你可以學到？

接下來兩天，我們要來了解 Elastic SIEM（Security Information & Event Management），並且使用內建的機器學習來偵測異常行為。

本篇的主題包含有：

1. Elastic SIEM 基本認識與操作

那我們就開始吧！

Why SIEM？

在一個營運的系統中，每個環節都有可能會出現對安全性有威脅的事件，舉凡伺服器、工作站、防火牆...等等，而安全分析師就需要在有限的時間與資源下，做出快速的判斷來排除這些威脅與異常。

但是這些由各個系統所產生的事件日誌，數量是非常龐大的，此時安全分析師就需要一個工具來幫助他有效率的處理這些日常資料，而 Elastic SIEM 這個工具就是為此而存在的！

Elastic SIEM 具備有下列特點：

• 分散式系統：可擴充、可靠並且可維護
• 搜索引擎：資料的查找
• 使用者介面：直觀、便於分析、容易設置

而整個 Elastic SIEM 架構可以用下圖表示：

• Elastic Common Schema（ECS）：解析要讀進來的資料
• Network & data ingestions：透過 Beats 和 Logstach 輸入、讀取資料
• Elastic SIEM：視覺化與安全性有關的資料、指標

動手實作 EP16：認識 Elastic SIEM

這一部分的實作，我們將可以學到：

• Elastic SIEM 介面與提供的基本資訊

1. 首先先用練習 Lab 幫我們準備好的一個程式，來產生範例資料做練習：

cd ./scripts
./replay.py

2. 接著在瀏覽器開啟：<Public_DNS>/app/kibana#/，然後在左邊面板點選 SIEM 圖示，就會顯示 SIEM 的頁面資訊了！

3. 一點開後，映入眼簾的是兩大塊資料內容：Host events 和 Network events，我們將輪流看看各有什麼資訊。

4. 首先可以將滑鼠移到 View hosts 左邊一點，就可以點開 Inspect Host events 的資訊頁面，可以看到 index pattern 都帶有 wildcard 這種模式：

5. 近一步點進去 View hosts 後，就可以看到一些 Events 計算、統計的數字，往下拉點進去個別 Host，還可以看到詳細的資訊，讓你可以了解發生事件的內容：

6. 看完 Host events 的部分後，接著我們點進 View network 來看看 Network events 頁面會長什麼樣子，一點開後就會看到世界地圖，上面會有許多的點，兩種顏色分別代表來源（Source）和目的地（Destination）：

7. 啊哈～台灣在這邊：
   

8. 右上有個顯示圖層的按鈕，點開後可以看到目前顯示的是 filebeat 的資訊：

9. 往下拉可以看到 Source IPs 的表，這裡就可以做一些分析，例如對 Bytes in 欄位排序，可以看看誰 下載 用了最多流量，看來 .4.5 這兩位仁兄用量很大，壞壞的東西下載很多歐～ㄎㄎ

10. 同樣地，也可以對 Bytes out 做排序，又是這 兩位仁兄 ，看來要被公司網管找去喝咖啡聊聊了ㄏㄏㄏ

11. Network event 下方的表有這些分類，讓你可以對 Network flow 做一些基本的分析與了解：

今日心得與短結

今天，我們了解了 SIEM 是用來幹嘛的，也認識了 Elastic SIEM 的基本操作介面。

明天我們進一步來操作讀取 SIEM 的資料，可以的話來實作異常偵測的例子！