這篇文章會分享 Elastic SIEM 簡介與 UI 功能介紹，Elastic 提供了一套免費基於 Elastic Stack 的 Elastic SIEM，在安全性資訊與事件管理上，以第一次接觸這類工具的前端工程師來說，覺得應該算是免費又好用的工具吧?

Elastic SIEM

Elastic 提供了一套免費基於 Elastic Stack 的 Elastic SIEM，一套 SIEM 主要結合了:

• SIM (security information management)
• SEM (security event management)

那一套完整的 Elastic Stack 版本的 SIEM 需要包含以下元件，有少當然還是可以跑只是資訊跟功能就不那麼完整。

• Elastic Endpoint Security: 回傳端點威脅預防、偵測、回應相關的事件跟警告
• Beats: 透過 Beats 蒐集各種相關的安全資訊
• Elasticsearch: 即時、分散式儲存、全文檢索引擎、資料分析
• Kibana: Elasticsearch 的 GUI 管理介面

選配的元件或功能

• 機器學習
• 告警
• Canvas

Elastic SIEM 系統架構

來源: https://www.elastic.co/guide/en/siem/guide/current/images/siem-architecture.png

SIEM 資料流程

SIEM 會從各式來源擷取與分析資料，來源涵蓋了 Elastic Endpoint Security、Beats、APM transactions 或是任何只要能夠符合 ECS 規格的資料，最後都會將各式資訊彙整成同樣的 schema 存入 Elasticsearch，方便集中管理、分析、聚合相關的事件，這樣不管是要資料分析或是做機器學習都更加方便。

SIEM 會從各式來源擷取與分析資料

來源: https://learn.elastic.co/

ECS 規格會定義相關需要的欄位

將各式資訊彙整成同樣的 schema 存入 Elasticsearch

來源: https://learn.elastic.co/

SIEM 資料來源

資料來源雖然涵蓋了很多部分，但資料彙整後主要歸類成主機相關、網路相關兩大類，使用上原則上就是照著提示進行安裝和啟用，安裝完成後要確認一下是不是真的有出現在 kibana 介面中即可。

• 主機相關
  • Auditbeat
    • System module
      • packages
      • processes
      • logins
      • sockets
      • users and groups
    • Audit module: linux kernel
  • Filebeat
    • system logs (linux)
    • santa (mac)
  • Winlogbeat
    • Windows event logs
• 網路相關
  • Packetbeat
    • 流量
    • DNS
  • Filebeat
    • 網路層相關軟硬體的 log

elastic-agent-7.9.1-windows-x86_64 設置並啟用後在 Ingest Manager 中會看到已經上線

SIEM 操作介面

SIEM 的操作介面一樣是長在 kibana 裡面的 Security，減少了我們跟艱澀資料互動的複雜度，介面竟然還支援拖拉設定極複雜的條件設定查詢，打開 Security 後主要會看到搜尋的介面跟幾個 Tab。

• 搜尋介面
  • KQL(Kibana Query Language): 可以看成 kibana 的 SQL
    • 範例: response:200 and extension:php
  • filter: 過濾條件提供存檔跟訂選
  • 搜尋條件存檔
• Overview Tab
  • Alerts Trend: 相關觸發規則
  • External alerts count
  • Events count
  • Host and network events
• Detections Tab
  • 因為我的電腦沒中毒或執行奇怪程式所以都不會有紀錄
• Host Tab
  • 主機相關資料: Auditbeat、Winlogbeat

  

• Network Tab
  • 網路相關資料: Packetbeat + Filebeat
  • 發現有提供 GeoIP 的支援

  

• Timelines Tab
  • 設定檢索的區間、也提供相關 filter 的建立
  • 筆電平常都只有用 Chrome 上網，所以我用 Traveler-PC + chrome.exe 相關關鍵字就可以篩出相關事件