Rilevazione di Tentativi di Hacking del Host Utilizzando ELK

Tutorial
ElasticSearch Kibana

Che cos’è SIEM?

SIEM sta per Security Information and Event Management. Si tratta di una soluzione software che fornisce l’analisi in tempo reale di avvisi di sicurezza generati da hardware di rete e applicazioni. SIEM raccoglie i dati di log da più sorgenti come dispositivi di rete, server e applicazioni, quindi correlano e analizzano questi dati per identificare minacce alla sicurezza.

SIEM può aiutare le organizzazioni a migliorare la loro postura di sicurezza fornendo una vista centralizzata degli eventi di sicurezza in tutto l’infrastruttura IT. Consente agli analisti di sicurezza di identificare rapidamente e rispondere agli incidenti di sicurezza e fornisce rapporti dettagliati per scopi di conformità.

Alcune delle caratteristiche chiave delle soluzioni SIEM includono:

  1. Raccolta e analisi dei log
  2. Correlazione e allerta degli eventi in tempo reale
  3. Analisi del comportamento degli utenti e delle entità
  4. Integrazione dell’intelligence sulle minacce
  5. Rapporti di conformità

SIEM viene spesso utilizzato in combinazione con altre soluzioni di sicurezza, come firewall, sistemi di rilevamento delle intrusioni e software antivirus, per fornire monitoraggio della sicurezza completo e capacità di risposta agli incidenti.

Che cos’è ELK?

ELK è l’acronimo per un insieme di strumenti software open-source utilizzati per la gestione e l’analisi dei log: Elasticsearch, Logstash e Kibana.

Elasticsearch è un motore di ricerca e analisi distribuito che fornisce una ricerca veloce e un efficiente archivio di grandi volumi di dati. È progettato per essere scalabile e può gestire un grande numero di query e operazioni di indicizzazione in tempo reale.

Logstash è uno strumento di raccolta e elaborazione dei dati che ti consente di raccogliere log e altri dati da più fonti, come file di log, syslog e altre fonti di dati, e trasformare ed arricchire i dati prima di inviarli a Elasticsearch.

Kibana è un’interfaccia utente web che ti consente di visualizzare e analizzare i dati archiviati in Elasticsearch. Offre una gamma di visualizzazioni interattive, come grafici a linee, grafici a barre e heatmap, nonché funzionalità come dashboard e avvisi.

Insieme, questi tre strumenti formano una potente piattaforma per la gestione e l’analisi dei log e di altri tipi di dati, comunemente indicata come la pila ELK o Elastic stack. La pila ELK è ampiamente utilizzata nelle operazioni IT, nella monitorizzazione della sicurezza e nell’analisi aziendale per trarre informazioni da grandi quantità di dati.

Ingestione di Dati SIEM nell’ELK

L’ingestione di dati SIEM nella pila ELK può essere utile per le organizzazioni che desiderano combinare le capacità di gestione degli eventi di sicurezza del SIEM con le funzionalità di gestione e analisi dei log dell’ELK.

Ecco i passaggi di alto livello per ingerire dati SIEM nell’ELK:

  1. Configura il SIEM per inviare dati di log a Logstash, che fa parte della pila ELK.
  2. Creare un file di configurazione Logstash che definisca l’input, i filtri e l’output per i dati del SIEM.
  3. Avviare Logstash e verificare che stia ricevendo e elaborando correttamente i dati del SIEM.
  4. Configurare Elasticsearch per ricevere e memorizzare i dati del SIEM.
  5. Creare visualizzazioni e dashboard in Kibana per mostrare i dati del SIEM.

Ecco un esempio di file di configurazione Logstash che riceve messaggi Syslog da un SIEM e li invia a Elasticsearch:

Python

  

	input {
	  syslog {
	    type => "syslog"
	    port => 5514
	  }
	}
	filter {
	  if [type] == "syslog" {
	    grok {
	      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
	      add_field => [ "received_at", "%{@timestamp}" ]
	      add_field => [ "received_from", "%{host}" ]
	    }
	  }
	}
	
	output {
	  elasticsearch {
	    hosts => ["localhost:9200"]
	    index => "siem"
	  }
}

Una volta configurato e in esecuzione Logstash, i dati del SIEM saranno acquisiti in Elasticsearch e possono essere visualizzati e analizzati in Kibana. È importante garantire che siano in vigore le misure di sicurezza appropriate per proteggere l’ambiente SIEM e ELK e per monitorare e segnalare eventuali eventi di sicurezza.

Rilevamento di Tentativi di Hacking su Host

Il rilevamento di tentativi di hacking su host utilizzando SIEM in ELK comporta il monitoraggio e l’analisi dei log del sistema e del traffico di rete per identificare attività sospette che potrebbero indicare un tentativo di hacking. Ecco i passaggi di alto livello per impostare il rilevamento di tentativi di hacking su host utilizzando SIEM in ELK:

  • Configurare gli host per inviare i log del sistema e il traffico di rete a un sistema di raccolta dei log centralizzato.
  • Configurare Logstash per ricevere e analizzare i dati dei log e del traffico di rete dagli host.
  • Configurare Elasticsearch per memorizzare i dati dei log analizzati.
  • Utilizzare Kibana per analizzare i dati dei log e creare dashboard e allarmi per identificare potenziali tentativi di hacking.

Ecco alcune tecniche specifiche che possono essere utilizzate per rilevare tentativi di hacking su host:

  • Monitoraggio delle tentate connessioni non riuscite: Individuare tentativi ripetuti di accesso non riusciti da un singolo indirizzo IP, che potrebbero indicare un attacco di forza bruta. Utilizzare Logstash per analizzare i log del sistema relativi agli eventi di accesso non riusciti e creare un dashboard o un avviso in Kibana per monitorare tentativi eccessivi di accesso non riusciti.
  • Monitoraggio del traffico di rete sospetto: Cercare traffico di rete verso o da indirizzi IP o domini noti come malevoli. Utilizzare Logstash per analizzare i dati sul traffico di rete e creare un dashboard o un avviso in Kibana per monitorare i modelli di traffico sospetti.
  • Monitoraggio delle modifiche al file system: Individuare modifiche non autorizzate ai file o alle impostazioni del sistema. Utilizzare Logstash per analizzare gli eventi di modifica del file system e creare un dashboard o un avviso in Kibana per monitorare le modifiche non autorizzate.
  • Monitoraggio dell’attività dei processi sospetti: Cercare processi in esecuzione con privilegi elevati o che stiano compiendo azioni insolite. Utilizzare Logstash per analizzare gli eventi dei processi e creare un dashboard o un avviso in Kibana per monitorare l’attività dei processi sospetti.

Attuando queste tecniche e monitorando regolarmente i log e il traffico di rete, le organizzazioni possono migliorare la loro capacità di rilevare e rispondere agli attacchi hacker ai sistemi host utilizzando SIEM in ELK.

Configurare un Avviso in ELK per Rilevare Attacchi Hacker ai Sistemi Host

Per configurare un avviso in ELK per rilevare un attacco hacker ai sistemi host, è possibile seguire questi passaggi generali:

  • Creare una query di ricerca in Kibana che filtra i log per gli eventi di Attacco Hacker ai Sistemi Host. Ad esempio, è possibile utilizzare la seguente query di ricerca per rilevare tentativi di accesso non riusciti:
Python

  

from elasticsearch import Elasticsearch

es = Elasticsearch()

search_query = {
  "query": {
    "bool": {
      "must": [
        {
          "match": {
            "event.dataset": "auth"
          }
        },
        {
          "match": {
            "event.action": "failed_login"
          }
        }
      ]
    }
  }
}

res = es.search(index="siem", body=search_query)

for hit in res['hits']['hits']:
    print(hit['_source'])
  • Una volta creata la query di ricerca, salvarla come ricerca salvata in Kibana.
  • Vai all’interfaccia delle Alert e Azioni di Kibana e crea una nuova alerta. Scegli la ricerca salvata che hai creato nel passaggio 2 come base per l’alert.
  • Graphical user interface, application Description automatically generated 
  • Configura l’alert per attivarsi quando viene raggiunto un certo threshold. Ad esempio, puoi configurare l’alert per attivarsi quando ci sono più di 5 tentativi di accesso falliti entro una finestra di 5 minuti.
  • Configura l’alert per inviare una notifica, come una email o un messaggio Slack, quando si attiva.
  • Testa l’alert per assicurarti che funzioni come previsto.

Una volta configurata l’alert, si attiverà automaticamente quando rileva un evento di tentativo di hacking del host, come un tentativo di accesso fallito. Ciò può aiutare le organizzazioni a rilevare e rispondere alle minacce alla sicurezza in modo efficiente ed efficace. È importante rivedere e aggiornare regolarmente le tue alert per assicurarti che rilevino gli eventi di sicurezza più rilevanti e importanti.

Conclusione

L’utilizzo di ELK per rilevare tentativi di hacking del host è un approccio efficace per migliorare la postura di sicurezza di un’organizzazione. ELK offre una potente combinazione di raccolta dei log, parsing, archiviazione, analisi e capacità di allerta, che consentono alle organizzazioni di rilevare e rispondere ai tentativi di hacking del host in tempo reale.

Monitorando i log del sistema e il traffico di rete, e utilizzando query di ricerca avanzate e meccanismi di allerta, ELK può aiutare le organizzazioni a rilevare una vasta gamma di tentativi di hacking del host, inclusa la presenza di tentativi di accesso falliti, traffico di rete sospetto, modifiche al file system e attività di processo sospette.

Implementare una solida strategia di rilevamento di tentativi di hacking dei host utilizzando ELK richiede una pianificazione accurata, configurazione e test. Tuttavia, con la giusta esperienza e strumenti, le organizzazioni possono creare un sistema di monitoraggio della sicurezza completo che offre visibilità in tempo reale nella loro rete, migliora i tempi di risposta agli incidenti e aiuta a prevenire le violazioni della sicurezza prima che si verifichino.

ELK (Elasticsearch, Logstash e Kibana) è un potente stack di strumenti open source che consente di raccogliere, analizzare e visualizzare dati in modo efficiente. Per implementare una strategia di rilevamento dei tentativi di hacking dei host, è necessario seguire i passaggi seguenti:

1. Pianificazione: Identificare i requisiti specifici della propria organizzazione, come i tipi di attacchi da rilevare, i sistemi da monitorare e le metriche chiave da tracciare. Questo processo richiede una comprensione approfondita delle minacce più comuni e delle vulnerabilità dei sistemi.
2. Configurazione di Elasticsearch: Elasticsearch funge da motore di ricerca e archivio dati per il sistema. Configurare Elasticsearch in modo appropriato per garantire che sia in grado di gestire il volume di dati generati dai sistemi monitorati e fornire risultati di ricerca rapidi e accurati.
3. Configurazione di Logstash: Logstash è responsabile della raccolta e del trattamento dei log e dei dati dai sistemi monitorati. Configurare Logstash con le giuste pipeline e filtri per garantire che i dati siano processati in modo efficiente e che solo i dati pertinenti vengano inviati a Elasticsearch.
4. Configurazione di Kibana: Kibana funge da interfaccia utente e strumento di visualizzazione dei dati per il sistema. Configurare Kibana con dashboard e visualizzazioni appropriate per aiutare gli utenti a monitorare e analizzare i dati in tempo reale, identificando potenziali tentativi di hacking dei host.
5. Integrazione di soluzioni di sicurezza aggiuntive: Per migliorare ulteriormente la capacità di rilevamento del sistema, considerare l’integrazione di soluzioni di sicurezza aggiuntive come intrusion detection systems (IDS), intrusion prevention systems (IPS) e antivirus. Queste soluzioni possono fornire informazioni aggiuntive e aiutare a identificare attacchi più sofisticati.
6. Test e ottimizzazione: Dopo aver implementato la strategia, testare e ottimizzare il sistema per garantire che funzioni come previsto e che sia in grado di rilevare efficacemente i tentativi di hacking dei host. Questo processo può includere l’esecuzione di test di penetrazione, l’analisi dei risultati e l’ottimizzazione delle configurazioni e delle regole di rilevamento.
7. Formazione e consapevolezza: Assicurarsi che il personale responsabile del monitoraggio e della risposta agli incidenti sia formato e consapevole delle procedure e delle best practice per utilizzare il sistema ELK. Questo aiuterà a garantire che gli utenti siano in grado di identificare e rispondere tempestivamente ai tentativi di hacking dei host rilevati.

Seguendo questi passaggi e mantenendo una continua attenzione alle minacce emergenti e alle tendenze nel campo della sicurezza, le organizzazioni possono utilizzare ELK per creare un sistema di monitoraggio della sicurezza efficace che aiuta a proteggere i loro sistemi e rete da tentativi di hacking dei host.

Source:
https://dzone.com/articles/host-hack-attempt-detection-using-elk