ELK, SIEM dari OpenSource, Open Distro: An Introduction. Penyebaran Infrastruktur dan Teknologi untuk SOC sebagai Layanan (SOCasS)

ELK SIEM Open Distro: Pengenalan. Penyebaran infrastruktur dan teknologi untuk SOC sebagai Layanan (SOCasS)

Selama beberapa tahun terakhir, jumlah serangan dunia maya telah meningkat pesat. Serangan ini tidak hanya menargetkan individu tetapi juga bisnis, pemerintah, infrastruktur penting, dan banyak lagi Solusi tradisional seperti antivirus, firewall, NIDS, dan NIPS tidak lagi memadai karena kompleksitas dan jumlah serangan yang sangat banyak.

Seri artikel ini dianggap sebagai membangun mitra SIEM open source sepenuhnya. Detailnya akan disajikan di artikel berikut.

Daftar isi untuk semua posting.

• Pengantar. Penyebaran Infrastruktur dan Teknologi untuk SOC sebagai Layanan (SOCasS)
• ELK stack - instalasi dan konfigurasi
• Berjalan melalui Distro terbuka
• Dashboard dan visualisasi ELK SIEM
• Integrasi dengan WAZUH
• Memperingatkan
• Membuat laporan
• Manajemen Kasus

Selama beberapa tahun terakhir, jumlah serangan dunia maya telah meningkat pesat. Serangan ini tidak hanya menargetkan individu tetapi juga bisnis, pemerintah, infrastruktur penting, dan banyak lagi Solusi tradisional seperti antivirus, firewall, NIDS, dan NIPS tidak lagi memadai karena kompleksitas dan jumlah serangan yang sangat banyak.

SIEM (Security Information and Event Management) , , . , .

, SOC, . SOC- , , , . , , . - SOC.

. SOCaaS . , .

100% .

:

, , , , , .

, . Logstash (VPN-). ELK beats wazuh-agent ELK SIEM.

Logstash. Elasticsearch . , .

WAZUH HIDS Wazuh Elasticsearch.

ElastAlert .

MISP, , . , Cortex MISP.

, :

Hardware:

, , .

, .

, , (, , . .… )

Disclaimer :

• , , - POC . POC.

  
  
  

• , , . . 8 Vcpu , 32 8 .

  
  
  

:

• ELK stack: ELK stack- , , : Elasticsearch, Logstash Kibana. Elasticsearch, ELK , , , .

  
  
  

• Beats: , (, , ). Beats Elasticsearch , Logstash, Kibana.

  
  
  

• Elastalert: , Elasticsearch. Elasticsearch , . Elasticsearch , , , . , , .

  
  
  

• Suricata: , (OISF). Suricata (IDS) (IPS), .

  
  
  

• Open Distro Elasticsearch:

  
  
  
  • (Alerting): , , . Kibana API .
  • (Security): ( Active Directory OpenID), , , , .
  
  
  

• Praeco: Elasticsearch- ElastAlert, API ElastAlert. Praeco Elasticsearch , Slack, , Telegram HTTP POST, , .

  
  
  

• Wazuh: , , . , , . Wazuh , . , , .

  
  
  

• Nessus Essentials: , . , .

  
  
  

• TheHive: TheHive " , , , , ”.

  
  
  

• Cortex: Cortex- , TheHive, . Cortex "" , . , IP, URL , . VirusTotal, .

  
  
  

• MISP : Malware Information and Sharing Platform (MISP) adalah platform intelijen ancaman untuk berbagi, menyimpan, dan menghubungkan metrik kompromi dari serangan yang ditargetkan, analisis ancaman, informasi penipuan keuangan, dan banyak lagi. MISP saat ini digunakan di banyak organisasi untuk menyimpan, berbagi pengetahuan, berkolaborasi dalam metrik keamanan siber, menganalisis malware untuk memberikan perlindungan keamanan yang lebih baik.

  
  
  

Obrolan Telegram di Elasticsearch: https://t.me/elasticsearch_ru