ELK SIEM Open Distro: ELK stack - instalación y configuración.
Este capítulo describirá la instalación y configuración de la pila ELK. Se podría haber saltado este capítulo y no haberlo traducido, pero entonces se perderá el hilo entre los capítulos originales.
Tabla de contenido para todas las publicaciones.
- Introducción. Despliegue de infraestructura y tecnología para SOC como servicio (SOCasS)
- Pila ELK - instalación y configuración
- Caminando por la Distro abierta
- Dashboards y visualización ELK SIEM
- Integración con WAZUH
- Alertando
- Haciendo informe
- Gestión de casos
1- Instalación y configuración de ELK STACK
1.1- Introducción a ELK
A- ¿Qué es ELK?
B- ¿Diferencia entre ELK Basic y ELK Oss?
1.2- Instalación de ELK
En nuestro proyecto, comenzamos a configurar ELK Stack Basic (7.6.1) e hicimos referencia a la guía oficial proporcionada por elastic.co:
https://www.elastic.co/guide/en/elastic-stack/current/installing-elastic-stack.html
1.3- Configuración ELK
En esta sección, le proporcionaremos la configuración que hicimos para la pila ELK.
A- Configuración de Elasticsearch
Todas las configuraciones se realizaron en el archivo elasticsearch.yml ubicado en /etc/elasticsearch/elasticsearch.yml
Para abrirlo, use el siguiente comando: sudo nano /etc/elasticsearch/elasticsearch.yml
elasticsearch.
. , , . http.port . .
network.bind_host: 0.0.0.0 Elasticsearch, ELK.
, ElasticSearch :
sudo systemctl restart elasticsearch: network.bind_host to 0.0.0.0 - . .
B-Kibana:
kibana.yml, /etc/kibana/kibana.yml. , :
sudo nano /etc/kibana/kibana.yml
Kibana , server.host: "0.0.0.0". , , . , , 5601. Kibana: sudo systemctl restart kibana
Kibana . Http://your_Server_IP: 5601
, , , .
: server.host 0.0.0.0 - . .
C-Logstash:
logstash:
sudo cat /etc/logstash/logstash-sample.confLogstash. , /etc/logstash/conf.d/ logstash.conf
: sudo systemctl restart logstash
D- :**
logstash, kibana elasticsearch. :
, . , tcp6 tcp.
Kibana: 5601
Elasticsearch: 9200
Logstash: 5044
2-Beats :
A- Winlogbeat:
URL:
https://www.elastic.co/fr/downloads/beats/winlogbeat
:
https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation.html
B- Winlogbeat:
winlogbeat.yml:
winlogbeat.event_logs:
winlogbeat winlogbeat.yml , Winlogbeat. , , . , Sysmon .
:
— index.number_of_shards:
, . , Elasticsearch , , .
— index.number_of_replicas:
, Elasticsearch . , , Elasticsearch. , .
:
Elasticsearch Logstash .
:
, winlogbeat, :
(ILM):
, ILM. ILM Index Lifecycle Manager — x-pack, ELK, ELK oss. ILM , . : , , , , , .
ILM ELK, , Elasticsearch. ILM , .
Sysmon MITER ATT & CK:
Sysmon , , sysmon ELK.
(Sysmon) — Windows , , , Windows. , . , Windows Event Collection SIEM, , , .
MITER ATT & CK — , . ATT & CK , , .
I. Sysmon:
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
II. xml- sysmon, MITER ATT CK: https://raw.githubusercontent.com/ion-storm/sysmon-config/master/sysmonconfig-export.xml
III. Sysmon :
sysmon64 -accepteula -i sysmonconfig-export.xmlIV. :
sysmon64 –c, :
I. :
, . , , , , .
Elasticsearch. Elasticsearch, . winlogbeat Elasticsearch, .
Logstash Elasticsearch.
II. :
https://www.elastic.co/guide/en/beats/winlogbeat/current/load-kibana-dashboards.html
:
, Kibana.
:
, . Elasticsearch, , Logstash, .
ELK:
winlogbeat sysmon PowerShell services.msc, Kibana.
winlogbeat. ELK STACK Logstash , .
winlogbeat:
Discover sysmon ( MITER):
winlogbeat , .
, :
Winlogbeat
Filebeat
Packetbeat
Metricbeat
, , metricbeat filebeat, , .
, filebeat ssh, sudo ubuntu Suricata Suricata IDS.
Suricata:
Suricata filebeat:
sudo filebeat modules enable Suricata
, filebeat, /etc/filebeat/modules.d/
, :
filebeat modules list
Este es el enlace que usamos para instalar Suricata en nuestro dispositivo: https://www.alibabacloud.com/blog/594941
Debería obtener una barra de herramientas similar a esta. No se preocupe si no obtiene exactamente este resultado, trabajaremos con el panel en los siguientes artículos.
También es posible integrar la interfaz Suricata en la pila ELK, para lo cual puede consultar este enlace .