有了收資料的平台Elastic Cloud，會運用Beat收集資料，這章開始建立攻防平台實際感受一下可以獲得什麼資訊。

架構

攻擊平台使用: Kali Linux
https://www.kali.org/downloads/

被攻擊平台: Windows 上搭建 AltoroJ

監控項目

監控 tomcat Log(access log) ->Filebeat

被攻擊平台建置

在線上讓大家練習的網頁漏洞平台
http://altoromutual.com:8080/

到Github上下載下來自建平台
https://github.com/hclproducts/AltoroJ

安裝方式
https://github.com/hclproducts/AltoroJ/blob/master/Importing%20AltoroJ%20into%20Eclipse%20from%20GitHub.md

1. Download and install

• 安裝jdk-8u261-windows-x64
• 安裝apache-tomcat-7.0.105
• 安裝 eclipse-inst-win64 安裝完後選Jave EE

2. Install Gradle Buildship

• 開啟Eclipse IDE for Enterprise Java
• Got to Help -> Eclipse Marketplace
• Search for Buildship
• Install Buildship Gradle Integration and restart Eclipse

3. Add Tomcat Server to Eclipse

• Open Servers view (Window -> Show View -> Other -> Servers)
• Create a new Apache Tomcat v7.0 Server.
  

4. Pull down AltoroJ from GitHub

• Go to File -> Import -> Git -> Projects from Git
• Choose “Clone URI" and use the following URI on the next screen: https://github.com/AppSecDev/AltoroJ/
• Next完成

5. 在Eclipse的Project Explorer中右鍵AltoroJ，Replace With -> Index
6. Run AltoroJ

• 在Eclipse的Project Explorer中右鍵 AltoroJ
• Choose Run As -> Run On Server
• 選擇Apache Tomcat v7.0 Server
  

7. Export

• 在Eclipse的Project Explorer中右鍵 AltoroJ
• Choose Export -> War

8. WAR Deploy

• 關掉eclipse的Tomcat
• 正常開啟Tomcat連上127.0.0.1:8080 點manager app
• WAR file to deploy

監控設定

Tomcat Log設定檔 (預設開啟不用改)

％a-遠程IP地址
％A-本地IP地址
％b-發送的字節（不包括HTTP標頭）；如果未發送字節，則為'-'
％B-發送的字節，不包括HTTP標頭
％h-遠程主機名（如果enableLookups連接器為false，則為IP地址 ）
％H-請求協議
％l -identd的遠程邏輯用戶名（總是返回“-”）
％m-請求方法
％p-本地端口
％q-查詢字符串（如果存在則以'？'開頭，否則為空字符串
％r-請求的第一行
％s-響應的HTTP狀態代碼
％S-用戶會話ID
％t-日期和時間，採用通用日誌格式
％u-已通過身份驗證的遠程用戶
％U-請求的URL路徑
％v-本地服務器名稱
％D-處理請求所花費的時間，以毫秒為單位
％T-處理請求所花費的時間，以秒為單位
％I-當前請求線程名稱（以後可以與堆棧跟踪進行比較）

安裝設定Filebeat

參照 https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-installation-configuration.html

與前一章metricbeat一樣安裝方式

啟用Tomcat Modules

filebeat.exe modules enable tomcat

開啟filebeat.yml修改設定

與前一章metricbeat建立方式相同

# 讀Log的位置
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - C:\Program Files\Apache Software Foundation\Tomcat 7.0\logs\localhost_access_log.*.txt
 
# 名稱
name: Lab1
 
# 建立儀表板
setup.kibana:
  host: "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
 
# elastic cloud連線
cloud.id: "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
cloud.auth: "xxxx:${CLOUD_PWD}"
回到Kibana確定有值進來後，可以點網頁幾下看回應

Lab1

簡單使用dirb對網頁做目錄掃描，可以用來查找是否有管理後台之類的

kali@kali:~$ dirb http://192.168.137.10:8080/AltoroJ/

DIRB v2.22
By The Dark Raver
START_TIME: Thu Sep 3 19:18:59 2020
URL_BASE: http://192.168.137.10:8080/AltoroJ/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

GENERATED WORDS: 4612
---- Scanning URL: http://192.168.137.10:8080/AltoroJ/ ----
http://192.168.137.10:8080/AltoroJ/admin (CODE:302|SIZE:0)
http://192.168.137.10:8080/AltoroJ/aux (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/bank (CODE:302|SIZE:0)
http://192.168.137.10:8080/AltoroJ/com1 (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/com2 (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/com3 (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/con (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/images (CODE:302|SIZE:0)
http://192.168.137.10:8080/AltoroJ/lpt1 (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/lpt2 (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/nul (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/pr (CODE:302|SIZE:0)
http://192.168.137.10:8080/AltoroJ/prn (CODE:200|SIZE:0)
http://192.168.137.10:8080/AltoroJ/static (CODE:302|SIZE:0)

回到Kiban上會看到4千多次的404錯誤

有了這些數值，就可以在監控到異常時設定規則發送訊息，或在儀表板顯示告警