In diesem Beitrag wird beschrieben, wie Sie open Distro for Elasticsearch installieren und konfigurieren.
Die folgenden Plugins sind in open Distro verfügbar:
- Sicherheit
- Alarmierung
- SQL
- Informationssicherheitsmanagement (ISM)
- Leistungsanalysator
Inhaltsverzeichnis für alle Beiträge.
- Einführung. Bereitstellung von Infrastruktur und Technologie für SOC as a Service (SOCasS)
- ELK Stack - Installation und Konfiguration
- Spaziergang durch die offene Distribution
- Dashboards und ELK SIEM-Visualisierung
- Integration mit WAZUH
- Alarmierung
- Bericht erstellen
- Fallmanagement
In unserem Projekt haben wir nur Sicherheits- und Alarm-Plugins installiert.
1-Alarm-Funktion:
Mit Open Distro for Elasticsearch können Sie Ihre Daten verfolgen und automatisch Benachrichtigungen an Stakeholder senden. Es ist einfach einzurichten und zu verwalten und verwendet die Kibana-Oberfläche mit einer leistungsstarken API.
, , - . , , . , Elasticsearch .
URL- ( 1.6.0 ) :
https://opendistro.github.io/for-elasticsearch-docs/version-history/
, elasticsearch kibana:
/usr/share/elasticsearch : Elasticsearch
/usr/share/kibana : Kibana1.1- Alerting elasticsearch:
cd /usr/share/elasticsearch
sudo bin/elasticsearch-plugin install https://d3g5vo6xdbdb9a.cloudfront.net/downloads/elasticsearch-plugins/opendistro-sql/opendistro_sql-1.6.0.0.zip1.2- Alerting kibana :
cd /usr/share/kibana
sudo bin/kibana-plugin install — allow-root https://d3g5vo6xdbdb9a.cloudfront.net/downloads/kibana-plugins/opendistro-alerting/opendistro-alerting-1.6.0.0.zip1.3- , :
— Kibana :
sudo bin/kibana-plugin list
sudo bin/kibana-plugin remove <plugin-name>— elasticsearch :
sudo bin/elasticsearch-plugin list
sudo bin/elasticsearch-plugin remove <plugin-name>1.4- kibana elasticsearch :
systemctl restart kibana elasticsearch: , elasticsearch kibana , kibana ( kibana is not ready yet ). kibana elasticsearch top.
1.5- kibana :
1.6- :
) URL- - Slack:
Slack — , « , ». Slack — .
Webhooks — Slack. - URL-, JSON . Incoming Webhooks, .
(slack.com)
, Slack.
, ,
, , Incoming Webhook, :
Slack
( ) « ».
, URL- - ( , )
Kibana → Alerting → Destination add destination:
, Slack, URl - .
1.6.2- Slack:
:
:
( : 4624 , )
- Monitor Schedule
, :
, , :
Kibana, Slack:
Slack- (#test ) :
2- :
, , , .
2.1- :
, Kibana . , , , .
( 1 4), , . URL:
Kibana:
sudo bin/kibana-plugin install — allow-root https://d3g5vo6xdbdb9a.cloudfront.net/downloads/kibana-plugins/opendistro-security/opendistro_security_kibana_plugin-1.6.0.0.zipElasticsearch:
sudo bin/elasticsearch-plugin install https://d3g5vo6xdbdb9a.cloudfront.net/downloads/elasticsearch-plugins/opendistro-security/opendistro_security-1.6.0.0.zip: type y
:
sudo sh /usr/share/elasticsearch/plugins/opendistro_security/tools/install_demo_configuration.sh.
securityadmin.sh.
:
cd /usr/share/elasticsearch/plugins/opendistro_security/tools/
chmod +x install_demo_configuration.sh
./install_demo_configuration.shy ( : admin / : admin)
/etc/elasticsearch/elasticsearch.yml
2.2- elasticsearch logstash kibana:
, SSL elasticsearch. , .
2.2.1- Elasticsearch:
x-pack security elasticsearch: elasticsearch , , - xpack, ELK Stack, /etc/elasticsearch/elasticsearch.yml .
2.2.2- :
x-pack security Kibana: xpack.security ssl /etc/kibana/kibana.yml
. , — https, http.
2.2.3- Logstash:
elasticsearch, logstash, , logstash.
, https, http.
sudo nano /etc/logstash/conf.d/logstash.conf
: , elasticsearch , SSL, , . , — https, http.
2.3- :
systemctl restart elasticsearch
systemctl restart logtash
systemctl restart kibana, . top . (kibana is not ready yet).
ELK .
, URL- Elasticsearch (http , https)
:
Hier können Sie Benutzer erstellen, Rollen und Berechtigungen zuweisen:
Es hilft Ihnen, SOC-Gruppen basierend auf Rollen, Aktionen und Berechtigungen zu organisieren.
Hier sind die Standardrollen und die Datenbank der internen Benutzer:
Telegramm-Chat auf Elasticsearch: https://t.me/elasticsearch_ru