In diesem Beitrag wird beschrieben, wie Sie die Visualisierung von ELK- und SIEM-Dashboards in ELK anpassen. Der
Artikel ist in die folgenden Abschnitte unterteilt:
1- ELK SIEM Übersicht
2- Standard-Dashboards
3- Erstellen Sie Ihre ersten Dashboards
Inhaltsverzeichnis für alle Beiträge.
- Einführung. Bereitstellung von Infrastruktur und Technologie für SOC as a Service (SOCasS)
- ELK Stack - Installation und Konfiguration
- Spaziergang durch die offene Distribution
- Dashboards und ELK SIEM-Visualisierung
- Integration mit WAZUH
- Alarmierung
- Bericht erstellen
- Fallmanagement
1-ELK SIEM Übersicht
ELK SIEM wurde kürzlich in Version 7.2 vom 25. Juni 2019 zum Elchstapel hinzugefügt.
Dies ist eine SIEM-Lösung, die von elastic.co entwickelt wurde, um das Leben eines Sicherheitsanalysten viel einfacher und weniger langweilig zu gestalten.
In unserer Version der Arbeit haben wir beschlossen, ein eigenes SIEM zu erstellen und ein eigenes Control Panel auszuwählen.
Wir halten es jedoch für wichtig, zuerst ELK SIEM zu lernen.
1.1- Abschnitt "Host-Events"
Wir werden uns zuerst den Host-Bereich ansehen. Im Host-Bereich können Sie die Ereignisse anzeigen, die am Endpunkt generiert werden.
- . , :
1 Windows 10.
2 Ubuntu 18.04.
, .
, , , .
, , . . , , ,
1.2-
, - . , , HTTP / TLS DNS .
2-
, elastic.co , ELK. . Packetbeat .
. , . , .
Kibana . , .
. . , , .
, .
PacketBeat.
. , IP-, .
3 —
3–1-
A- :
, .
:
- Markdown
B- KQL ( Kibana):
, . , , . ,
https://www.elastic.co/guide/en/kibana/current/kuery-query.html
Windows 10 pro.
C- :
, , , . . , .
D- :
MITER ATT & CK.
Dashboard → Create new dashboard→create new →Pie dashboard
, .
. .
Buckets :
— Split slices .
— Split Chart .
.
. MITER ATT & CK.
Winlogbeat , , :
winlog.event_data.RuleName, .
“ ”.
, , , , . . .
, ,
:
** , .
** , . .
** , ,
, .
, , .
:
, , , , , , . , , . MITER ATT & CK, win10.
3-2- Erstellen Sie Ihr erstes Dashboard:
Ein Dashboard ist eine Sammlung vieler Visualisierungen. Ihre Dashboards sollten klar und verständlich sein und nützliche und deterministische Daten enthalten. Hier ist ein Beispiel für die Dashboards, die wir für Winlogbeat von Grund auf neu erstellt haben.
Vielen Dank für Ihre Zeit. Ich hoffe, dieser Artikel hat Ihnen geholfen. Wenn Sie weitere Informationen zum Thema wünschen, empfehlen wir Ihnen, die offizielle Website zu besuchen .
Telegramm-Chat auf Elasticsearch: https://t.me/elasticsearch_ru