这是ELK实用入门系列的第三篇文章,分享如何使用ELK分析事件日志。
系统日志记录了系统中硬件、软件和系统问题的信息,还可以监控系统中发生的事件。用户可以使用它来检查错误的原因,或者查找攻击者在受到攻击时留下的痕迹。
本文从ELK安全分析的角度出发,将能够检测到异常的登录行为和异常的可疑进程。
欣赏本系列的前几篇文章:
(1):通过构建集中式日志服务器
(2):使用ELK实时分析SSH蛮力破解
用于将事件日志流式传输到。
有三个核心日志文件:应用程序、安全和系统。
Winlogbeat的配置如下:
步骤1:安装Winlogbeat
1.下载并解压缩Winlogbeat
下载地址:https://artifacts . elastic . co/downloads/beats/winlogbeat/winlogbeat-7 . 4 . 2-windows-x86 _ 64 . zip。
2.安装Winlogbeat服务
以管理员身份打开PowerShell,并在PowerShell提示符下运行以下命令来安装服务。
cdC:\程序文件(x86)\Winlogbeat。\ install-service-winlogbeat . PS1
如果系统上禁用了脚本执行,则需要为当前会话设置执行策略,以允许脚本运行。
例如:
powershell . exe-executionpolicyunlimited-File。\ install-service-winlogbeat . PS1 .
步骤2:配置Winlogbeat
修改
C:\程序文件\ winlogbeat \ winlogbeat.yml设置连接信息:
#-elastic searchout-output . elastic search :# arrayofostconnectto . hosts :[localhost :9200]
# optionalprotocolandbasicauth credentials。#协议:https #用户名:弹性#密码:改变时间
填写要输出到es的地址。保存配置文件后,使用以下命令检查配置文件的正确性:
winlogbeat . exetestconfig-winlogbeat . yml-e
第三步:启动Winlogbeat
使用以下命令启动Winlogbeat服务
Start-Servicewinlogbeat
使用以下命令停止Winlogbeat服务:
Stop-Servicewinlogbeat
安装和部署专家系统
1.装置
yum-yinstallelasticsearch
2.配置
cd/etc/elasticsearch/
33600 . 0 . 0 . 0 http . port :9200
3.启动ES
/bin/systemctldaemon-reloadsystemctlstaretrysearch
基于ELK的SIEM
基巴纳的SIEM应用程序为安全分析提供了一个交互式工作空间,可以分析主机相关和网络相关的安全事件。
创建索引。在SIEM界面,可以找到Winlogbeat从Windows事件日志中提取的主机事件。
点击查看主机,在主机界面可以查看安全分析的结果,其中包含五部分信息。
第一部分,访问日志的主机数量、用户身份验证、用户访问IP等汇总信息。
第二部分,访问日志的所有主机,包括主机名、上次看到的事件、操作系统类型和版本。
第三部分显示用户名、登录次数、登录时间等登录成功和失败的信息。
第四部分显示了不同寻常的进展,包括进程名称、主机数量、命令和用户。
第五部分显示所有安全事件,包括时间戳、主机名、日志类型、用户、来源、消息和其他信息。
结论
本文中,基于ElasticStack的SIEM展现了很强的安全事件分析能力。Winlogbeat收集Windows事件日志,以Elasticsearch的速度进行安全分析,利用Kibana中SIEM应用的网络安全数据快速检测和响应安全事件。
当然不仅仅是Windows事件日志,Beats还可以从任何你想要的地方提取数据,比如审计事件、认证日志、DNS流量、网络流量等等。
这只是一个初步的探索,如何更好地利用ElasticSIEM来发现和解决安全问题是我们将进一步研究的方向。
我在学习,我总是在路上。来啊!
如有疑问,请从关注个人微信官方账号留言。我叫旁路。欢迎讨论。
网友评论
当前共有18条评论