Если вы хотите развиваться как SOC-аналитик (специалист, который отслеживает, выявляет и реагирует на инциденты безопасности в информационных системах организации), можно бесплатно получить практический опыт, настроив собственную лабораторию SIEM с помощью сервиса Elastic. Вот как это сделать.
Еще по теме: SIEM ханипот с помощью Sentinel Azure
Что такое лаборатория SIEM
Лаборатория SIEM — это контролируемая среда, где можно практиковаться в использовании инструментов SIEM для выполнения MDIR: мониторинга, обнаружения, расследования и реагирования на инциденты безопасности. Эти лаборатории позволяют погрузиться в реальные сценарии кибербезопасности и понять, как работают системы SIEM для защиты сетей, приложений и систем в реальных условиях.
SIEM — это система управления информацией и событиями безопасности, которая собирает, анализирует и коррелирует данные из разных источников для выявления и реагирования на угрозы в режиме реального времени.
Есть несколько бесплатных инструментов, с которыми можно начать развертывание своей домашней лаборатории, такие как ELK Stack, Security Onion, Wazuh (см. Защита локальной сети используя Wazuh на Raspberry Pi), AlienVault OSSIM, Elastic. В данном примере будем использовать Elastic. Для этого нужно будет зарегистрировать бесплатную учетную запись Elastic.
Настройка и использование Elastic Home SIEM
- Зарегистрируйте бесплатную пробную учетную запись в Elastic Cloud.
- Войдите в консоль Elastic Cloud по адресу https://cloud.elastic.co.
- Нажмите Start your free trial (Начать бесплатный пробный период) —> Create Deployment (Создать развертывание) —> выберите Elasticsearch как тип развертывания —> нажмите Create Deployment (Создать развертывание).
- Когда развертывание будет готово, нажмите Continue (продолжить).
Теперь настроим агент.
В контексте Elastic SIEM агент используется для сбора и передачи событий, связанных с безопасностью, из вашей системы в вашу инстанцию Elastic SIEM.
- Войдите в свою учетную запись Elastic, нажмите на значок с тремя линиями в верхнем левом углу, затем выберите Integrations (Интеграции) внизу.
- Выберите Elastic Defend в поисковом меню.
- Нажмите на Install Elastic Defend (Установить Elastic Defend) и завершите процедуру установки.
- Вставьте команду, предоставленную в разделе Linux Tar, в свой Linux терминал.
После установки агент автоматически начнет собирать и передавать логи в твою инстанцию Elastic SIEM. Может потребоваться несколько минут, чтобы логи появились в SIEM.
Выполните несколько базовых сканирований в терминале Linux с помощью Nmap, чтобы создать новые события безопасности и отправить логи в SIEM.
Выберите Dashboard (Панель) из меню —> New Visualization (Новая визуализация) —> выберите типы визуализации.
В разделе Metrics (Метрики) редактора визуализации справа выберите Count (Счет) как вертикальное поле и Timestamp (Временная метка) как горизонтальное поле для первого представления.
Визуализация настроена. Выполняйте больше команд, чтобы увидеть изменения и исследовать другие типы и события.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Мониторинг сетевых соединений Linux используя Wazuh и eBPF
- Интеграция Wazuh с MISP для автоматизации обнаружения угроз