Как создать экспериментальную лабораторию Elastic Home SIEM

Безопасность иконка

Если вы хотите развиваться как SOC-аналитик (специалист, который отслеживает, выявляет и реагирует на инциденты безопасности в информационных системах организации), можно бесплатно получить практический опыт, настроив собственную лабораторию SIEM с помощью сервиса Elastic. Вот как это сделать.

Еще по теме: SIEM ханипот с помощью Sentinel Azure

Что такое лаборатория SIEM

Лаборатория SIEM — это контролируемая среда, где можно практиковаться в использовании инструментов SIEM для выполнения MDIR: мониторинга, обнаружения, расследования и реагирования на инциденты безопасности. Эти лаборатории позволяют погрузиться в реальные сценарии кибербезопасности и понять, как работают системы SIEM для защиты сетей, приложений и систем в реальных условиях.

SIEM — это система управления информацией и событиями безопасности, которая собирает, анализирует и коррелирует данные из разных источников для выявления и реагирования на угрозы в режиме реального времени.

Есть несколько бесплатных инструментов, с которыми можно начать развертывание своей домашней лаборатории, такие как ELK Stack, Security Onion, Wazuh (см. Защита локальной сети используя Wazuh на Raspberry Pi), AlienVault OSSIM, Elastic. В данном примере будем использовать Elastic. Для этого нужно будет зарегистрировать бесплатную учетную запись Elastic.

Настройка и использование Elastic Home SIEM

  • Зарегистрируйте бесплатную пробную учетную запись в Elastic Cloud.
  • Войдите в консоль Elastic Cloud по адресу https://cloud.elastic.co.
  • Нажмите Start your free trial (Начать бесплатный пробный период) —> Create Deployment (Создать развертывание) —> выберите Elasticsearch как тип развертывания —> нажмите Create Deployment (Создать развертывание).
  • Когда развертывание будет готово, нажмите Continue (продолжить).

Теперь настроим агент.

В контексте Elastic SIEM агент используется для сбора и передачи событий, связанных с безопасностью, из вашей системы в вашу инстанцию Elastic SIEM.

  • Войдите в свою учетную запись Elastic, нажмите на значок с тремя линиями в верхнем левом углу, затем выберите Integrations (Интеграции) внизу.
  • Выберите Elastic Defend в поисковом меню.
  • Нажмите на Install Elastic Defend (Установить Elastic Defend) и завершите процедуру установки.
  • Вставьте команду, предоставленную в разделе Linux Tar, в свой Linux терминал.

После установки агент автоматически начнет собирать и передавать логи в твою инстанцию Elastic SIEM. Может потребоваться несколько минут, чтобы логи появились в SIEM.

Выполните несколько базовых сканирований в терминале Linux с помощью Nmap, чтобы создать новые события безопасности и отправить логи в SIEM.

Выберите Dashboard (Панель) из меню —> New Visualization (Новая визуализация) —> выберите типы визуализации.

В разделе Metrics (Метрики) редактора визуализации справа выберите Count (Счет) как вертикальное поле и Timestamp (Временная метка) как горизонтальное поле для первого представления.

Создание домашней лаборатории Elastic SIEM

Визуализация настроена. Выполняйте больше команд, чтобы увидеть изменения и исследовать другие типы и события.

Настройка домашней лаборатории Elastic SIEM

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий