ELK SIEM Open Distro: ELK Stack - Installation und Konfiguration.
In diesem Kapitel wird die Installation und Konfiguration des ELK-Stacks beschrieben. Man hätte dieses Kapitel überspringen und nicht übersetzen können, aber dann geht der Thread zwischen den ursprünglichen Kapiteln verloren.
Inhaltsverzeichnis für alle Beiträge.
- Einführung. Bereitstellung von Infrastruktur und Technologie für SOC as a Service (SOCasS)
- ELK Stack - Installation und Konfiguration
- Spaziergang durch die offene Distribution
- Dashboards und ELK SIEM-Visualisierung
- Integration mit WAZUH
- Alarmierung
- Bericht erstellen
- Fallmanagement
1- Installieren und Konfigurieren von ELK STACK
1.1- Einführung in ELK
A- Was ist ELK?
B- Unterschied zwischen ELK Basic und ELK Oss?
1.2- ELK installieren
In unserem Projekt haben wir mit der Konfiguration von ELK Stack Basic (7.6.1) begonnen und auf das offizielle Handbuch von elastic.co verwiesen:
https://www.elastic.co/guide/en/elastic-stack/current/installing-elastic-stack.html
1.3- ELK-Konfiguration
In diesem Abschnitt stellen wir Ihnen die Konfiguration zur Verfügung, die wir für den ELK-Stack vorgenommen haben.
A- Elasticsearch-Konfiguration
Alle Einstellungen wurden an der Datei elasticsearch.yml vorgenommen, die sich unter /etc/elasticsearch/elasticsearch.yml befindet
, : sudo nano /etc/elasticsearch/elasticsearch.yml
elasticsearch.
. , , . http.port . .
network.bind_host: 0.0.0.0 Elasticsearch, ELK.
, ElasticSearch :
sudo systemctl restart elasticsearch: network.bind_host to 0.0.0.0 - . .
B-Kibana:
kibana.yml, /etc/kibana/kibana.yml. , :
sudo nano /etc/kibana/kibana.yml
Kibana , server.host: "0.0.0.0". , , . , , 5601. Kibana: sudo systemctl restart kibana
Kibana . Http://your_Server_IP: 5601
, , , .
: server.host 0.0.0.0 - . .
C-Logstash:
logstash:
sudo cat /etc/logstash/logstash-sample.confLogstash. , /etc/logstash/conf.d/ logstash.conf
: sudo systemctl restart logstash
D- :**
logstash, kibana elasticsearch. :
, . , tcp6 tcp.
Kibana: 5601
Elasticsearch: 9200
Logstash: 5044
2-Beats :
A- Winlogbeat:
URL:
https://www.elastic.co/fr/downloads/beats/winlogbeat
:
https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation.html
B- Winlogbeat:
winlogbeat.yml:
winlogbeat.event_logs:
winlogbeat winlogbeat.yml , Winlogbeat. , , . , Sysmon .
:
— index.number_of_shards:
, . , Elasticsearch , , .
— index.number_of_replicas:
, Elasticsearch . , , Elasticsearch. , .
:
Elasticsearch Logstash .
:
, winlogbeat, :
(ILM):
, ILM. ILM Index Lifecycle Manager — x-pack, ELK, ELK oss. ILM , . : , , , , , .
ILM ELK, , Elasticsearch. ILM , .
Sysmon MITER ATT & CK:
Sysmon , , sysmon ELK.
(Sysmon) — Windows , , , Windows. , . , Windows Event Collection SIEM, , , .
MITER ATT & CK — , . ATT & CK , , .
I. Sysmon:
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
II. xml- sysmon, MITER ATT CK: https://raw.githubusercontent.com/ion-storm/sysmon-config/master/sysmonconfig-export.xml
III. Sysmon :
sysmon64 -accepteula -i sysmonconfig-export.xmlIV. :
sysmon64 –c, :
I. :
, . , , , , .
Elasticsearch. Elasticsearch, . winlogbeat Elasticsearch, .
Logstash Elasticsearch.
II. :
https://www.elastic.co/guide/en/beats/winlogbeat/current/load-kibana-dashboards.html
:
, Kibana.
:
, . Elasticsearch, , Logstash, .
ELK:
winlogbeat sysmon PowerShell services.msc, Kibana.
winlogbeat. ELK STACK Logstash , .
winlogbeat:
Discover sysmon ( MITER):
winlogbeat , .
, :
Winlogbeat
Filebeat
Packetbeat
Metricbeat
, , metricbeat filebeat, , .
, filebeat ssh, sudo ubuntu Suricata Suricata IDS.
Suricata:
Suricata filebeat:
sudo filebeat modules enable Suricata
, filebeat, /etc/filebeat/modules.d/
, :
filebeat modules list
Über diesen Link haben wir Suricata auf unserem Gerät installiert: https://www.alibabacloud.com/blog/594941
Sie sollten eine ähnliche Symbolleiste wie diese erhalten. Machen Sie sich keine Sorgen, wenn Sie nicht genau dieses Ergebnis erhalten. In den folgenden Artikeln werden wir mit dem Dashboard arbeiten.
Es ist auch möglich, die Suricata-Schnittstelle in den ELK-Stack zu integrieren, für den Sie diesen Link überprüfen können .