Обнаружение попыток взлома хоста с использованием ELK

Учебники
ElasticSearch Kibana

Что такое SIEM?

SIEM расшифровывается как Security Information and Event Management. Это программное решение, обеспечивающее анализ в реальном времени оповещений безопасности, генерируемых сетевым оборудованием и приложениями. SIEM собирает данные журналов из различных источников, таких как сетевые устройства, серверы и приложения, затем связывает и анализирует эти данные для выявления угроз безопасности.

SIEM может помочь организациям улучшить свою позицию в области безопасности за счет предоставления централизованного представления о безопасности событий на всей инфраструктуре ИТ. Это позволяет аналитикам безопасности быстро выявлять и реагировать на инциденты безопасности и предоставляет подробные отчеты для целей соответствия.

Некоторые ключевые функции решений SIEM включают:

  1. Сбор и анализ журналов
  2. Анализ связей и оповещение в реальном времени
  3. Аналитика поведения пользователей и сущностей
  4. Интеграция информации о угрозах
  5. Отчетность по соответствию

SIEM часто используется вместе с другими решениями безопасности, такими как брандмауэры, системы обнаружения вторжений и антивирусные программы, для обеспечения комплексного мониторинга безопасности и возможностей реагирования на инциденты.

Что такое ELK?

ELK – это акроним для набора инструментов с открытым исходным кодом для управления логами и анализа: Elasticsearch, Logstash и Kibana.

Elasticsearch представляет собой распределенный поисковый и аналитический движок, обеспечивающий быстрый поиск и эффективное хранение больших объемов данных. Он разработан с возможностью масштабирования и способен обрабатывать большое количество запросов и операций индексирования в реальном времени.

Logstash — это инструмент для сбора и обработки данных, позволяющий собирать логи и другие данные из различных источников, таких как файлы логов, syslog и другие источники данных, а также преобразовывать и обогащать данные перед отправкой их в Elasticsearch.

Kibana — это веб-интерфейс, позволяющий визуализировать и анализировать данные, хранящиеся в Elasticsearch. Он предоставляет ряд интерактивных визуализаций, таких как линейные графики, гистограммы и тепловые карты, а также функции, такие как панели мониторинга и оповещения.

Вместе эти три инструмента образуют мощную платформу для управления и анализа логов и других типов данных, обычно называемую стеком ELK или Elastic stack. Стек ELK широко используется в операциях ИТ, мониторинге безопасности и бизнес-аналитике для получения информации из больших объемов данных.

Импортирование данных SIEM в ELK

Импортирование данных SIEM в стек ELK может быть полезно для организаций, которые хотят объединить возможности управления безопасностью событий SIEM с функциями управления и анализа логов ELK.

Вот основные шаги для импорта данных SIEM в ELK:

  1. Настройте SIEM для отправки данных логов в Logstash, который является частью стека ELK.
  2. Создайте файл конфигурации Logstash, который определяет входные данные, фильтры и выходные данные для данных СИЗО.
  3. Запустите Logstash и убедитесь, что он правильно принимает и обрабатывает данные СИЗО.
  4. Настройте Elasticsearch для приема и хранения данных СИЗО.
  5. Создайте визуализации и панели мониторинга в Kibana для отображения данных СИЗО.

Вот пример файла конфигурации Logstash, который получает сообщения Syslog от СИЗО и отправляет их в Elasticsearch:

Python

  

	input {
	  syslog {
	    type => "syslog"
	    port => 5514
	  }
	}
	filter {
	  if [type] == "syslog" {
	    grok {
	      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
	      add_field => [ "received_at", "%{@timestamp}" ]
	      add_field => [ "received_from", "%{host}" ]
	    }
	  }
	}
	
	output {
	  elasticsearch {
	    hosts => ["localhost:9200"]
	    index => "siem"
	  }
}

После настройки и запуска Logstash, данные СИЗО будут загружены в Elasticsearch и могут быть визуализированы и проанализированы в Kibana. Важно обеспечить соответствующие меры безопасности для защиты сред СИЗО и ELK, а также мониторинг и оповещение о любых событиях безопасности.

Обнаружение попыток взлома хоста

Обнаружение попыток взлома хоста с использованием СИЗО в ELK включает в себя мониторинг и анализ системных логов и сетевого трафика для выявления подозрительной активности, которая может указывать на попытку взлома. Вот основные шаги для настройки обнаружения попыток взлома хоста с использованием СИЗО в ELK:

  • Настройте хосты для отправки системных логов и сетевого трафика в централизованную систему сбора логов.
  • Настройте Logstash для приема и анализа данных логов и сетевого трафика от хостов.
  • Настройте Elasticsearch для хранения проанализированных данных логов.
  • Используйте Kibana для анализа данных логов и создания панелей мониторинга и оповещений для выявления потенциальных попыток взлома.

Вот некоторые конкретные методы, которые можно использовать для обнаружения попыток взлома хоста:

  • Отслеживание неудачных попыток входа: Ищите повторяющиеся неудачные попытки входа с одного IP-адреса, что может указывать на атаку методом грубой силы. Используйте Logstash для анализа системных логов на наличие событий неудачных попыток входа и создайте панель мониторинга или оповещение в Kibana для контроля за чрезмерными неудачными попытками входа.
  • Отслеживание подозрительного сетевого трафика: Ищите сетевой трафик к или от известных вредоносных IP-адресов или доменов. Используйте Logstash для анализа данных о сетевом трафике и создайте панель мониторинга или оповещение в Kibana для контроля за подозрительными паттернами трафика.
  • Отслеживание изменений в файловой системе: Ищите несанкционированные изменения в системных файлах или настройках. Используйте Logstash для анализа событий изменений в файловой системе и создайте панель мониторинга или оповещение в Kibana для контроля за несанкционированными изменениями.
  • Отслеживание подозрительной активности процессов: Ищите процессы, работающие с повышенными привилегиями или выполняющие необычные действия. Используйте Logstash для анализа событий процессов и создайте панель мониторинга или оповещение в Kibana для контроля за подозрительной активностью процессов.

Применение этих техник и регулярное отслеживание логов и сетевого трафика позволяют организациям улучшить свою способность обнаруживать и реагировать на попытки взлома хоста с использованием SIEM в ELK.

Настройка оповещения в ELK для обнаружения попытки взлома хоста

Для настройки оповещения в ELK для обнаружения попытки взлома хоста, вы можете следовать следующим общим шагам:

  • Создайте запрос поиска в Kibana, который фильтрует логи на наличие событий попытки взлома хоста. Например, вы можете использовать следующий запрос поиска для обнаружения неудачных попыток входа:
Python

  

from elasticsearch import Elasticsearch

es = Elasticsearch()

search_query = {
  "query": {
    "bool": {
      "must": [
        {
          "match": {
            "event.dataset": "auth"
          }
        },
        {
          "match": {
            "event.action": "failed_login"
          }
        }
      ]
    }
  }
}

res = es.search(index="siem", body=search_query)

for hit in res['hits']['hits']:
    print(hit['_source'])
  • После создания запроса поиска сохраните его как сохраненный поиск в Kibana.
  • Перейдите в интерфейс Alerts and Actions Kibana и создайте новую оповещательную сигнатуру. Выберите сохранённый поиск, созданный на шаге 2, в качестве основы для оповещения.
  • Graphical user interface, application Description automatically generated 
  • Настройте оповещение так, чтобы оно срабатывало при достижении определённого порога. Например, можно настроить оповещение на срабатывание, когда количество неудачных попыток входа превышает 5 в течение 5-минутного интервала.
  • Настройте оповещение так, чтобы оно отправляло уведомление, такое как электронное письмо или сообщение в Slack, при его срабатывании.
  • Протестируйте оповещение, чтобы убедиться, что оно работает как ожидается.

После настройки оповещение будет автоматически срабатывать при обнаружении события попытки взлома хоста, такого как неудачная попытка входа. Это может помочь организациям обнаруживать и оперативно реагировать на угрозы безопасности. Важно регулярно просматривать и обновлять оповещения, чтобы они обнаруживали наиболее актуальные и важные события безопасности.

Заключение

Использование ELK для обнаружения попыток взлома хоста является эффективным подходом для улучшения защиты организации. ELK предоставляет мощный набор возможностей по сбору логов, их анализу, хранению, обработке и оповещению, что позволяет организациям обнаруживать и реагировать на попытки взлома хоста в реальном времени.

Отслеживая системные журналы и трафик сети, а также используя продвинутые запросы поиска и механизмы оповещения, ELK может помочь организациям обнаруживать широкий спектр попыток взлома хоста, включая неудачные попытки входа, подозрительный сетевой трафик, изменения в файловой системе и подозрительную активность процессов.

Реализация надежной стратегии обнаружения попыток взлома хоста с использованием ELK требует тщательного планирования, настройки и тестирования. Однако с правильным опытом и инструментами организации могут создать комплексную систему мониторинга безопасности, которая обеспечивает реальное время видимости в их сети, улучшает время реагирования на инциденты и помогает предотвратить нарушения безопасности прежде, чем они произойдут.

Source:
https://dzone.com/articles/host-hack-attempt-detection-using-elk