ELK, SIEM d'OpenSource, Open Distro: Marcher à travers Open Distro

Cet article décrira comment installer et configurer Open Distro pour Elasticsearch.

Les plugins suivants sont disponibles dans Open Distro:



  • Sécurité
  • Alerte
  • SQL
  • Gestion de la sécurité de l'information (ISM)
  • Analyseur de performances


Table des matières de tous les articles.





Dans notre projet, nous n'avons installé que des plugins de sécurité et d'alerte.



1-fonction d'alerte:



Open Distro for Elasticsearch vous permet de suivre vos données et d'envoyer automatiquement des alertes aux parties prenantes. Il est facile à configurer et à gérer et utilise l'interface Kibana avec une API puissante.



, , - . , , . , Elasticsearch .



URL- ( 1.6.0 ) :



https://opendistro.github.io/for-elasticsearch-docs/version-history/



, elasticsearch kibana:



/usr/share/elasticsearch :  Elasticsearch
/usr/share/kibana :  Kibana


1.1- Alerting elasticsearch:



cd /usr/share/elasticsearch
sudo bin/elasticsearch-plugin install https://d3g5vo6xdbdb9a.cloudfront.net/downloads/elasticsearch-plugins/opendistro-sql/opendistro_sql-1.6.0.0.zip


1.2- Alerting kibana :



cd /usr/share/kibana
sudo bin/kibana-plugin install — allow-root https://d3g5vo6xdbdb9a.cloudfront.net/downloads/kibana-plugins/opendistro-alerting/opendistro-alerting-1.6.0.0.zip


1.3- , :



— Kibana :



sudo bin/kibana-plugin list
sudo bin/kibana-plugin remove <plugin-name>


— elasticsearch :



sudo bin/elasticsearch-plugin list
sudo bin/elasticsearch-plugin remove <plugin-name>


1.4- kibana elasticsearch :



systemctl restart kibana elasticsearch


: , elasticsearch kibana , kibana ( kibana is not ready yet ). kibana elasticsearch top.



1.5- kibana :





1.6- :



) URL- - Slack:


Slack — , « , ». Slack — .



Webhooks — Slack. - URL-, JSON . Incoming Webhooks, .



  • (slack.com)





  • , Slack.





  • , ,





  • , , Incoming Webhook, :





  • Slack





  • ( ) « ».





  • , URL- - ( , )





  • Kibana → Alerting → Destination add destination:





  • , Slack, URl - .







1.6.2- Slack:


  • :





  • :









( : 4624 , )





  • Monitor Schedule




, :





, , :





Kibana, Slack:





Slack- (#test ) :





2- :



, , , .



2.1- :



, Kibana . , , , .



( 1 4), , . URL:



Kibana:



sudo bin/kibana-plugin install — allow-root https://d3g5vo6xdbdb9a.cloudfront.net/downloads/kibana-plugins/opendistro-security/opendistro_security_kibana_plugin-1.6.0.0.zip


Elasticsearch:



sudo bin/elasticsearch-plugin install https://d3g5vo6xdbdb9a.cloudfront.net/downloads/elasticsearch-plugins/opendistro-security/opendistro_security-1.6.0.0.zip


: type y





:



sudo sh /usr/share/elasticsearch/plugins/opendistro_security/tools/install_demo_configuration.sh


.



securityadmin.sh.



:



cd /usr/share/elasticsearch/plugins/opendistro_security/tools/
chmod +x install_demo_configuration.sh
./install_demo_configuration.sh


y ( : admin / : admin)





/etc/elasticsearch/elasticsearch.yml





2.2- elasticsearch logstash kibana:



, SSL elasticsearch. , .



2.2.1- Elasticsearch:


x-pack security elasticsearch: elasticsearch , , - xpack, ELK Stack, /etc/elasticsearch/elasticsearch.yml .



2.2.2- :


x-pack security Kibana: xpack.security ssl /etc/kibana/kibana.yml



. , — https, http.









2.2.3- Logstash:


elasticsearch, logstash, , logstash.



, https, http.



sudo nano /etc/logstash/conf.d/logstash.conf




: , elasticsearch , SSL, , . , — https, http.





2.3- :



systemctl restart elasticsearch
systemctl restart logtash
systemctl restart kibana


, . top . (kibana is not ready yet).



ELK .



, URL- Elasticsearch (http , https)







:







Ici, vous pouvez créer des utilisateurs, attribuer des rôles et des autorisations:





Il vous aide à organiser les groupes SOC en fonction des rôles, des actions et des privilèges.



Voici les rôles et la base de données par défaut des utilisateurs internes:







Chat télégramme sur Elasticsearch: https://t.me/elasticsearch_ru




All Articles