El nodo de búsqueda elástica en sí mismo no es de mucha ayuda para los analistas de seguridad sin una forma significativa de interactuar con él más allá del resto de la API. Aquí es donde entra Kibana. Decir que es la parte delantera de la web para la parte trasera elástica es un poco reductor. Es mucho más; proporciona una multitud de aplicaciones utilizadas para dar forma e interactuar con los datos, con casos de uso que abarcan todos los sectores de la informática. El SIEM es sólo una de las aplicaciones que se han desarrollado específicamente para el análisis de seguridad y la vigilancia continua.
Instalando Kibana
Para llegar al SIEM primero tienes que descargar, instalar y ejecutar Kibana. Asegúrate de volver al directorio /opt , para que no instales Kibana en el árbol de carpetas de Elasticsearch.
1[usuario]$ cd /opt
Descargando Kibana
Luego, repasa los mismos pasos para descargar y comprobar la integridad de la bola de alquitrán que se usó para la búsqueda elástica.
1234[usuario]$ sudo wget https://artifacts.elastic.co/downloads/kibana/kibana-7.3.1-linux-x86_64.tar.gz[usuario]$ sha512sum kibana-7.3.1-linux-x86_64.tar.gz [usuario]$ sudo tar -xzf kibana-7.3.1-linux-x86_64.tar.gz[usuario]$ cd kibana-7.3.1-linux-x86_64/
Terminando dentro de la Kibana verificada y desempacada, carpeta como esta:
Configurando Kibana
Kibana se ejecutará como un proceso separado al nodo de búsqueda elástica, pero depende totalmente del servicio de búsqueda elástica. Es necesario configurar el archivo kibana.yml para decirle a Kibana dónde y cómo conectar la instancia de elasticsearch. Dado que el servicio Kibana es esencialmente el alojamiento de una aplicación web, se puede configurar la dirección publicada a la dirección externa del sistema en el que se está ejecutando. Podrás acceder a ella desde cualquier dispositivo enrutador con un navegador.
Configurar kibana.yml para alojar el servicio en una dirección accesible externamente.
1[usuario]$ sudo nano config/kibana.yml
Busca la línea que dice «servidor.host».
Descomponga la línea mostrada y cambie la parte de «localhost» a «0.0.0.0»
En la configuración de la búsqueda elástica, la configuración fue cambiada para publicar en la dirección de no retorno del sistema. La configuración por defecto de Kibana es intentar conectarse a elasticsearch en http://localhost:9200, pero hay que cambiarla editando el valor server.host aquí:
Esto reflejará la nueva dirección de la búsqueda del elástico.
Salir de nano, guardando la configuración con ctrl+x , y para guardar los cambios, y entrar para escribir en el nombre de archivo existente «kibana.yml»
De la misma manera que el servicio de búsqueda elástica fue expuesto a través del cortafuegos en el puerto 9200, el servicio Kibana necesita ser expuesto en el puerto tcp 5601. Esto no es sólo para permitir el acceso a la aplicación web, sino también para permitir que agentes como filebeats publiquen tableros personalizados e información de índices.
12[usuario]$ sudo firewall-cmd --permanent --zone=public --add-port=5601/tcp[usuario]$ sudo firewall-cmd --reload
Al igual que con el servicio de búsqueda elástica, ejecutará el binario de Kibana con un usuario que no sea root y sin sudo privilegios. Además, necesitarás los permisos apropiados en las carpetas y archivos del directorio de Kibana.
1[usuario]$ sudo chmod -R 777 /opt/kibana-7.3.1-linux-x86_64
Iniciando Kibana
Por fin ha llegado el momento de ver el fruto de su trabajo: iniciar Kibana y navegar por la aplicación web de Kibana por primera vez.
Una vez más, entra en la pantalla en una sesión diferente y ejecuta el binario, recibiendo la salida de inicio en la consola.
12[usuario]$ screen[usuario]$ bin/kibana
Después de inicializar con éxito, debería ver algo similar a «El estado cambió de amarillo a verde – Listo»
Utilice ctrl+a+d para separarse de esta sesión y, para su tranquilidad, puede comprobar que tanto la sesión de búsqueda con elástico como la de la consola Kibana siguen funcionando felizmente en segundo plano listando sus sesiones de pantalla actuales.
1[usuario]$ pantalla ls
Con Kibana funcionando con éxito, es hora de buscar la dirección IP externa del sistema en el que se está ejecutando. Si no estás seguro de cuál es esta IP, ejecuta el comando ip addr para averiguarlo.
1[usuario]$ ip addr
Entonces usa esa dirección IP junto con el puerto 5601 en cualquier navegador y experimenta la emoción.
El SIEM elástico
Con la pila elástica de nuevo en funcionamiento, es hora de familiarizarse con la parte SIEM de la aplicación haciendo clic en la pestaña o el icono SIEM en la parte inferior izquierda de la ventana.
Notarán que no es tan emocionante sin ningún dato de seguridad bueno y jugoso para ver. Pero la propia interfaz te invita a resolver este problema con el botón Añadir Datos en la esquina superior izquierda. Te llevará a una página que proporciona una lista de todas las fuentes de datos que la aplicación SIEM analizará.
El resto de esta guía se sumergirá en la ingestión de algunas de las nuevas fuentes de apoyo de esta lista.
Filebeats
Para empezar con el nuevo Elasticsearch SIEM y comprobar que todas las configuraciones funcionan correctamente, puede importar algunos datos de registro de Bro/Zeek desde cualquier otro dispositivo. Este es el proceso general para cualquiera de las fuentes de datos.
Filebeats es uno de los más versátiles de la familia beat, con una larga lista de módulos que soportan el envío de datos a una pila de búsqueda elástica.
Usando el módulo Zeek como ejemplo, puede descargar el paquete Filebeat rpm e instalarlo en el dispositivo que se utiliza para la captura y análisis del tráfico.
12[usuario]$ curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.3.1-x86_64.rpm[usuario]$ sudo rpm -vi filebeat-7.3.1-x86_64.rpm
Filebeat se instala en la carpeta /etc/filbeat y, al igual que los otros productos de elasticsearch, requiere cierta configuración y modificación de archivos para ponerse en marcha.
Edita el archivo de configuración para que apunte a las instancias de elasticsearch y Kibana previamente configuradas.
1[usuario]$ sudo nano /etc/filebeat/filbeat.yml
En la sección de Kibana, encuentra la variable del anfitrión ,
y cambiarlo a la dirección IP externa expuesta configurada para el servicio de Kibana.
Entonces encuentra elasticsearch en la sección de salidas y cambia la variable hosts ,
a la dirección IP externa configurada para el servicio de búsqueda elástica.
Salir de nano, guardando la configuración con ctrl+x , y para guardar los cambios, y entrar para escribir en el nombre de archivo existente «filebeat.yml». A continuación, habilita el módulo Zeek y ejecuta la configuración de filebeat para conectar con la pila de Elasticsearch y subir los patrones de índice y los cuadros de mando.
12[usuario]$ sudo filebeat modules enable zeek[usuario]$ sudo filebeat -e setup
Configure el archivo /etc/filebeat/modules.d/zeek.yml para que refleje la ruta correcta de los archivos de registro en cada registro habilitado añadiendo:
1var.paths: [/usr/local/bro/logs/corriente/conn.log*]
Luego ejecute filebeats usando la bandera -e para dar salida a la actividad a la consola. De nuevo, para asegurarnos de que todo funciona correctamente.
1[usuario]$ filebeat -e
De vuelta en la ventana del SIEM, ahora debería tener algunos eventos de la red empezando a publicarse.
Y ahora puedes explorar y analizar esa información en la búsqueda elástica del SIEM. ¡Feliz cacería!