安全信息和事件管理系统 (SIEM) 是事件响应任务中非常重要的工具。每个安全运营中心都配备了一个 SIEM。在本文中,我们将学习如何使用令人惊叹的 Elastic stack (ELK) 套件部署一个完全正常工作的 SIEM。
ELK Stack 是“Elasticsearch Logstash Kibana”Stack 的缩写形式。它们是三个开源项目。该堆栈是世界上最受欢迎的日志管理平台之一,每月有 500,000 次下载。ELK 堆栈广泛用于信息技术业务,因为它提供商业智能、安全性和合规性以及 Web 分析。
要构建 SIEM,您需要安装所需的库和程序:
更新 sources.list 文件
sudo apt update
安装 Java JDK 8
sudo apt install -y openjdk-8-jdk
安装 Elasticsearch
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.listsudo apt updatesudo apt install elasticsearch
安装elasticsearch后需要通过修改 /etc/elasticsearch/elasticsearch.yml文件进行配置
sudo vi /etc/elasticsearch/elasticsearch.yml
取消注释 network.host 和 http.port 并为它们分配值。不要在生产服务器中使用“0.0.0.0”。
要在启动时启动 Elasticsearch
sudo update-rc.d elasticsearch defaults 95 10
启动elasticsearch服务
sudo service elasticsearch start检查安装
curl -X GET "YOU_IP:9200"安装 Kibana
sudo apt install -y kibana对 elasticsearch 所做的一样,我们也需要对其进行配置:
sudo vi /etc/kibana/kibana.yml
取消注释并修改以下值:
server.port: 5601server.host: "YOUR-IP-HERE"elasticsearch.url: "http://YOUR-IP-HERE:9200"
保存文件,然后执行
sudo update-rc.d kibana defaults 95 10sudo service kibana start
https://ip:5601
安装 logstash 以收集、解析和转换日志
sudo apt install -y logstash
检查主机
检查网络仪表板
系统概述
原文始发于微信公众号(Khan安全攻防实验室):蓝队 - 部署 Elastic Stack (ELK)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论