen zu Finanzbetrug und vielem mehr. MISP wird heutzutage in vielen Unternehmen verwendet, um Wissen zu speichern, auszutauschen, an Cybersicherheitsmetriken zusammenzuarbeiten und Malware zu analysieren, um einen besseren Sicherheitsschutz zu gewährleisten.

  
  
  

Telegramm-Chat auf Elasticsearch: https://t.me/elasticsearch_ru