ELK, SIEM de OpenSource, Open Distro: An Introduction. Despliegue de infraestructura y tecnología para SOC como servicio (SOCasS)

ELK SIEM Open Distro: Introducción. Despliegue de infraestructura y tecnología para SOC como servicio (SOCasS)

En los últimos dos años, el número de ataques cibernéticos se ha disparado. Estos ataques se dirigen no solo a personas sino también a empresas, gobiernos, infraestructura crítica y más. Las soluciones tradicionales como antivirus, firewall, NIDS y NIPS ya no son suficientes debido a la complejidad y la abrumadora cantidad de ataques.

Esta serie de artículos se concibió como la construcción de una contraparte SIEM de código abierto. Los detalles se presentarán en los siguientes artículos.

Tabla de contenido para todas las publicaciones.

• Introducción. Despliegue de infraestructura y tecnología para SOC como servicio (SOCasS)
• Pila ELK - instalación y configuración
• Caminando por la Distro abierta
• Dashboards y visualización ELK SIEM
• Integración con WAZUH
• Alertando
• Haciendo informe
• Gestión de casos

En los últimos dos años, el número de ataques cibernéticos se ha disparado. Estos ataques se dirigen no solo a personas sino también a empresas, gobiernos, infraestructura crítica y más. Las soluciones tradicionales como antivirus, firewall, NIDS y NIPS ya no son suficientes debido a la complejidad y la abrumadora cantidad de ataques.

SIEM (Security Information and Event Management) , , . , .

, SOC, . SOC- , , , . , , . - SOC.

. SOCaaS . , .

100% .

:

, , , , , .

, . Logstash (VPN-). ELK beats wazuh-agent ELK SIEM.

Logstash. Elasticsearch . , .

WAZUH HIDS Wazuh Elasticsearch.

ElastAlert .

MISP, , . , Cortex MISP.

, :

Hardware:

, , .

, .

, , (, , . .… )

Disclaimer :

• , , - POC . POC.

  
  
  

• , , . . 8 Vcpu , 32 8 .

  
  
  

:

• ELK stack: ELK stack- , , : Elasticsearch, Logstash Kibana. Elasticsearch, ELK , , , .

  
  
  

• Beats: , (, , ). Beats Elasticsearch , Logstash, Kibana.

  
  
  

• Elastalert: , Elasticsearch. Elasticsearch , . Elasticsearch , , , . , , .

  
  
  

• Suricata: , (OISF). Suricata (IDS) (IPS), .

  
  
  

• Open Distro Elasticsearch:

  
  
  
  • (Alerting): , , . Kibana API .
  • (Security): ( Active Directory OpenID), , , , .
  
  
  

• Praeco: Elasticsearch- ElastAlert, API ElastAlert. Praeco Elasticsearch , Slack, , Telegram HTTP POST, , .

  
  
  

• Wazuh: , , . , , . Wazuh , . , , .

  
  
  

• Nessus Essentials: , . , .

  
  
  

• TheHive: TheHive " , , , , ”.

  
  
  

• Cortex: Cortex- , TheHive, . Cortex "" , . , IP, URL , . VirusTotal, .

  
  
  

• MISP : Malware Information and Sharing Platform (MISP) es una plataforma de inteligencia de amenazas para compartir, almacenar y correlacionar las métricas de compromiso de ataques dirigidos, análisis de amenazas, información de fraude financiero y más. MISP se utiliza hoy en día en muchas organizaciones para almacenar, compartir conocimientos, colaborar en métricas de ciberseguridad, analizar malware para brindar una mejor protección de seguridad.

  
  
  

Chat de Telegram en Elasticsearch: https://t.me/elasticsearch_ru