ELK SIEM公开发行:简介。SOC即服务(SOCasS)的基础架构和技术部署
在过去的几年中,网络攻击的数量已经激增。这些攻击不仅针对个人,还针对企业,政府,关键基础设施等,由于攻击的复杂性和数量众多,传统的解决方案(如防病毒,防火墙,NIDS和NIPS)已不再足够。
该系列文章被认为是构建一个完全开源的SIEM副本。详细信息将在以下文章中介绍。
所有职位的目录。
在过去的几年中,网络攻击的数量已经激增。这些攻击不仅针对个人,还针对企业,政府,关键基础设施等,由于攻击的复杂性和数量众多,传统的解决方案(如防病毒,防火墙,NIDS和NIPS)已不再足够。
SIEM (Security Information and Event Management) , , . , .
, SOC, . SOC- , , , . , , . - SOC.
. SOCaaS . , .
100% .
:
, , , , , .
, . Logstash (VPN-). ELK beats wazuh-agent ELK SIEM.
Logstash. Elasticsearch . , .
WAZUH HIDS Wazuh Elasticsearch.
ElastAlert .
MISP, , . , Cortex MISP.
, :
Hardware:
, , .
, .
, , (, , . .… )
Disclaimer :
, , - POC . POC.
, , . . 8 Vcpu , 32 8 .
:
ELK stack: ELK stack- , , : Elasticsearch, Logstash Kibana. Elasticsearch, ELK , , , .
Beats: , (, , ). Beats Elasticsearch , Logstash, Kibana.
Elastalert: , Elasticsearch. Elasticsearch , . Elasticsearch , , , . , , .
Suricata: , (OISF). Suricata (IDS) (IPS), .
Open Distro Elasticsearch:
- (Alerting): , , . Kibana API .
- (Security): ( Active Directory OpenID), , , , .
Praeco: Elasticsearch- ElastAlert, API ElastAlert. Praeco Elasticsearch , Slack, , Telegram HTTP POST, , .
Wazuh: , , . , , . Wazuh , . , , .
Nessus Essentials: , . , .
TheHive: TheHive " , , , , ”.
Cortex: Cortex- , TheHive, . Cortex "" , . , IP, URL , . VirusTotal, .
MISP:恶意软件信息和共享平台(MISP)是一个威胁情报平台,用于共享,存储和关联针对性攻击,威胁分析,财务欺诈信息等的危害指标。今天,MISP已被许多组织用于存储,共享知识,就网络安全指标进行协作,分析恶意软件以提供更好的安全保护。
在Elasticsearch上进行电报聊天:https://t.me/elasticsearch_ru