ELK, SIEM de OpenSource, Open Distro: Alertas

Hola y bienvenido a nuestro nuevo artículo sobre alertas en nuestra solución SOCaaS. Como todos saben, las alertas en cualquier SOC juegan un papel vital en la notificación al equipo de respuesta.

Pueden interrumpir la cadena de ciberataques o rastrear este ataque, según la política de la empresa y el equipo. Probablemente se esté preguntando por qué necesitamos incluir más advertencias. ¿No son suficientes los módulos de alerta de distribución abiertos? Esto se debe a que carece de la cantidad de salidas y su integrabilidad con el resto de nuestra solución como Thehive. Le presentaremos otra alternativa.

Tabla de contenido para todas las publicaciones.

• Introducción. Despliegue de infraestructura y tecnología para SOC como servicio (SOCasS)
• Pila ELK - instalación y configuración
• Caminando por la Distro abierta
• Dashboards y visualización ELK SIEM
• Integración con WAZUH
• Alertando
• Haciendo informe
• Gestión de casos

El artículo se divide en las siguientes secciones:

* Instalar y configurar ElastAlert, ElastAlert-Server y Praeco

* Crea reglas

1- ElastAlert, ElastAlert-Server Praeco:

1.1 :

A-

— Praeco: , Slack, , Telegram, Jira.

Praeco , , , Kibana (KQL).

— ElastAlert — , Elasticsearch. Elasticsearch : . Elasticsearch , , , . , , .

, , .

— Sigma: Sigma — , . , . — , .

B- :

cd /etc
git clone https://github.com/Yelp/elastalert.git
git clone https://github.com/ServerCentral/elastalert-server.git
git clone https://github.com/ServerCentral/praeco.git

URL-: https://github.com/ServerCentral/praeco

1.2- Elastalert:

cd /etc/elastalert
mkdir rules rule_templates
cp config.yaml.example config.yaml
nano config.yaml

elastalert config.yaml :

es_host: localhost

writeback_index: elastalert_status

rules_folder rules

. python 2.7, 3.6.

A- python3.6 Ubuntu:

sudo add-apt-repository ppa:deadsnakes/ppa
sudo apt update
sudo apt install python3.6

B- Python:

sudo update-alternatives — install /usr/bin/python python /usr/bin/python2.7
sudo update-alternatives — install /usr/bin/python python /usr/bin/python3.6

C- Python :

update-alternatives — config python

python3.6

python3.6

D-Install pip3:

sudo apt install python3-pip

E- PyYAML ( 5.1):

pip install PyYAML==5.1

F- elastalert

cd /etc/elastalert
pip3 install “setuptools>=11.3”
python setup.py install

G- :

cd /usr/local/bin/
./elastalert-create-index

ES Host : localhost
ES Port : 9200
Use ssl : t
Verify ssl :f

ES_username: admin ES_password: admin.

.

1.3- API:

API /etc/elastalert-server/config/config.json :

• elastalert elastalertPath: /etc/elastalert
• elasticsearch es_host: elasticsearch
• writeback_index config.yaml: elastalert_status

A- (No Data):

, , _type elastalert. 7.x, , _type _doc.

, ( Praeco ) No Data.

, :

cd /etc/elastalert-server/src/handlers/metadata/
nano get.js

, : «elastalert»,

praeco.

B- Elastalert-Server:

sudo npm install
sudo npm run start

, . - (SSL_verify = False).

1.4- Praeco:

A- :

cd /etc/praeco/config
nano api.config.json

nano elastalert.yml

B- Praeco:

sudo npm install
export PRAECO_ELASTICSEARCH=localhost

C- BaseRule.cfg:

:

cp /etc/praeco/rules/BaseRule.config /etc/elastalert/rules/

Slack, SMTP Telegram.

URL- Slack Webhook, 2.

cd /etc/elastalert/rules/
nano BaseRule.config

URL- Webhook

D- Praeco:

npm run serve

, http://yourServerIP: 8080.

Praeco

2- :

2.1.- Praeco Slack webhook:

(Rules) -> (Add Rule):

, Open Distro Alerting Tool, .

UNFILTERED .

Close

Slack URL- -, 2, (#test).

Save

, Slack.

:

2.2- ElastAlert TheHive

, Praeco TheHive, elastalert-server.

Elastalert-server, Praeco, , , Praeco.

A- : «User_creation»:

-, Praceo, , URL- HTTP, .

, Save.

B- Thehive:

TheHive, Elastalert-Server

/etc/elastalert/rules

nano User_creation.yml

C. Praeco

Hive

, , Praeco, /etc/elastalert/rules:

D- TheHive:

2.3- Sigma :

, Sigma , Elastalert.

URL : https://github.com/Neo23x0/sigma.git

A- Sigma

cd ~
git clone https://github.com/Neo23x0/sigma.git

B-

cd ~/sigma/tools
pip3 install -r requirements.txt

( ) ( ):

./sigmac -t elastalert -c winlogbeat ../rules/windows/builtin/win_user_creation.yml

, (Praeco / Elastalert-Server) - .

, ( ) Praeco .

, .

: (Kibana → Discover Interface) , , . , , « ».

2.4- Wazuh theHive:

, , wazuh, wazuh praeco, , Hive:

A. wazuh :

rule.id ( ).

wazuh → Overview → Security events.

B- elastalert-server:

nano /etc/elastalert/wazuh-alert-TEST.yaml

C- :

. , , . .