Com es fa elàstic SIEM

Bloc

Com es fa elàstic SIEM

Els entorns informàtics són cada vegada més grans, distribuïts i difícils de gestionar. Cal protegir i controlar tots els components del sistema contra les ciberamenaces. Necessiteu una plataforma escalable que pugui emmagatzemar i analitzar registres, mètriques i esdeveniments. Les solucions SIEM poden costar molts diners. En aquesta història veurem la solució gratuïta disponible a Elastic Stack, que és Elastic SIEM.



Què farem servir?

Elastic Stack és un conjunt de components: Elasticsearch, Kibana, Logstash i Beats. Breu informació sobre el que s’utilitza en aquesta història:

  • Elasticsearch: base de dades de documents / motor de cerca
  • Kibana: tauler de visualització de dades per a Elasticsearch
  • Filebeat: col·leccionista de registres lleuger ( mòduls disponibles )
  • Packetbeat: col·leccionista de protocols de xarxa lleuger ( i més )
  • Audibeat: un col·leccionista d'esdeveniments de seguretat lleuger sense l'ús d'auddd
  • Winlogbeat: un col·leccionista d'esdeveniments lleugers dels sistemes Windows.

Medi ambient

He creat 3 màquines virtuals al núvol d'Azure:



  • ELK - Ubuntu 20.04 - Elasticsearch + Kibana
  • Ubuntu1 - Ubuntu 20-04 - Filebeat, Packetbeat, Auditbeat
  • Win10 - Windows 10: Auditbeat, Packetbeat, Winlogbeat

Instal·lació d'Elasticsearch + Kibana

Posarem un clúster d’un sol node. Aquí es pot descarregar Elasticsearch i Kibana fitxers deb.

La instal·lació:



sudo dpkg -i file_name.deb

#security #elasticsearch # elastic-stack

itnext.io

Com es fa elàstic SIEM

Els entorns informàtics són cada vegada més grans, distribuïts i difícils de gestionar. Cal protegir i controlar tots els components del sistema contra les ciberamenaces.