Con la instalación del paquete RPM o DEB, el archivo de configuración vive en /etc/packetbeat y el binario se añade a su ruta.
Antes de abrir el archivo YAML de configuración, enumere los dispositivos disponibles para Packetbeat y el índice o número de dispositivo asociado para cada uno.
1[usuario]$ packetbeat devices
En este caso, la interfaz ens37 y ens38 tienen el tráfico reflejado de un conmutador de núcleo para supervisar sólo estas dos interfaces. Una instancia separada de Packetbeat se ejecuta para cada una.La opción af_packet más rápida para leer los paquetes desde la memoria está disponible en los sistemas Linux y es más rápida y menos intensiva en CPU que el uso de las opciones libpcap. Abra el archivo de configuración y edite la sección Dispositivos de red para reflejar las primeras interfaces de red que desee monitorizar y el uso de las opciones af_packet.
1sudo nano /etc/packetbeat/packetbeat.yml
Para categorizar adecuadamente la entrada de las diferentes interfaces, también descomente y cambie el campo de nombre en la sección General.
Antes de cerrar, edite la salida de Kibana y la salida de Elasticsearch a los mismos valores correspondientes al SIEM Elástico previamente establecido. Luego sal de nano, guardando el archivo con ctrl+x, y, introduce . Pruebe su configuración, y luego ejecute la configuración inicial de Packetbeat.
12sudo packetbeat test configsudo packetbeat setup
Crea una copia del archivo de configuración y añade el nombre con 2 o un descriptor de tu elección. Edite el nuevo archivo de configuración, cambiando sólo el número de índice de la interfaz y el nombre del remitente.
12sudo cp /etc/packetbeat/packetbeat.yml /etc/packetbeat/packetbeat2.ymlsudo nano /etc/packetbeat/packetbeat2.yml
Primera carrera de Packet Beat
Todo está configurado para monitorear sus interfaces espejo o span, y ahora es el momento de ejecutar Packetbeat. También puede ejecutar Packetbeat como un servicio después de la instalación de RPM o DEB, pero para la primera ejecución y para asegurar que esto funciona, ejecute desde la terminal, primero usando la pantalla para monitorear los dos procesos separados.
12sudo screensudo packetbeat -e
Esto se ejecuta con el archivo packetbeat.yml por defecto con la primera interfaz. Monitorea los eventos publicados con éxito y luego se separa de esa sesión de terminal con ctrl+a+d y entra en una nueva sesión de pantalla y ejecuta Packetbeat con el segundo archivo de configuración.
12sudo screensudo packetbeat -e -c /etc/packetbeat/packetbeat2.yml
Una vez que veas los eventos que se publican en el nodo Elasticsearch, revisa la página de la Red Elastic SIEM para asegurarte de que estás recibiendo datos. Deberías ver una letanía de información de la red poblada.
Los datos del DNS que buscabas en primer lugar se recogen de forma pasiva.
Además, en la información del índice Packetbeat, puedes ver ambas fuentes de agentes.
¡Ahora ve a cazar!