ELK, SIEM dari OpenSource, Open Distro: Memvisualisasikan dasbor ELK dan SIEM di ELK

Posting ini akan menjelaskan cara menyesuaikan visualisasi dasbor ELK dan SIEM di ELK.

Artikel ini dibagi menjadi beberapa bagian berikut:

1- Ikhtisar ELK SIEM

2- Dasbor default

3- Buat dasbor pertama Anda

Daftar isi untuk semua posting.

• Pengantar. Penyebaran Infrastruktur dan Teknologi untuk SOC sebagai Layanan (SOCasS)
• ELK stack - instalasi dan konfigurasi
• Berjalan melalui Distro terbuka
• Dashboard dan visualisasi ELK SIEM
• Integrasi dengan WAZUH
• Memperingatkan
• Membuat laporan
• Manajemen Kasus

Ringkasan SIEM 1-ELK

ELK SIEM baru-baru ini ditambahkan ke tumpukan rusa di versi 7.2 pada 25 Juni 2019.

Ini adalah solusi SIEM yang dibuat oleh elastic.co untuk membuat kehidupan analis keamanan jauh lebih mudah dan tidak terlalu membosankan.

Dalam versi pekerjaan kami, kami memutuskan untuk membuat SIEM kami sendiri dan memilih panel kontrol kami sendiri.

Tapi menurut kami penting untuk mempelajari ELK SIEM terlebih dahulu.

1.1- Bagian acara tuan rumah

Pertama-tama kita akan melihat bagian tuan rumah. Bagian host akan memungkinkan Anda untuk melihat peristiwa yang dihasilkan di titik paling akhir.

- . , :

1 Windows 10.

2 Ubuntu 18.04.

, .

, , , .

, , . . , , ,

1.2-

, - . , , HTTP / TLS DNS .

2-

, elastic.co , ELK. . Packetbeat .

. , . , .

Kibana . , .

. . , , .

, .

PacketBeat.

. , IP-, .

3 —

3–1-

A- :

, .

:

• Markdown

B- KQL ( Kibana):

, . , , . ,

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

Windows 10 pro.

C- :

, , , . . , .

D- :

MITER ATT & CK.

Dashboard → Create new dashboard→create new →Pie dashboard

, .

. .

Buckets :

— Split slices .

— Split Chart .

.

. MITER ATT & CK.

Winlogbeat , , :

winlog.event_data.RuleName

, .

“ ”.

, , , , . . .

, ,

:

** , .

** , . .

** , ,

, .

, , .

:

, , , , , , . , , . MITER ATT & CK, win10.

3-2- Buat dasbor pertama Anda:

Dasbor adalah kumpulan dari banyak visualisasi. Dasbor Anda harus jelas, dapat dipahami, dan berisi data yang berguna dan deterministik. Berikut adalah contoh dasbor yang kami buat dari awal untuk winlogbeat.

Terima kasih atas waktu Anda. Saya harap artikel ini bermanfaat bagi Anda. Jika Anda ingin informasi lebih lanjut tentang topik ini, kami sarankan Anda mengunjungi situs web resmi .

Obrolan Telegram di Elasticsearch: https://t.me/elasticsearch_ru