ELK SIEM Open Distro: une introduction. Déploiement d'infrastructure et de technologie pour SOC as a Service (SOCasS)
Au cours des deux dernières années, le nombre de cyberattaques a explosé. Ces attaques ciblent non seulement les particuliers, mais aussi les entreprises, les gouvernements, les infrastructures critiques, etc. Les solutions traditionnelles comme les antivirus, les pare-feu, NIDS et NIPS ne sont plus suffisantes en raison de la complexité et du nombre impressionnant d'attaques.
Cette série d'articles a été conçue comme la construction d'un équivalent SIEM entièrement open source. Les détails seront présentés dans les articles suivants.
Table des matières de tous les articles.
- Introduction. Déploiement d'infrastructure et de technologie pour SOC as a Service (SOCasS)
- Pile ELK - installation et configuration
- Marcher dans la Distro ouverte
- Tableaux de bord et visualisation ELK SIEM
- Intégration avec WAZUH
- Alerte
- Faire un rapport
- La gestion de cas
Au cours des deux dernières années, le nombre de cyberattaques a explosé. Ces attaques ciblent non seulement les particuliers, mais aussi les entreprises, les gouvernements, les infrastructures critiques, etc. Les solutions traditionnelles comme les antivirus, les pare-feu, NIDS et NIPS ne sont plus suffisantes en raison de la complexité et du nombre impressionnant d'attaques.
SIEM (Security Information and Event Management) , , . , .
, SOC, . SOC- , , , . , , . - SOC.
. SOCaaS . , .
100% .
:
, , , , , .
, . Logstash (VPN-). ELK beats wazuh-agent ELK SIEM.
Logstash. Elasticsearch . , .
WAZUH HIDS Wazuh Elasticsearch.
ElastAlert .
MISP, , . , Cortex MISP.
, :
Hardware:
, , .
, .
, , (, , . .… )
Disclaimer :
, , - POC . POC.
, , . . 8 Vcpu , 32 8 .
:
ELK stack: ELK stack- , , : Elasticsearch, Logstash Kibana. Elasticsearch, ELK , , , .
Beats: , (, , ). Beats Elasticsearch , Logstash, Kibana.
Elastalert: , Elasticsearch. Elasticsearch , . Elasticsearch , , , . , , .
Suricata: , (OISF). Suricata (IDS) (IPS), .
Open Distro Elasticsearch:
- (Alerting): , , . Kibana API .
- (Security): ( Active Directory OpenID), , , , .
Praeco: Elasticsearch- ElastAlert, API ElastAlert. Praeco Elasticsearch , Slack, , Telegram HTTP POST, , .
Wazuh: , , . , , . Wazuh , . , , .
Nessus Essentials: , . , .
TheHive: TheHive " , , , , ”.
Cortex: Cortex- , TheHive, . Cortex "" , . , IP, URL , . VirusTotal, .
MISP : Malware Information and Sharing Platform (MISP) est une plate-forme de renseignement sur les menaces permettant de partager, de stocker et de corréler les mesures de compromission d'attaques ciblées, l'analyse des menaces, les informations sur la fraude financière, etc. Le MISP est aujourd'hui utilisé dans de nombreuses organisations pour stocker, partager des connaissances, collaborer sur des mesures de cybersécurité, analyser les logiciels malveillants pour fournir une meilleure protection de la sécurité.
Chat télégramme sur Elasticsearch: https://t.me/elasticsearch_ru