ELK SIEM Open Distro: ELK stack - instalasi dan konfigurasi.
Bab ini akan menjelaskan instalasi dan konfigurasi tumpukan ELK. Seseorang bisa saja melewatkan bab ini dan tidak menerjemahkan, tapi benang antara bab-bab asli akan hilang.
Daftar isi untuk semua posting.
- Pengantar. Penyebaran Infrastruktur dan Teknologi untuk SOC sebagai Layanan (SOCasS)
- ELK stack - instalasi dan konfigurasi
- Berjalan melalui Distro terbuka
- Dashboard dan visualisasi ELK SIEM
- Integrasi dengan WAZUH
- Memperingatkan
- Membuat laporan
- Manajemen Kasus
1- Menginstal dan mengkonfigurasi ELK STACK
1.1- Pengantar ELK
A- Apa ELK itu?
B- Perbedaan antara ELK Basic dan ELK Oss?
1.2- Menginstal ELK
Dalam proyek kami, kami mulai mengonfigurasi ELK Stack Basic (7.6.1) dan merujuk pada panduan resmi yang disediakan oleh elastic.co:
https://www.elastic.co/guide/en/elastic-stack/current/installing-elastic-stack.html
1.3- Konfigurasi ELK
Di bagian ini, kami akan memberi Anda konfigurasi yang kami buat untuk tumpukan ELK.
A- Konfigurasi Elasticsearch
Semua pengaturan dibuat dalam file elasticsearch.yml yang terletak di /etc/elasticsearch/elasticsearch.yml
, : sudo nano /etc/elasticsearch/elasticsearch.yml
elasticsearch.
. , , . http.port . .
network.bind_host: 0.0.0.0 Elasticsearch, ELK.
, ElasticSearch :
sudo systemctl restart elasticsearch: network.bind_host to 0.0.0.0 - . .
B-Kibana:
kibana.yml, /etc/kibana/kibana.yml. , :
sudo nano /etc/kibana/kibana.yml
Kibana , server.host: "0.0.0.0". , , . , , 5601. Kibana: sudo systemctl restart kibana
Kibana . Http://your_Server_IP: 5601
, , , .
: server.host 0.0.0.0 - . .
C-Logstash:
logstash:
sudo cat /etc/logstash/logstash-sample.confLogstash. , /etc/logstash/conf.d/ logstash.conf
: sudo systemctl restart logstash
D- :**
logstash, kibana elasticsearch. :
, . , tcp6 tcp.
Kibana: 5601
Elasticsearch: 9200
Logstash: 5044
2-Beats :
A- Winlogbeat:
URL:
https://www.elastic.co/fr/downloads/beats/winlogbeat
:
https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation.html
B- Winlogbeat:
winlogbeat.yml:
winlogbeat.event_logs:
winlogbeat winlogbeat.yml , Winlogbeat. , , . , Sysmon .
:
β index.number_of_shards:
, . , Elasticsearch , , .
β index.number_of_replicas:
, Elasticsearch . , , Elasticsearch. , .
:
Elasticsearch Logstash .
:
, winlogbeat, :
(ILM):
, ILM. ILM Index Lifecycle Manager β x-pack, ELK, ELK oss. ILM , . : , , , , , .
ILM ELK, , Elasticsearch. ILM , .
Sysmon MITER ATT & CK:
Sysmon , , sysmon ELK.
(Sysmon) β Windows , , , Windows. , . , Windows Event Collection SIEM, , , .
MITER ATT & CK β , . ATT & CK , , .
I. Sysmon:
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
II. xml- sysmon, MITER ATT CK: https://raw.githubusercontent.com/ion-storm/sysmon-config/master/sysmonconfig-export.xml
III. Sysmon :
sysmon64 -accepteula -i sysmonconfig-export.xmlIV. :
sysmon64 βc, :
I. :
, . , , , , .
Elasticsearch. Elasticsearch, . winlogbeat Elasticsearch, .
Logstash Elasticsearch.
II. :
https://www.elastic.co/guide/en/beats/winlogbeat/current/load-kibana-dashboards.html
:
, Kibana.
:
, . Elasticsearch, , Logstash, .
ELK:
winlogbeat sysmon PowerShell services.msc, Kibana.
winlogbeat. ELK STACK Logstash , .
winlogbeat:
Discover sysmon ( MITER):
winlogbeat , .
, :
Winlogbeat
Filebeat
Packetbeat
Metricbeat
, , metricbeat filebeat, , .
, filebeat ssh, sudo ubuntu Suricata Suricata IDS.
Suricata:
Suricata filebeat:
sudo filebeat modules enable Suricata
, filebeat, /etc/filebeat/modules.d/
, :
filebeat modules list
Ini adalah tautan yang kami gunakan untuk menginstal Suricata di perangkat kami: https://www.alibabacloud.com/blog/594941
Anda harus mendapatkan toolbar yang mirip dengan yang ini. Jangan khawatir jika Anda tidak mendapatkan hasil ini secara tepat, kami akan bekerja dengan dasbor di artikel berikut.
Dimungkinkan juga untuk mengintegrasikan antarmuka Suricata ke tumpukan ELK, yang mana Anda dapat memeriksa tautan ini .