使用 Elasticsearch SIEM 设置审计事件
Elasticsearch SIEM 中的 Auditbeat 简介
您对全新的 Elasticsearch SIEM 设置感到兴奋,但又不知道从哪些数据入手? Kibana 中 SIEM 部分的登录页面就是您的最佳选择。
请注意这两个类别:
- 举办活动
- 网络事件
这些都是相当不言自明的,但其想法是,利用这种 SIEM 功能,您可以弥合主机和网络之间的连接,以揭示恶意活动的突发属性,并比单独查看数据更有效地构建攻击链。
有关 Elasticsearch SIEM 的更多信息以及使用不同节拍来提取其他 Elasticsearch SIEM 指南中额外兼容的事件,请参见此处。在本指南中,您将安装、配置和提取主机数据部分中最突出的类别 Auditbeats 中的日志。您可以在此处找到有关 Elasticsearch SIEM 的更多信息以及使用不同节拍来提取其他 Elasticsearch SIEM 指南中额外兼容的事件。
技术
| 产品 | 版本 | 关联 |
|---|---|---|
| Filebeat | 7.3.2 | 下载 |
概述
Elasticsearch 的 Auditbeat 模块是一个加载到端点、Linux、MacOS 或 Windows 上的代理,它使用不同的模块向 Elasticsearch SIEM 提供事件。
概览页面上显示了与 Elasticsearch SIEM 兼容的事件,但并非所有模块和数据集都适用于所有端点操作系统。
以下是概述:
| 模块 | 兼容操作系统 |
|---|---|
| 已审核 | 仅限 Linux |
| 文件完整性 | Windows、Linux、MacOS |
| 系统 - 主机 | Windows、Linux、MacOS |
| 系统-流程 | Windows、Linux、MacOS |
| 系统 - 登录 | 仅限 Linux |
| 系统 - 封装 | 仅限 Linux |
| 系统 - 插座 | 仅限 Linux |
| 系统 - 用户 | 仅限 Linux |
从 Elasticsearch 收集信息并决定要监控的内容
要从以前的 Elasticsearch SIEM 安装中收集信息,您将需要在服务各自的 YAML 配置文件中找到 Elasticsearch 和 Kibana 服务的公开 IP。
假设 elastic 实例设置为公开 192.168.218.139,并且防火墙设置规则以允许 Elasticsearch (9200) 和 Kibana (5601) 进行外部监听,如elasticsearch 设置指南中所示,这些也将是本指南中用于 Auditbeat 配置的端点设置。
在 Windows 上安装、配置和运行 Auditbeat
在 Windows 上下载 Auditbeat
虽然并非所有功能都支持 Windows 和 MacOS,但文件完整性、进程和主机监控功能非常重要。要开始在 Windows 上使用审计节拍,首先在您选择的浏览器中导航到 Auditbeat下载页面,然后从列表中选择正确的发行版。
对于本指南,我在 64 位 Windows 10 系统上安装 Auditbeats,并选择相应的包进行下载。
确保还下载了sha文件以进行完整性检查,然后打开 Powershell,导航到两个文件的下载位置。
另一个命令行是invoke-webrequest。https ://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-7.3.2-windows-x86_64.zip
打开 Powershell 并导航到下载位置,对下载的 zip 文件进行哈希处理,然后从sha完整性文件中打印内容并确保两个值匹配后再继续。
cd c:/Users/Globo-Control/Downloads/
(get-file -algorythim SHA512 auditbeat).hash
get-content auditbeat.sha
结果应该是打印两个匹配的哈希值,看起来像这样:
安装
从 Elasticsearch 下载经过验证的安装媒体后,就可以安装 Auditbeat 客户端了。
打开 Windows 资源管理器,转到包含 Auditbeat zip 文件的位置,右键单击该文件,然后选择全部提取。
选择提取档案内容的位置并单击提取。
然后验证文件夹和文件是否成功提取到所需位置。
您可以通过从提升的命令提示符运行提供的ps1文件来将 Auditbeat 安装为服务。它将设置自动启动服务并使用默认的auditbeat.yml配置文件。注意:安装服务 Powershell 模块以供以后使用。
为 Windows 配置 Auditbeat
在运行之前,你需要让 Auditbeat 知道将数据发送到哪里。在本例中,它是之前设置的 Elasticsearch SIEM。
使用 Powershell ISE 的以管理员身份运行选项打开位于解压文件夹中的auditbeat.yml文件。这里选择 Powershell ISE 是因为它将以易于阅读和编辑的格式显示 yaml 文本,同时提供 Powershell 控制台来运行命令,以验证配置是否正确实施。
打开 Powershell ISE 后,选择文件菜单按钮,然后打开。导航到解压的 Auditbeat 文件夹位置,并将文件类型选择器更改为任何文件。现在您应该看到auditbeat.yml文件可供选择。
现在文件已打开,您需要向下滚动直到看到Kibana部分,该部分将注释掉默认值并如下所示:
接下来,继续滚动到配置文件的输出部分,到第一个名为Elasticsearch的子标题。
与 Kibana 部分配置类似,您需要删除#注释字符,并将localhost:9200值替换为 Elasticsearch 节点的监听地址的值。在本例中,它将是192.168.218.139:9200。
注意:此配置与 kibana 配置不同,因为它不需要 https:// 前缀。
现在保存配置,但不要关闭 Powershell ISE 窗口。
运行 Auditbeat
在 Powershell ISE 窗口底部,运行以下命令更改到解压的 Auditbeat 目录并运行安装程序。
PS> cd C:\auditbeat-7.3.2-windows-x86_64
PS> .\auditbeat.exe -e -c .\auditbeat.yml setup
一旦运行,Auditbeat 程序将运行检查配置和环境,并联系配置为创建索引和索引模板、模式、策略的 Elasticsearch 和 Kibana 节点,并上传预建的仪表板。
设置成功完成后,就可以首次运行 Auditbeats 了。不仅从命令行运行 Auditbeats 可执行文件,而且使用-e选项运行它,始终是良好的故障排除做法,该选项告诉程序输出到标准输出,让您可以查看活动并在出现问题时进行故障排除。
一旦您对 Auditbeats 程序的配置和稳定性感到满意,您就可以将其添加为随系统启动自动运行的服务。
使用以下命令运行 Auditbeats:
PS> .\auditbeat.exe -e
在运行时,您可以看到与 Elasticsearch 和 Kibana 的成功连接,但是一旦初始化,您还可以看到发送到 Elasticsearch SIEM 的事件指标的 JSON 输出,其中控制台打印输出的底部显示[监
免责声明:本内容来源于第三方作者授权、网友推荐或互联网整理,旨在为广大用户提供学习与参考之用。所有文本和图片版权归原创网站或作者本人所有,其观点并不代表本站立场。如有任何版权侵犯或转载不当之情况,请与我们取得联系,我们将尽快进行相关处理与修改。感谢您的理解与支持!
请先 登录后发表评论 ~