iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 18
0

這篇文章會分享 Elastic SIEM 簡介與 UI 功能介紹,Elastic 提供了一套免費基於 Elastic Stack 的 Elastic SIEM,在安全性資訊與事件管理上,以第一次接觸這類工具的前端工程師來說,覺得應該算是免費又好用的工具吧?

Elastic SIEM

Elastic 提供了一套免費基於 Elastic Stack 的 Elastic SIEM,一套 SIEM 主要結合了:

  • SIM (security information management)
  • SEM (security event management)

那一套完整的 Elastic Stack 版本的 SIEM 需要包含以下元件,有少當然還是可以跑只是資訊跟功能就不那麼完整。

  • Elastic Endpoint Security: 回傳端點威脅預防、偵測、回應相關的事件跟警告
  • Beats: 透過 Beats 蒐集各種相關的安全資訊
  • Elasticsearch: 即時、分散式儲存、全文檢索引擎、資料分析
  • Kibana: Elasticsearch 的 GUI 管理介面

選配的元件或功能

Elastic SIEM 系統架構
ElasticSIEM.png
來源: https://www.elastic.co/guide/en/siem/guide/current/images/siem-architecture.png

SIEM 資料流程

SIEM 會從各式來源擷取與分析資料,來源涵蓋了 Elastic Endpoint Security、Beats、APM transactions 或是任何只要能夠符合 ECS 規格的資料,最後都會將各式資訊彙整成同樣的 schema 存入 Elasticsearch,方便集中管理、分析、聚合相關的事件,這樣不管是要資料分析或是做機器學習都更加方便。

SIEM 會從各式來源擷取與分析資料
https://ithelp.ithome.com.tw/upload/images/20200920/201300260cZ4hRyH9o.png
來源: https://learn.elastic.co/

ECS 規格會定義相關需要的欄位
https://ithelp.ithome.com.tw/upload/images/20200920/20130026gWKWhB9FpB.jpg

將各式資訊彙整成同樣的 schema 存入 Elasticsearch
https://ithelp.ithome.com.tw/upload/images/20200920/201300268lGJXstBoL.png
來源: https://learn.elastic.co/

SIEM 資料來源

資料來源雖然涵蓋了很多部分,但資料彙整後主要歸類成主機相關、網路相關兩大類,使用上原則上就是照著提示進行安裝和啟用,安裝完成後要確認一下是不是真的有出現在 kibana 介面中即可。

  • 主機相關
    • Auditbeat
      • System module
        • packages
        • processes
        • logins
        • sockets
        • users and groups
      • Audit module: linux kernel
    • Filebeat
      • system logs (linux)
      • santa (mac)
    • Winlogbeat
      • Windows event logs
  • 網路相關
    • Packetbeat
      • 流量
      • DNS
    • Filebeat
      • 網路層相關軟硬體的 log

elastic-agent-7.9.1-windows-x86_64 設置並啟用後在 Ingest Manager 中會看到已經上線
https://ithelp.ithome.com.tw/upload/images/20200920/20130026DJRcizUsFb.jpg

SIEM 操作介面

SIEM 的操作介面一樣是長在 kibana 裡面的 Security,減少了我們跟艱澀資料互動的複雜度,介面竟然還支援拖拉設定極複雜的條件設定查詢,打開 Security 後主要會看到搜尋的介面跟幾個 Tab。

  • 搜尋介面
    • KQL(Kibana Query Language): 可以看成 kibana 的 SQL
      • 範例: response:200 and extension:php
    • filter: 過濾條件提供存檔跟訂選
    • 搜尋條件存檔
  • Overview Tab
    • Alerts Trend: 相關觸發規則
    • External alerts count
    • Events count
    • Host and network events
  • Detections Tab
    • 因為我的電腦沒中毒或執行奇怪程式所以都不會有紀錄
  • Host Tab
    • 主機相關資料: Auditbeat、Winlogbeat

    https://ithelp.ithome.com.tw/upload/images/20200920/20130026hEjAw6TPz6.jpg

  • Network Tab
    • 網路相關資料: Packetbeat + Filebeat
    • 發現有提供 GeoIP 的支援

    https://ithelp.ithome.com.tw/upload/images/20200920/20130026Ycq3LCV6qe.jpg

  • Timelines Tab
    • 設定檢索的區間、也提供相關 filter 的建立
    • 筆電平常都只有用 Chrome 上網,所以我用 Traveler-PC + chrome.exe 相關關鍵字就可以篩出相關事件

    https://ithelp.ithome.com.tw/upload/images/20200920/20130026OgWPuMiz8D.jpg


上一篇
Elastic Endgame 簡介: 端點防護產品 Endgame 的體驗心得分享 (17)
下一篇
Elastic SIEM 基礎: SIEM 究竟能夠幫我們解決什麼問題 (19)
系列文
前端三分鐘 X Elastic Stack31

尚未有邦友留言

立即登入留言