Elastic SIEM 簡介: SIEM UI 與功能介紹 (18)

第 12 屆 iThome 鐵人賽

DAY 18

Elastic Stack on Cloud

前端三分鐘 X Elastic Stack系列第 18 篇

12th鐵人賽 elastic cloud elastic stack

linyencheng

2020-09-20 11:12:35

3337 瀏覽

分享至

這篇文章會分享 Elastic SIEM 簡介與 UI 功能介紹，Elastic 提供了一套免費基於 Elastic Stack 的 Elastic SIEM，在安全性資訊與事件管理上，以第一次接觸這類工具的前端工程師來說，覺得應該算是免費又好用的工具吧?

Elastic SIEM

Elastic 提供了一套免費基於 Elastic Stack 的 Elastic SIEM，一套 SIEM 主要結合了:

SIM (security information management)
SEM (security event management)

那一套完整的 Elastic Stack 版本的 SIEM 需要包含以下元件，有少當然還是可以跑只是資訊跟功能就不那麼完整。

Elastic Endpoint Security: 回傳端點威脅預防、偵測、回應相關的事件跟警告
Beats: 透過 Beats 蒐集各種相關的安全資訊
Elasticsearch: 即時、分散式儲存、全文檢索引擎、資料分析
Kibana: Elasticsearch 的 GUI 管理介面

選配的元件或功能

機器學習
告警
Canvas

Elastic SIEM 系統架構

來源: https://www.elastic.co/guide/en/siem/guide/current/images/siem-architecture.png

SIEM 資料流程

SIEM 會從各式來源擷取與分析資料，來源涵蓋了 Elastic Endpoint Security、Beats、APM transactions 或是任何只要能夠符合 ECS 規格的資料，最後都會將各式資訊彙整成同樣的 schema 存入 Elasticsearch，方便集中管理、分析、聚合相關的事件，這樣不管是要資料分析或是做機器學習都更加方便。

SIEM 會從各式來源擷取與分析資料

來源: https://learn.elastic.co/

ECS 規格會定義相關需要的欄位

將各式資訊彙整成同樣的 schema 存入 Elasticsearch

來源: https://learn.elastic.co/

SIEM 資料來源

資料來源雖然涵蓋了很多部分，但資料彙整後主要歸類成主機相關、網路相關兩大類，使用上原則上就是照著提示進行安裝和啟用，安裝完成後要確認一下是不是真的有出現在 kibana 介面中即可。

主機相關
- Auditbeat
  - System module
    - packages
    - processes
    - logins
    - sockets
    - users and groups
  - Audit module: linux kernel
- Filebeat
  - system logs (linux)
  - santa (mac)
- Winlogbeat
  - Windows event logs
網路相關
- Packetbeat
  - 流量
  - DNS
- Filebeat
  - 網路層相關軟硬體的 log

elastic-agent-7.9.1-windows-x86_64 設置並啟用後在 Ingest Manager 中會看到已經上線

SIEM 操作介面

SIEM 的操作介面一樣是長在 kibana 裡面的 Security，減少了我們跟艱澀資料互動的複雜度，介面竟然還支援拖拉設定極複雜的條件設定查詢，打開 Security 後主要會看到搜尋的介面跟幾個 Tab。

搜尋介面
- KQL(Kibana Query Language): 可以看成 kibana 的 SQL
  - 範例: response:200 and extension:php
- filter: 過濾條件提供存檔跟訂選
- 搜尋條件存檔
Overview Tab
- Alerts Trend: 相關觸發規則
- External alerts count
- Events count
- Host and network events
Detections Tab
- 因為我的電腦沒中毒或執行奇怪程式所以都不會有紀錄
Host Tab
- 主機相關資料: Auditbeat、Winlogbeat
Network Tab
- 網路相關資料: Packetbeat + Filebeat
- 發現有提供 GeoIP 的支援
Timelines Tab
- 設定檢索的區間、也提供相關 filter 的建立
- 筆電平常都只有用 Chrome 上網，所以我用 Traveler-PC + chrome.exe 相關關鍵字就可以篩出相關事件