这篇文章将介绍如何在ELK中自定义ELK和SIEM仪表板的可视化。
本文分为以下几节:
1- ELK SIEM概述
2-默认仪表板
3-创建第一个仪表板
所有职位的目录。
1-ELK SIEM概述
ELK SIEM最近在2019年6月25日的7.2版中添加到了麋鹿堆栈中。
这是由Elastic.co创建的SIEM解决方案,旨在使安全分析师的工作变得更加轻松和乏味。
在我们的工作版本中,我们决定创建自己的SIEM并选择自己的控制面板。
但是我们认为首先学习ELK SIEM非常重要。
1.1-主机事件部分
我们首先来看主机部分。主机部分将允许您查看在端点处生成的事件。
- . , :
1 Windows 10.
2 Ubuntu 18.04.
, .
, , , .
, , . . , , ,
1.2-
, - . , , HTTP / TLS DNS .
2-
, elastic.co , ELK. . Packetbeat .
. , . , .
Kibana . , .
. . , , .
, .
PacketBeat.
. , IP-, .
3 —
3–1-
A- :
, .
:
- Markdown
B- KQL ( Kibana):
, . , , . ,
https://www.elastic.co/guide/en/kibana/current/kuery-query.html
Windows 10 pro.
C- :
, , , . . , .
D- :
MITER ATT & CK.
Dashboard → Create new dashboard→create new →Pie dashboard
, .
. .
Buckets :
— Split slices .
— Split Chart .
.
. MITER ATT & CK.
Winlogbeat , , :
winlog.event_data.RuleName, .
“ ”.
, , , , . . .
, ,
:
** , .
** , . .
** , ,
, .
, , .
:
, , , , , , . , , . MITER ATT & CK, win10.
3-2-创建第一个仪表板:
仪表板是许多可视化的集合。您的仪表板应清晰,易于理解,并包含有用的确定性数据。这是我们从头开始为winlogbeat创建的仪表板的示例。
感谢您的时间。希望本文对您有所帮助。如果您需要有关该主题的更多信息,建议您访问官方网站。
在Elasticsearch上进行电报聊天:https://t.me/elasticsearch_ru