ELK, SIEM d'OpenSource, Open Distro: Visualisation des tableaux de bord ELK et SIEM dans ELK

Cet article décrit comment personnaliser la visualisation des tableaux de bord ELK et SIEM dans ELK. L'

article est divisé en sections suivantes:

1- Présentation d'ELK SIEM

2- Tableaux de bord par défaut

3- Créez vos premiers tableaux de bord

Table des matières de tous les articles.

• Introduction. Déploiement d'infrastructure et de technologie pour SOC as a Service (SOCasS)
• Pile ELK - installation et configuration
• Marcher dans la Distro ouverte
• Tableaux de bord et visualisation ELK SIEM
• Intégration avec WAZUH
• Alerte
• Faire un rapport
• La gestion de cas

1-ELK SIEM Vue d'ensemble

ELK SIEM a récemment été ajouté à la pile d'élans dans la version 7.2 du 25 juin 2019.

Il s'agit d'une solution SIEM créée par Elastic.co pour rendre la vie d'un analyste de sécurité beaucoup plus facile et moins fastidieuse.

Dans notre version du travail, nous avons décidé de créer notre propre SIEM et de choisir notre propre panneau de contrôle.

Mais nous pensons qu'il est important d'apprendre d'abord ELK SIEM.

1.1- Section des événements hôtes

Tout d'abord, nous allons examiner la section hôte. La section hôte vous permettra de voir les événements qui sont générés au point final.

- . , :

1 Windows 10.

2 Ubuntu 18.04.

, .

, , , .

, , . . , , ,

1.2-

, - . , , HTTP / TLS DNS .

2-

, elastic.co , ELK. . Packetbeat .

. , . , .

Kibana . , .

. . , , .

, .

PacketBeat.

. , IP-, .

3 —

3–1-

A- :

, .

:

• Markdown

B- KQL ( Kibana):

, . , , . ,

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

Windows 10 pro.

C- :

, , , . . , .

D- :

MITER ATT & CK.

Dashboard → Create new dashboard→create new →Pie dashboard

, .

. .

Buckets :

— Split slices .

— Split Chart .

.

. MITER ATT & CK.

Winlogbeat , , :

winlog.event_data.RuleName

, .

“ ”.

, , , , . . .

, ,

:

** , .

** , . .

** , ,

, .

, , .

:

, , , , , , . , , . MITER ATT & CK, win10.

3-2- Créez votre premier tableau de bord:

Un tableau de bord est un ensemble de nombreuses visualisations. Vos tableaux de bord doivent être clairs, compréhensibles et contenir des données utiles et déterministes. Voici un exemple de tableaux de bord que nous avons créés à partir de zéro pour winlogbeat.

Merci pour votre temps. J'espère que cet article vous a été utile. Si vous souhaitez plus d'informations sur le sujet, nous vous recommandons de visiter le site officiel .

Chat télégramme sur Elasticsearch: https://t.me/elasticsearch_ru