No hay razón para dejar ningún beneficio de análisis de datos sobre la mesa. Siguiendo el mismo proceso de instalación y el sistema centOS 7 que el programa Filebeats en la guía de configuración de Elasticsearch SIEM, podrá aprovechar todos los módulos disponibles.
Descarga e instalación de Auditbeat Linux
Primero abre una terminal y usa los siguientes comandos para descargar los rpm e instalar el agente Auditbeat 7.3.2.
1 sudo curl -L -O https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-7.3.2-amd64.rpm
1sudo rpm -vi auditbeat-7.3.2-x86_64.rpm
Configurando Auditbeat Linux
Luego edite el archivo auditbeat.yml ubicado en /etc/auditbeat/*.
1sudo nano /etc/auditbeat/auditbeat.yml
El archivo de configuración tiene algunos módulos diferentes disponibles, pero por lo demás es idéntico al archivo de configuración de Windows. Navegue a la sección Kibana y cámbiela a la dirección de escucha externa del nodo Kibana, y luego haga lo mismo en la sección Elasticsearch en la salida.
Presiona ctrl+x , luego y , luego return/enter para guardar el archivo de nano.
Ejecutando Auditbeat en Linux
Ahora, al igual que en Windows, tienes que ejecutar la configuración. La versión Linux del agente Auditbeat tendrá diferentes patrones de índice y tablero para subir porque soporta muchos más módulos y conjuntos de datos que el agente para MacOS o Windows.
1sudo auditbeat -e setup
La configuración exitosa terminará de nuevo con el texto de Tableros de mando cargados y te devolverá al símbolo de comando.
A continuación, utilice la pantalla para crear una nueva sesión terminal, y ejecute Auditbeat con la bandera -e para controlar el progreso y busque la categoría de eventos `supervisión$0027 para indicar la transmisión satisfactoria de los eventos al SIEM de Elasticsearch.
123sudo screensudo auditbeat -e
A medida que el agente Auditbeat se inicialice, podrá ver indicaciones de que el módulo auditd no tiene ninguna regla especificada pero tampoco recibió eventos de auditoría. Esto es normal y se ocupará de ello más tarde.
Una vez que veas la indicación de que los eventos de los otros módulos están siendo enviados, abre el navegador al nodo Kibana y a la ventana del host SIEM de Elasticsearch y mira!
El segundo host está listado en la tarjeta All Hosts, y ahora tiene datos que pueblan la sección de Autenticaciones de Usuario e IPs Únicas. Si gira a la pestaña de resumen del SIEM, puede ver que hay eventos en cada categoría de fuentes de datos de Auditbeat.
Arreglar el módulo de Auditd
Puede que note que en este entorno la categoría Auditbeat Audit sólo tiene un evento, que se destaca por los errores anteriores que también puede haber visto en el módulo auditd.
Si no tiene esos errores, y si tiene más de un evento en el ritmo de la Auditoría, entonces no tenga en cuenta las siguientes instrucciones.
Echa un vistazo a este evento del módulo de auditoría. Puedes ver que es simplemente un evento que dice que falló al iniciar este módulo y que un proceso de auditoría ya estaba en marcha. Esto se confirma en el punto final del CentOS 7 que se está usando en esta guía, pero puede variar dependiendo de la distribución.
Además, recuerde que en los registros generados para estandarizar desde la bandera -e, cuando este ejecutable fue ejecutado en el dispositivo Linux mencionó que no se establecieron reglas de auditoría.
De vuelta en el dispositivo centOS7 ejecutando Auditbeat, presione ctrl+c para salir del proceso a terminal, y abra el archivo de configuración.
1sudo nano /etc/auditbeat/auditbeat.yml
Fíjese en las secciones de los módulos, empezando por la integridad del archivo. Este es el módulo que busca los cambios en los archivos y las ubicaciones de las carpetas que te preocupan. Los valores pueden ser cambiados y personalizados, y las opciones de este módulo pueden ser encontradas en detalle en el sitio web de Elastic aquí.
A continuación, puede ver el módulo del sistema funcionando ahora con todos los conjuntos de datos posibles, lo que no era el caso en el sistema Windows debido a la reducida compatibilidad y a las características soportadas. Más opciones para el módulo del sistema se pueden encontrar aquí.
Todos los módulos están configurados por defecto en los sistemas Linux con la excepción del módulo auditd, que requiere que escriba reglas personalizadas o que descomente (elimine el #) las reglas que ya están en la configuración.
Una vez que se han descompuesto las reglas, se ha eliminado el primer error que se reconoció para el módulo auditd durante la ejecución del proceso Auditbeat. Guarda el archivo de nano y sal de él pulsando ctrl+x , luego y y luego return .
De vuelta en la terminal, ahora tienes que detener el proceso que está actualmente en marcha monitoreando los eventos de auditoría. Este proceso, conocido como auditd, se ejecuta en el SO local en el centOS 7 de forma predeterminada para registrar los registros de auditoría en el disco. Usted tiene que detener este servicio, deshabilitarlo y optimizar el uso del espacio en disco enviando los eventos de auditoría a devel null, para que el módulo auditd pueda ejecutarse en su lugar.
Corre:
1service auditd status
Confirme que el estado de auditado está funcionando y es la razón por la que no puede ejecutar el módulo auditado desde Auditbeat.
Entonces detenga el servicio y desactívelo para evitar que se inicie automáticamente en el arranque.
1; sudo service auditd stop
1sudo systemctl deshabilitar auditd
Nota: Si está usando un linux basado en debian, puede que tenga que ejecutar chkconfig auditd off para desactivar el servicio auditd de forma permanente.
Ahora optimiza el sistema operativo y el disco evitando que el socket de auditoría escriba registros en el disco.
1sudo systemctl mask systemd-journald-audit.socket
Con el sistema operativo cuidado, también necesitas asegurarte de que tienes tus bases cubiertas con la configuración del módulo auditado. Empiece mostrando las reglas de auditoría para asegurarse de que las reglas fueron debidamente comentadas y reconocidas.
1sudo auditbeat show auditd-rules
Comprueba el estado del módulo auditado.
1sudo auditbeat show auditd-status
Pruebe los cambios de su archivo de configuración.
1sudo auditbeat -e test config
Y con el visto bueno del propio Auditbeat, es hora de volver a correr.
1sudo auditbeat -e
Esta vez, no debería ver ningún error para auditd, y una vez que vea buenos eventos en la categoría de monitor, cambie a kiban y a la pestaña de resumen del SIEM de Elasticserch.
Ahora puedes ver que hay 73 mensajes de auditd, lo que tiene más sentido desde algo que debería estar enviando activamente eventos y alertas desde el núcleo.
Así de simple, tienes datos de trabajo de cada módulo Auditbeat para el Elasticsearch SIEM. Puedes verlos en la pestaña de host, en la red (que incluye el socket Auditbeat), o en forma de una línea de tiempo personalizada de eventos seleccionados. El SIEM ha optimizado las consultas y el análisis sintáctico de estos formatos de registro, que pueden verse en la barra de búsqueda.
Y fuera del SIEM, hay visualizaciones y tableros personalizados para cada uno de los módulos y conjuntos de datos de Auditbeat.