ELK, SIEM de OpenSource, Open Distro: Visualización de paneles de ELK y SIEM en ELK

Esta publicación describirá cómo personalizar la visualización de los paneles de ELK y SIEM en ELK. El

artículo se divide en las siguientes secciones:

1- Descripción general de ELK SIEM

2- Cuadros de mando predeterminados

3- Cree sus primeros cuadros de mando

Tabla de contenido para todas las publicaciones.

• Introducción. Despliegue de infraestructura y tecnología para SOC como servicio (SOCasS)
• Pila ELK - instalación y configuración
• Caminando por la Distro abierta
• Dashboards y visualización ELK SIEM
• Integración con WAZUH
• Alertando
• Haciendo informe
• Gestión de casos

Descripción general de 1-ELK SIEM

ELK SIEM se agregó recientemente a la pila de elk en la versión 7.2 del 25 de junio de 2019.

Esta es una solución SIEM creada por elastic.co para hacer la vida de un analista de seguridad mucho más fácil y menos tediosa.

En nuestra versión del trabajo, decidimos crear nuestro propio SIEM y elegir nuestro propio panel de control.

Pero creemos que es importante aprender ELK SIEM primero.

1.1- Sección de eventos anfitriones

Primero veremos la sección de host. La sección de host le permitirá ver los eventos que se generan en el mismo punto final.

- . , :

1 Windows 10.

2 Ubuntu 18.04.

, .

, , , .

, , . . , , ,

1.2-

, - . , , HTTP / TLS DNS .

2-

, elastic.co , ELK. . Packetbeat .

. , . , .

Kibana . , .

. . , , .

, .

PacketBeat.

. , IP-, .

3 —

3–1-

A- :

, .

:

• Markdown

B- KQL ( Kibana):

, . , , . ,

https://www.elastic.co/guide/en/kibana/current/kuery-query.html

Windows 10 pro.

C- :

, , , . . , .

D- :

MITER ATT & CK.

Dashboard → Create new dashboard→create new →Pie dashboard

, .

. .

Buckets :

— Split slices .

— Split Chart .

.

. MITER ATT & CK.

Winlogbeat , , :

winlog.event_data.RuleName

, .

“ ”.

, , , , . . .

, ,

:

** , .

** , . .

** , ,

, .

, , .

:

, , , , , , . , , . MITER ATT & CK, win10.

3-2- Crea tu primer tablero:

Un tablero es una colección de muchas visualizaciones. Sus paneles deben ser claros, comprensibles y contener datos útiles y deterministas. Aquí hay un ejemplo de paneles que creamos desde cero para winlogbeat.

Gracias por tu tiempo. Espero que este artículo te haya sido de ayuda. Si desea más información sobre el tema, le recomendamos que visite el sitio web oficial .

Chat de Telegram en Elasticsearch: https://t.me/elasticsearch_ru