在之前的一系列文章:
-
Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 一)- SIEM 介绍
-
Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 二)- Elastic Stack 安装及processors的配置,Winlogbeat
-
Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 三)- 启动packetbeat及auditbeat
-
Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 四) - 创建一个rule
如果你已经读完我所有的上面的文章后,我相信你现在已经对SIEM有所了解,完成了你自己的Elastic Stack,并按照我们的需求安装好自己的beats来收集我们想要的数据了。我们也同时可以创建一些简单的rule,或启用Elastic已经为我们定制好的rule来侦查我们的信号。
在今天的文章中,我们假设你已经收集到足够的数据,我们展示如何使用SIEM应用帮我们进行数据的搜索及分析。在今天的文章中,我们将使用一个Elastic Cloud里的实例来做相应的讲解。
使用Discover来搜索数据
我们可以打开Kibana,并点击Discover:
在上面我们可以选择我们喜欢的Index pattern,来对数据进行搜索。在上面我们选择anditbeat-7.*,在显示的右下方,我们可以看到每一个文档或事件。我们可以展开这个事件看到更为详细的事件信息:
我们可以看到host,user agent, process, OS等等的信息。最重要的是,我们可以在上面的搜索框中对数据进行搜索。比如,我们添加了一个filter:
那么它将只显示agent.hostname为james-honeypot-logstash-demo的相关文档。如果大家对搜索还不是很熟的话,请参阅我之前的文章“Kibana: 如何使用Search Bar”。
运用SIEM应用进行数据分析
点击SIEM应用:
我们向下滑动查看一下Events:
如上图所示,我们可以看见我们关心的两类Events:Host events及Network events。如我们之前的练习一样,它们的数据来源来自于Auditbeat,Filebeat, Winlogbeat, Packetbeat及Elastic Endpoint Security。针对Elastic Endpoint Security目前我们还没有涉及。在将来的文章中,我们将分别介绍。
Hosts
在上面的画面中,我们店View hosts按钮:
我们可以看到所有7个hosts的总揽情况。有多少个成功登陆的,有多少次失败的登录。在下面它分别显示了所有的hosts的列表。我们点击其中的一个host,比如james-honeypot-logstash-demo,我们可以看到关于这个host的统计情况:
我们向下滚动:
我们可以看到所有的成功的,失败的验证。它们是什么时候发生的,已经是从哪里失败的。
我们可以点击上面的Uncommon processes:
点击Anomalies:
点击上面的Events:
点击上面的External alerts:
Network
从上面我们可以看到网路连接从source到destination的一个地图:
向下滚动,我们可以看到所有的traffic的情况:
我们可以点击DNS:
点击HTTP:
点击TLS:
点击Anomalies:
点击External alerts:
Detections:
在上面我们可以看到有三个Signals。在上面我可以看到它们分别对应的rule。我们可以展开这个signal:
我们点击Local Service Commands规则:
在上面我们可以看到这个rule的定义。
Timeline
我们点击Timeline:
为了能够创建一个我们自己的Timeline,我们点击窗口右边的那个Timeline:
我们看到如下的画面:
在Timeline的窗口中,我们可以看到所有的Authentication用户为root的事件。我们接着可以再添加一个条件来进一步缩小范围,比如我们想查询所有的用户为root,并且file.path为/etc/passwd的事件:
那么我们的事件得到进一步的缩小:
从上面显示的Events的数字上可以看出来,事件的数量变少了。我们可以通过这样的方法进行排查我们的事件。我们通过添加各种不同的条件来进行筛选我们的数据直到我们找到我们想要的信息。
等我们排查完我们的数据后,我们可以在Timeline中添加一个我们喜欢的名字,描述及添加一下Notes:
点击Notes:
点击Add Note。我们关掉当前的Timeline,并重新打开Timeline的窗口:
我们可以发现我们刚才已经被创建的Test的Timeline。我们点击这个Test的超链接,那么我们很快可以看到我们之前的画面:
我们可以接着再继续对我们的这个Test Timeline来进行挖掘。有时我们的这个工作需要反复地操作,或者是转让给我们的同事接着工作,直至找到安全的解决方案。
最后,我想说的是:安全是使命,需要不断地挖掘!
