Что нового

Article PoC Elastic SIEM: 7.9

Vander 0

Vander

Команда форума
10.11.2019
432
953
1598028770274.png


Приветствую, уважаемую аудиторию форума Protey.
В этой статье, я хочу представить краткий, насколько это возможно, обзор на SIEM от Elastic версии 7.9 вышедшей в свет 19.08.2020.
  • SIEM (Security information and event management) — объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) — управление информацией о безопасности, и SEM (Security event management) - управление событиями безопасности.Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба.
Содержание:
  • Обзор Elastic SIEM
  • Версия 7.9 Что нового?
Обзор Elastic SIEM

Про стэк Elastic, если интерсно, вы можете узнать самостоятельно, а в этой публикации мы коснемся только SIEM, для понимания общей картины, ниже на скриншоте, место SIEM в стэке.

1598029319311.png

Elastic SIEM. Вступление.

Приложение SIEM в Kibana предоставляет отделам информационной безопасности (SOC) интерактивное рабочее пространство для сортировки событий и проведения начальных расследований. Это позволяет анализировать события безопасности, связанные с хостом и сетью, в рамках анализа алертов или интерактивного поиска угроз.

1598029612135.png

SIEM получает информацию от Beats:
  • Beats - это поставщики данных с открытым исходным кодом, которые вы устанавливаете в качестве агентов на свои серверы для отправки рабочих данных в Elasticsearch.
Beats может отправлять данные непосредственно в Elasticsearch или через Logstash, где вы можете обрабатывать и изменять данные, прежде чем визуализировать их в Kibana.

1598029925085.png

Что нового в Beats 7.9
Вот основные обновления в версии 7.9. Для получения подробной информации об этом выпуске ознакомьтесь с примечаниями к выпуску и критическими изменениями.
  • Плагин Elastic Logging для Docker теперь поддерживает командные журналы докеров. Начиная с версии 7.9 подключаемый модуль Elastic Logging для Docker полностью поддерживает команду docker logs. Плагин поддерживает локальную копию журналов, которую можно читать без подключения к Elasticsearch. Плагин монтирует каталог /var/lib/docker на хосте для записи журналов в /var/log/container. Дополнительные сведения в документации подключаемого модуля Elastic Logging для Docker.
Beats: Filebeat

Filebeat - это легковесный шиппер для пересылки и централизации данных журналов. Установленный в качестве агента на ваших серверах, Filebeat отслеживает указанные вами файлы журналов или местоположения, собирает события журналов и пересылает их в Elasticsearch или Logstash для индексации.

Вот как работает Filebeat: когда вы запускаете Filebeat, он запускает один или несколько входов, которые обрабатывают логи, которые вы указали для журналирования. Для каждого журнала, который Filebeat находит, Filebeat запускает сборщик. Каждый сборщик считывает один журнал для нового контента и отправляет новые данные журнала в libbeat, который собирает, в свою очередь, все события и отправляет агрегированные данные на выход, который вы настроили для Filebeat.

filebeat.png

Events: Filebeat

Filebeat поставляется со встроенными панелями управления Kibana и пользовательскими интерфейсами для визуализации данных журнала.

1598030984301.png

Так выглядят ивенты собранные Filebeat, каждый из них подробно задокументирован и поддается глубокому анализу.

Beats: Auditbeat

Auditbeat - это облегченная программа доставки, которую вы можете установить на своих серверах для аудита действий пользователей и процессов в ваших системах в качестве агента. Например, вы можете использовать Auditbeat для сбора и централизации событий аудита из Linux Audit Framework. Вы также можете использовать Auditbeat для обнаружения изменений в критических файлах, таких как двоичные файлы и файлы конфигурации, и выявления потенциальных нарушений политики безопасности.

1598031242394.png

Auditbeat - позволяет подгружать в Kibana удобные дашборды, для визуализации происходящего на выбранном хосте.

Events: Auditbeat

Вы можете использовать функции мониторинга Elastic Stack, чтобы получить представление о работоспособности агентов Auditbeat, работающих в вашей среде.

Чтобы отслеживать Auditbeat, убедитесь, что мониторинг включен в вашем кластере Elasticsearch, а затем настройте метод, используемый для сбора метрик Auditbeat. Вы можете использовать один из следующих способов:
  • Internal collection - внутренние сборщики отправляют данные мониторинга непосредственно в ваш кластер мониторинга.
  • Metricbeat collection - Metricbeat собирает данные мониторинга из вашего агента Auditbeat и отправляет их непосредственно в кластер мониторинга.
1598031470242.png

События, так же хорошо задокументированы и их можно достаточно подробно проанализировать.

Beats: Winlogbeat
  • Winlogbeat отправляет журналы событий Windows в Elasticsearch или Logstash. Вы можете установить его как службу Windows.
  • Winlogbeat читает из одного или нескольких журналов событий с помощью Windows API, фильтрует события на основе заданных пользователем критериев, а затем отправляет данные событий на настроенные выходы (Elasticsearch или
  • Logstash). Winlogbeat следит за журналами событий, чтобы своевременно отправлять новые данные о событиях. Позиция чтения для каждого журнала событий сохраняется на диске, чтобы позволить Winlogbeat возобновить работу после перезапуска.

1598031991834.png

Events: Winlogbeat

Winlogbeat может собирать данные о событиях из любых журналов событий, запущенных в вашей системе. Например, вы можете фиксировать такие события, как:
  • application events
  • hardware events
  • security events
  • system events
1598032343751.png

Beats: Packetbeat

Packetbeat - это анализатор сетевых пакетов в реальном времени, который можно использовать с Elasticsearch для обеспечения системы мониторинга приложений и анализа производительности. Packetbeat дополняет платформу Beats, обеспечивая видимость между серверами вашей сети.

Packetbeat работает путем захвата сетевого трафика между серверами приложений, декодирования протоколов прикладного уровня (HTTP, MySQL, Redis и т. Д.), Сопоставления запросов с ответами и записи интересных полей для каждой транзакции.

1598032487819.png

Packetbeat отслеживает трафик между вашими серверами, анализирует протоколы уровня приложений на лету и сопоставляет сообщения в транзакции. В настоящее время Packetbeat поддерживает следующие протоколы:
  • ICMP (v4 and v6)
  • DHCP (v4)
  • DNS
  • HTTP
  • AMQP 0.9.1
  • Cassandra
  • NFS
  • Mysql
  • PostgreSQL
  • Redis
  • Thrift-RPC
  • MongoDB
  • Memcache
  • TLS
Events: Packetbeat

Packetbeat подгружет в Kibana дашборды для удобного анализа полученный данных, выглядят они в новой версии так:

1598032750950.png

Beats: Metricbeat

Metricbeat помогает контролировать ваши серверы и службы, которые они размещают, собирая метрики из операционной системы и служб.

1598032985181.png

Events: Metricbeat

1598033108664.png

SIEM: Events

В дополнение к обширной библиотеке визуализаций и панелей мониторинга, которые уже существуют в Kibana, представление Hosts в приложении SIEM предоставляет ключевые метрики, касающиеся событий безопасности, связанных с хостом, и набор таблиц данных, которые позволяют взаимодействовать с программой просмотра событий временной шкалы.

1598033495111.png

Данный дашборд будет отображать по временной шкале все события собранные с ваших хостов, и делить их по категориям.

SIEM: Machine Learning

Функция обнаружения аномалий Elastic Machine Learning автоматически моделирует нормальное поведение данных временных рядов - тенденции обучения, периодичность и т. Д. - в режиме реального времени для выявления аномалий, оптимизации анализа первопричин и уменьшения количества ложных срабатываний. Обнаружение аномалий выполняется и масштабируется с помощью Elasticsearch и включает интуитивно понятный пользовательский интерфейс на странице Kibana Machine Learning для создания заданий по обнаружению аномалий и понимания результатов.

1598033853080.png

На скриншоте представлены несколько Machine Learning Jobs, которые получают данные из стэка, и формируют таблицы обнаруженных инцидентов информационной безопасности.

SIEM: Detection Rules

Правила запускаются периодически и ищут документы или оценки аномалий задания машинного обучения, которые соответствуют их критериям. Как для готовых, так и для настраиваемых правил вы можете использовать функцию предупреждений и действий Kibana, для отправки уведомлений при создании алертов. Уведомления можно отправлять по электронной почте, PagerDuty, Slack и Webhook, а также их можно настроить в приложении SIEM при создании или изменении правила.

1598034085612.png

SIEM: Detections

Функция обнаружения SIEM автоматически ищет угрозы и выдает сигналы при их обнаружении. Правила обнаружения сигналов определяют условия для создания сигналов. Кроме того, вы можете использовать платформу Kibana Alerting and Actions для отправки уведомлений через другие системы, такие как электронная почта и Slack, при генерации алертов.

1598034211736.png

Все события, так или иначе связанные с попытками получить несанкционированный доступ к сервисам, запуск сканеров, использование потенциально вредоносных скриптов логируются и попадают в данное рабочее пространство.
Попытки повышения привилегий, lateral movement, использование Blood Hound можно выявить при грамотной настройке SIEM.

SIEM: Timeline Event Viewer

В качестве совместной рабочей области для расследований или поиска угроз аналитики могут легко перетаскивать интересующие объекты в средство просмотра событий на временной шкале, чтобы создать именно тот фильтр запросов, который им нужен, чтобы добраться до конца события. Во время расследования аналитики могут закреплять и аннотировать отдельные события, а также могут добавлять заметки, описывающие шаги, предпринятые во время расследования. Автосохранение гарантирует, что результаты расследования будут доступны группам реагирования на инциденты.

1598034476968.png

SIEM: Cases

Кейсы используются для открытия и отслеживания проблем безопасности непосредственно в приложении SIEM. Во всех случаях указывается первоначальный докладчик и все пользователи, которые вносят вклад в дело (участники). Комментарии поддерживают синтаксис Markdown и позволяют делать ссылки на сохраненные временные шкалы. Кроме того, вы можете отправлять обращения во внешние системы из приложения SIEM (в настоящее время ServiceNow и Jira). Настройка внешних подключений описывает, как это настроить.

1598034709996.png

Так же, присутствует функционал оповещения обо всех инцидентах, как на почту так и в другие средства коммуникации.

Версия 7.9 Что нового?

Команды безопасности часто используют Elastic Security для сбора и анализа данных о конечных точках, и необходимость повышения прозрачности по мере роста виртуальной рабочей силы делает этот вариант использования еще более распространенным. Решение отлично подходит для случаев использования, требующих масштабируемых данных - доставляемых в любом формате, практически с любым объемом и скоростью. Просто разверните Beats на своих конечных точках, и вуаля, вы собираете повсюду.

Это заставляет нас задаться вопросом: если вы развернули агент для сбора данных о конечных точках, почему бы не использовать тот же агент для предотвращения вредоносных программ?

Elastic Security 7.9 представляет собой первую важную веху на пути к комплексной безопасности конечных точек, интегрированной непосредственно в Elastic Stack, путем внедрения бессигнатурной защиты от вредоносных программ и сбора данных на уровне ядра с помощью нового Elastic Agent, нашего «единого средства, которое управляет ими всеми». Elastic Agent также объединяет ведение журнала, сбор показателей и многое другое. Эти возможности доступны сейчас на нашем уровне бесплатного распространения, а дополнительные функции защиты конечных точек запланированы в более поздних выпусках.

У Elastic Security 7.9 есть еще больше возможностей. Поскольку данные, приложения и пользователи быстро переходят в облако, команды SecOps должны по-прежнему обеспечивать прозрачность своей гибридной среды. Чтобы решить эту проблему, в версии 7.9 представлены новые средства обнаружения, которые позволяют SecOps сохранять ситуационную осведомленность, не снижая скорости или гибкости ИТ-специалистов и команд разработчиков, выполняющих миграцию. Усовершенствования рабочего процесса по инициативе сообщества упрощают предотвращение, обнаружение и реагирование. А множество новых источников данных позволяет специалистам предотвращать угрозы, где бы они ни были обнаружены.

Об этом подробнее, пожно прочесть на оффициальной странице Elastic - Elasctic 7.9 Whats New

Спасибо за внимание, материал подготовлен специально для protey.net.​
 
Верх Низ