ELK SIEM Open Distro: pile ELK - installation et configuration.
Ce chapitre décrit l'installation et la configuration de la pile ELK. On aurait pu sauter ce chapitre sans le traduire, mais alors le fil entre les chapitres originaux sera perdu.
Table des matières de tous les articles.
- Introduction. Déploiement d'infrastructure et de technologie pour SOC as a Service (SOCasS)
- Pile ELK - installation et configuration
- Marcher dans la Distro ouverte
- Tableaux de bord et visualisation ELK SIEM
- Intégration avec WAZUH
- Alerte
- Faire un rapport
- La gestion de cas
1- Installer et configurer ELK STACK
1.1- Introduction à ELK
A- Qu'est-ce que ELK?
B- Différence entre ELK Basic et ELK Oss?
1.2- Installation d'ELK
Dans notre projet, nous avons commencé à configurer ELK Stack Basic (7.6.1) et référencé le guide officiel fourni par élastique.co:
https://www.elastic.co/guide/en/elastic-stack/current/installing-elastic-stack.html
1.3- Configuration ELK
Dans cette section, nous vous fournirons la configuration que nous avons faite pour la pile ELK.
A- Configuration d'Elasticsearch
Tous les paramètres ont été définis dans le fichier elasticsearch.yml situé dans /etc/elasticsearch/elasticsearch.yml
, : sudo nano /etc/elasticsearch/elasticsearch.yml
elasticsearch.
. , , . http.port . .
network.bind_host: 0.0.0.0 Elasticsearch, ELK.
, ElasticSearch :
sudo systemctl restart elasticsearch: network.bind_host to 0.0.0.0 - . .
B-Kibana:
kibana.yml, /etc/kibana/kibana.yml. , :
sudo nano /etc/kibana/kibana.yml
Kibana , server.host: "0.0.0.0". , , . , , 5601. Kibana: sudo systemctl restart kibana
Kibana . Http://your_Server_IP: 5601
, , , .
: server.host 0.0.0.0 - . .
C-Logstash:
logstash:
sudo cat /etc/logstash/logstash-sample.confLogstash. , /etc/logstash/conf.d/ logstash.conf
: sudo systemctl restart logstash
D- :**
logstash, kibana elasticsearch. :
, . , tcp6 tcp.
Kibana: 5601
Elasticsearch: 9200
Logstash: 5044
2-Beats :
A- Winlogbeat:
URL:
https://www.elastic.co/fr/downloads/beats/winlogbeat
:
https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation.html
B- Winlogbeat:
winlogbeat.yml:
winlogbeat.event_logs:
winlogbeat winlogbeat.yml , Winlogbeat. , , . , Sysmon .
:
— index.number_of_shards:
, . , Elasticsearch , , .
— index.number_of_replicas:
, Elasticsearch . , , Elasticsearch. , .
:
Elasticsearch Logstash .
:
, winlogbeat, :
(ILM):
, ILM. ILM Index Lifecycle Manager — x-pack, ELK, ELK oss. ILM , . : , , , , , .
ILM ELK, , Elasticsearch. ILM , .
Sysmon MITER ATT & CK:
Sysmon , , sysmon ELK.
(Sysmon) — Windows , , , Windows. , . , Windows Event Collection SIEM, , , .
MITER ATT & CK — , . ATT & CK , , .
I. Sysmon:
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
II. xml- sysmon, MITER ATT CK: https://raw.githubusercontent.com/ion-storm/sysmon-config/master/sysmonconfig-export.xml
III. Sysmon :
sysmon64 -accepteula -i sysmonconfig-export.xmlIV. :
sysmon64 –c, :
I. :
, . , , , , .
Elasticsearch. Elasticsearch, . winlogbeat Elasticsearch, .
Logstash Elasticsearch.
II. :
https://www.elastic.co/guide/en/beats/winlogbeat/current/load-kibana-dashboards.html
:
, Kibana.
:
, . Elasticsearch, , Logstash, .
ELK:
winlogbeat sysmon PowerShell services.msc, Kibana.
winlogbeat. ELK STACK Logstash , .
winlogbeat:
Discover sysmon ( MITER):
winlogbeat , .
, :
Winlogbeat
Filebeat
Packetbeat
Metricbeat
, , metricbeat filebeat, , .
, filebeat ssh, sudo ubuntu Suricata Suricata IDS.
Suricata:
Suricata filebeat:
sudo filebeat modules enable Suricata
, filebeat, /etc/filebeat/modules.d/
, :
filebeat modules list
Voici le lien que nous avons utilisé pour installer Suricata sur notre appareil: https://www.alibabacloud.com/blog/594941
Vous devriez obtenir une barre d'outils similaire à celle-ci. Ne vous inquiétez pas si vous n'obtenez pas exactement ce résultat, nous travaillerons avec le tableau de bord dans les articles suivants.
Il est également possible d'intégrer l'interface Suricata dans la pile ELK, pour laquelle vous pouvez vérifier ce lien .