iT邦幫忙

第 12 屆 iThome 鐵人賽
DAY 7
0
Elastic Stack on Cloud

一目了然的資訊保健系列 第 7

7-Elastic Endpoint Security

12th鐵人賽
3072 瀏覽

  • 分享至 

  • xImage
    •  

最近EDR(Endpoint Detection and Response) 到處被推廣,OpenSource較有名的像OSSEC、osquery,看到Elastic推出Endpoint Security是類似的解決方案,不過該專案還在測試中,先來玩看看
https://www.elastic.co/blog/introducing-elastic-endpoint-security

安裝

依照手冊建立: https://www.elastic.co/guide/en/security/current/install-endpoint.html

第一次使用時先到Kibana -> Ingest Manager > Integrations 搜尋 “Elastic Endpoint Security"點選Add

選擇Default或自己新建一個Configuration群組也可以
https://ithelp.ithome.com.tw/upload/images/20200907/20077752VesFqAATg5.png
add elastic endpoint security
回到Kibana -> Overview 選Add agent -> Enroll with Fleet (第一次要啟用)
地雷: Elastic Cloud在寫這篇文章時是7.9,要下載7.9版的Agent而不是最新版

#錯誤訊息
fail to enroll: fail to execute request to Kibana: Status code: 400, Kibana returned an error: Bad Request, message: Agent version is not compatible with kibana version

選擇剛建立的agent configuration,把指令貼到Powershell執行
https://ithelp.ithome.com.tw/upload/images/20200907/20077752ojfhJGlMOH.png

完成後到Fleet會看到該設備已經報到了
https://ithelp.ithome.com.tw/upload/images/20200907/20077752pK001rciN6.png

然後就跳錯誤…. (重開機就安裝成功了)

Application: endpoint-security--7.9.0[cbe67232-8639-4e3d-b003-e156da6a5f7b]: State changed to FAILED: operation 'operation-verify' marked 'endpoint-security.7.9.0' corrupted: /go/src/github.com/elastic/beats/x-pack/elastic-agent/pkg/agent/operation/operation_verify.go[77]: unknown error

7.9版新增反惡意軟體
https://www.elastic.co/blog/whats-new-elastic-security-7-9-0-free-endpoint-security

Rule

到Dection點Manage detection rules 加載Rule
https://ithelp.ithome.com.tw/upload/images/20200907/20077752LsyjjShYY6.png

規則在Github可以查看,可以自己編寫規則,可添加ATT&CK的tag
https://github.com/elastic/detection-rules/blob/main/rules/network/initial_access_smb_windows_file_sharing_activity_to_the_internet.toml
以下是initial_access_smb_windows_file_sharing_activity_to_the_internet範例

query = '''
event.category:(network or network_traffic) and network.transport:tcp and (destination.port:(139 or 445) or event.dataset:zeek.smb) and
  source.ip:(10.0.0.0/8 or 172.16.0.0/12 or 192.168.0.0/16) and
  not destination.ip:(10.0.0.0/8 or 127.0.0.0/8 or 172.16.0.0/12 or 192.168.0.0/16 or "::1")
'''


[[rule.threat]]
framework = "MITRE ATT&CK"
[[rule.threat.technique]]
id = "T1190"
name = "Exploit Public-Facing Application"
reference = "https://attack.mitre.org/techniques/T1190/"

Interactive process tree visualization

可視化的交互過程樹狀圖,當初是因為這功能看起來很炫才研究的,摸了一陣子才找到怎麼開起來…

選擇主機-> Events,點選想看的Event按前面六角形
https://ithelp.ithome.com.tw/upload/images/20200907/20077752axgwTByArj.png

把前幾章裝的Tomcat開起來,查看樹狀圖
https://ithelp.ithome.com.tw/upload/images/20200907/20077752z591itg4Fa.png

點Tomcat可以看到process.id、執行帳號等資訊,有這些資訊可以方便找出問題主機,及行為特徵


上一篇
6-Elastic 授權使用問題
下一篇
8-Filebeat-Suricata
系列文
一目了然的資訊保健30
  1. 26
    26-與主機型入侵檢測系統合作
  2. 27
    27-日誌分析挖掘
  3. 28
    28- Elastic Stack中的機器學習
  4. 29
    29-效能測試
  5. 30
    完賽
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22203
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙