您知道，作为一名网络防御者，您几乎不可能完成整个环境中的任何事情。您拥有的数据越多，您可以检测到的攻击类型的覆盖范围就越广。您可以使用Mitre ATT&CK地图来协调和确定数据收集和分析的优先级，该地图显示了检测哪些对手技术需要哪些数据源。

由于用例涉及与已知恶意域和 DGA 的连接，因此检测隐蔽的命令和控制、数据泄露、DNS 数据提取和分析是安全工程师和 SOC 分析师的首要任务。在本指南中，了解如何使用 Packetbeat 和弹性 SIEM 被动收集、提取和分析这些数据。

Packetbeat 是安装在您想要监控的设备上的一个代理，它可以解析网络流量并将有关信息发送回 Elastic SIEM。Packetbeat 与其他 beat 产品的不同之处在于其实现方法选项。由于它从受监控接口上收到的流量中被动提取 DNS 活动等信息，因此它部署在您想要监控的特定设备上或具有网络分路器或跨度的设备上。

本指南介绍了如何在 Windows 10 端点上安装以监控单个活动接口上的活动。然后介绍了如何在 Linux 上设置 Packetbeat 以进行企业 DNS 监控，并介绍了如何在 CentOS 7 系统上安装 Packetbeat，该系统具有多个接口，可监控来自不同基础设施位置的跨端口。

Packetbeat 与 Beat 系列中的大多数产品一样，可安装在所有常见操作系统上。您可以在Packetbeat的 Elasticsearch 下载网站上找到受支持的架构和操作系统的下载列表。

如果您按照Elastic SIEM 指南中的“设置 Elasticsearch”以及随后的 Kibana 安装和配置进行操作，那么您的环境中就会有特定的 IP 地址暴露出来，等待接收信息。在开始之前，请确保收集并记录该信息以供将来使用。对于本指南，Elasticsearch 节点的 IP:Port 端点为 192.168.218.139:9200，Kibana 的 IP:Port 端点为 192.168.218.139:5601。

Windows 设备可以像 Linux 系统一样用于从跨度收集数据，但 Packetbeat 部署的一个实现用例可以用于临时事件响应或作为关键系统的附加措施。要从特定的 Windows 端点获取 DNS 活动的窗口，请首先按照下载和安装步骤操作。

1. 下载并安装WinPcap。注意：如果您安装npcap而不是winpcap，即使使用推荐的 WinPcap 兼容 API 模式，Packetbeat 可执行文件也将找不到运行所需的wpcap.dll填充。这里有关于尝试将 Packetbeat 与Npcap 一起使用的说明。
2. 从elastic下载 Packetbeat 的正确架构安装文件。

1. 将相关的sha文件下载到同一位置。
2. 打开 Powershell 终端并将sha512文件哈希与下载的文件进行比较以确保完整性。

1. 将packetbeat-7.3.2-windows-x86_64.zip文件解压到c:\Program Files

注意：如果您想将其安装为服务，请从管理 Powershell 提示符运行install-service-packetbeat.ps1文件。

Packetbeat 的配置遵循与其他 beat 程序相同的模式，位于c:\Program Files\packetbeat-7.3.2-windows-x86_64中，名为packetbeat.yml。需要进行一系列更改，其中一些是常见的，例如更改 Elasticsearch 和 Kibana 的 IP 地址，其他一些是 Packetbeat 特有的，以及从设备接口捕获流量的能力。

要以管理员身份运行 Powershell ISE，请单击左上角菜单栏中的文件，选择打开文件并将文件类型选择器更改为所有文件。现在导航到c:\Program Files\packetbeat-7.3.2-windows-x86_64位置并选择并打开packetbeat.yml文件。

注意：您可以使用任何您喜欢的编辑器来编辑 Yaml 文件。我使用 Powershell ISE，因为它是内置的，并且能够以易于编辑的格式正确显示 YAML 文件。

现在文件已打开，向下滚动直到看到 Kibana 部分，其中的默认值已被注释掉，如下所示：

从当前显示localhost:5601 的行中删除 # ，并将该值更改为https://192.168.218.139:5601，即您各自 Kibana 节点的监听地址。使用外部实例时，请不要忘记将 https:// url 前缀添加到 Kibana 地址。

结果应如下所示：

接下来，继续滚动到配置文件的输出部分，到第一个名为Elasticsearch的子标题。

与 Kibana 部分配置类似，您需要删除#注释字符，并将localhost:9200值替换为 Elasticsearch 节点的监听地址的值。在本例中，该地址为192.168.218.139:9200。

此配置与 Kibana 配置不同，因为它不需要 https:// 前缀。

对于 Packetbeat，特别是网络设备以及要向 Elastic SIEM 报告哪些事务数据，请滚动回到配置文件的顶部并找到名为“网络设备”的部分*

在这里，您需要将packetbeat.interfaces.device:值更改为要从中捕获流量的接口的名称。首先，您需要获取 Packetbeat 可用的接口列表及其命名方式。在 Powershell ISE 的底部窗口中，使用 PS 控制台导航到 c :\Program Files\packetbeat-7.3.2-windows-x86_64目录并运行packetbeat devices命令以列出此配置选项可用的接口。

使用此列表，选择要监视的接口的关联编号。对于此设备，它是分配了名为Microsoft 的IP 地址的主 wifi 接口，设备编号为1。将设备值更改为1，网络设备配置应如下所示：

接下来，查看名为事务协议的部分。这些协议解析的不仅仅是流提供的简单 IP 5 元组信息。对于每个协议，解析器都会向 SIEM 事件添加附加信息。对于本指南，关注的是 DNS，但还支持许多其他协议。确保已配置-type: dns条目并设置端口。

现在保存配置，但不要关闭 Powershell ISE 窗口。

在 Powershell ISE 终端窗口中，对新的配置文件运行测试。

接下来，首次运行 Packetbeat，在控制台中使用安装选项运行.\packetbeat.exe，将模板、索引和仪表板加载到配置的 Elasticsearch 和 Kibana 节点中。

成功设置的输出如下所示，表明所有组件已成功连接、创建索引、模板和上传的仪表板（如果尚未由其他安装完成）。