Els entorns informàtics són cada vegada més grans, distribuïts i difícils de gestionar. Cal protegir i controlar tots els components del sistema contra les ciberamenaces. Necessiteu una plataforma escalable que pugui emmagatzemar i analitzar registres, mètriques i esdeveniments. Les solucions SIEM poden costar molts diners. En aquesta història veurem la solució gratuïta disponible a Elastic Stack, que és Elastic SIEM.

Què farem servir?

Elastic Stack és un conjunt de components: Elasticsearch, Kibana, Logstash i Beats. Breu informació sobre el que s’utilitza en aquesta història:

• Elasticsearch: base de dades de documents / motor de cerca
• Kibana: tauler de visualització de dades per a Elasticsearch
• Filebeat: col·leccionista de registres lleuger ( mòduls disponibles )
• Packetbeat: col·leccionista de protocols de xarxa lleuger ( i més )
• Audibeat: un col·leccionista d'esdeveniments de seguretat lleuger sense l'ús d'auddd
• Winlogbeat: un col·leccionista d'esdeveniments lleugers dels sistemes Windows.

Medi ambient

He creat 3 màquines virtuals al núvol d'Azure:

• ELK - Ubuntu 20.04 - Elasticsearch + Kibana
• Ubuntu1 - Ubuntu 20-04 - Filebeat, Packetbeat, Auditbeat
• Win10 - Windows 10: Auditbeat, Packetbeat, Winlogbeat

Instal·lació d'Elasticsearch + Kibana

Posarem un clúster d’un sol node. Aquí es pot descarregar Elasticsearch i Kibana fitxers deb.

La instal·lació:

#security #elasticsearch # elastic-stack

itnext.io

Com es fa elàstic SIEM

Els entorns informàtics són cada vegada més grans, distribuïts i difícils de gestionar. Cal protegir i controlar tots els components del sistema contra les ciberamenaces.