Bonjour et bienvenue dans notre nouvel article sur les alertes dans notre solution SOCaaS. Comme vous le savez tous, les alertes dans n'importe quel SOC jouent un rôle essentiel dans la notification de l'équipe d'intervention.
Ils peuvent interrompre la chaîne des cyberattaques ou suivre cette attaque, selon la politique de l'entreprise et de l'équipe. Vous vous demandez probablement pourquoi nous devons inclure plus d'avertissements. Les modules d'alerte Open Distro ne suffisent-ils pas? C'est parce qu'il manque le nombre de sorties et son intégrabilité avec le reste de notre solution comme Thehive. Nous allons vous présenter une autre alternative.
Table des matières de tous les articles.
- Introduction. Déploiement d'infrastructure et de technologie pour SOC as a Service (SOCasS)
- Pile ELK - installation et configuration
- Marcher dans la Distro ouverte
- Tableaux de bord et visualisation ELK SIEM
- Intégration avec WAZUH
- Alerte
- Faire un rapport
- La gestion de cas
L'article est divisé en sections suivantes:
* Installer et configurer ElastAlert, ElastAlert-Server et Praeco
* Créer des règles
1- ElastAlert, ElastAlert-Server Praeco:
1.1 :
A-
— Praeco: , Slack, , Telegram, Jira.
Praeco , , , Kibana (KQL).
— ElastAlert — , Elasticsearch. Elasticsearch : . Elasticsearch , , , . , , .
, , .
— Sigma: Sigma — , . , . — , .
B- :
cd /etc
git clone https://github.com/Yelp/elastalert.git
git clone https://github.com/ServerCentral/elastalert-server.git
git clone https://github.com/ServerCentral/praeco.gitURL-: https://github.com/ServerCentral/praeco
1.2- Elastalert:
cd /etc/elastalert
mkdir rules rule_templates
cp config.yaml.example config.yaml
nano config.yamlelastalert config.yaml :
es_host: localhost
writeback_index: elastalert_status
rules_folder rules
. python 2.7, 3.6.
A- python3.6 Ubuntu:
sudo add-apt-repository ppa:deadsnakes/ppa
sudo apt update
sudo apt install python3.6B- Python:
sudo update-alternatives — install /usr/bin/python python /usr/bin/python2.7
sudo update-alternatives — install /usr/bin/python python /usr/bin/python3.6C- Python :
update-alternatives — config pythonpython3.6
python3.6
D-Install pip3:
sudo apt install python3-pipE- PyYAML ( 5.1):
pip install PyYAML==5.1F- elastalert
cd /etc/elastalert
pip3 install “setuptools>=11.3”
python setup.py installG- :
cd /usr/local/bin/
./elastalert-create-indexES Host : localhost
ES Port : 9200
Use ssl : t
Verify ssl :fES_username: admin ES_password: admin.
.
1.3- API:
API /etc/elastalert-server/config/config.json :
- elastalert elastalertPath:
/etc/elastalert - elasticsearch es_host: elasticsearch
- writeback_index config.yaml: elastalert_status
A- (No Data):
, , _type elastalert. 7.x, , _type _doc.
, ( Praeco ) No Data.
, :
cd /etc/elastalert-server/src/handlers/metadata/
nano get.js, : «elastalert»,
praeco.
B- Elastalert-Server:
sudo npm install
sudo npm run start , . - (SSL_verify = False).
1.4- Praeco:
A- :
cd /etc/praeco/config
nano api.config.json
nano elastalert.yml
B- Praeco:
sudo npm install
export PRAECO_ELASTICSEARCH=localhostC- BaseRule.cfg:
:
cp /etc/praeco/rules/BaseRule.config /etc/elastalert/rules/Slack, SMTP Telegram.
URL- Slack Webhook, 2.
cd /etc/elastalert/rules/
nano BaseRule.configURL- Webhook
D- Praeco:
npm run serve, http://yourServerIP: 8080.
Praeco
2- :
2.1.- Praeco Slack webhook:
(Rules) -> (Add Rule):
, Open Distro Alerting Tool, .
UNFILTERED .
Close
Slack URL- -, 2, (#test).
Save
, Slack.
:
2.2- ElastAlert TheHive
, Praeco TheHive, elastalert-server.
Elastalert-server, Praeco, , , Praeco.
A- : «User_creation»:
-, Praceo, , URL- HTTP, .
, Save.
B- Thehive:
TheHive, Elastalert-Server
/etc/elastalert/rules
nano User_creation.yml
C. Praeco
Hive
, , Praeco, /etc/elastalert/rules:
D- TheHive:
2.3- Sigma :
, Sigma , Elastalert.
URL : https://github.com/Neo23x0/sigma.git
A- Sigma
cd ~
git clone https://github.com/Neo23x0/sigma.gitB-
cd ~/sigma/tools
pip3 install -r requirements.txt( ) ( ):
./sigmac -t elastalert -c winlogbeat ../rules/windows/builtin/win_user_creation.yml
, (Praeco / Elastalert-Server) - .
, ( ) Praeco .
, .
: (Kibana → Discover Interface) , , . , , « ».
2.4- Wazuh theHive:
, , wazuh, wazuh praeco, , Hive:
A. wazuh :
rule.id ( ).
wazuh → Overview → Security events.
B- elastalert-server:
nano /etc/elastalert/wazuh-alert-TEST.yaml
C- :
. , , . .