ELK, SIEM из OpenSource, Open Distro: Введение. Развертывание инфраструктуры и технологий для SOC как Service (SOCasS)

ELK SIEM Open Distro: Введение. Развертывание инфраструктуры и технологий для SOC как Service (SOCasS)

За последние пару лет количество кибератак зашкаливает. Эти атаки нацелены не только на отдельных людей, но и на фирмы, правительства, критическую инфраструктуру и т. д. Традиционные решения, такие как антивирус, брандмауэр, NIDS и NIPS, больше не являются достаточными из-за сложности атак и их подавляющего количества.

Эта серия статей были задуманы как построение аналога SIEM на полном опенсорсе. Подробности будут представлены в следующих статьях.

Оглавление всех постов.

• Введение. Развертывание инфраструктуры и технологий для SOC как Service (SOCasS)
• ELK stack — установка и настройка
• Прогулка по open Distro
• Визуализация Dashboards и ELK SIEM
• Интеграция с WAZUH
• Оповещение (Alerting)
• Составление отчетов
• Case Management

За последние пару лет количество кибератак зашкаливает. Эти атаки нацелены не только на отдельных людей, но и на фирмы, правительства, критическую инфраструктуру и т. д. Традиционные решения, такие как антивирус, брандмауэр, NIDS и NIPS, больше не являются достаточными из-за сложности атак и их подавляющего количества.

Крупные организации обычно интегрируют решения SIEM (Security Information and Event Management) в свою среду для приема и корреляции предупреждений и журналов, генерируемых сетевыми устройствами, устройствами безопасности и конечными точками. Однако это решение отнимает много времени и денег и требует наличия групп безопасности, выделенных для сортировки ложных срабатываний и расследования сложных случаев.

Это приводит к подходу центра операций безопасности, также известного как SOC, который считается новым подходом в мире кибербезопасности для смягчения последствий растущего числа атак в количестве и уровне сложности. SOC-это централизованное подразделение, состоящее из квалифицированных специалистов, процессов и технологий, работающих вместе для обеспечения сквозных возможностей безопасности. К ним относятся предотвращение, обнаружение и расследование угроз и инцидентов кибербезопасности, а также реагирование на них. Но это решение является привилегией только крупных фирм из-за дороговизны команды SOC.

Именно здесь вступает в игру подход оперативного центра безопасности как Службы. SOCaaS передает Центр операций по обеспечению безопасности на аутсорсинг третьей стороне. Это позволит организациям с ограниченными ресурсами повысить уровень своей безопасности и обеспечить более эффективный контроль над поверхностью атаки по более низкой цене, повысить эффективность и сократить время развертывания.

Используемые технологии и инструменты на 100% бесплатны и имеют открытый исходный код.

Детальная схема архитектуры нашего решения:

Это решение позволяет осуществлять хранение журналов, анализ, мониторинг, генерацию предупреждений, генерацию отчетов, обогащение МОК и управление реагированием на инциденты.

На рисунке выше мы собираем все различные типы журналов и событий от хостов, сетевых компонентов. Затем эти журналы поступают в Logstash через безопасный канал (VPN-туннель). Мы использовали ELK beats и wazuh-agent для сбора данных и журналов и отправляли их в ELK SIEM.

После агрегации и обработки данных с помощью Logstash. Elasticsearch будет обрабатывать индексацию данных для оптимизации процесса хранения и поиска данных. Затем данные передаются в Кибану, которая займется анализом и визуализацией сохраненных данных.

В то же время агент WAZUH HIDS отправляет данные обратно менеджеру Wazuh и Elasticsearch.

Оттуда ElastAlert будет следить за новыми интересными событиями и генерировать оповещения внутри улья.

Рабочий процесс затем обогатит дело дополнительными запросами от анализаторов коры головного мозга и MISP, что приведет либо к автоматическому закрытию дела, либо к эскалации к аналитику. Оповещения доступны для аналитиков, чтобы заявить и вызвать обогащение через Cortex и MISP.

Аппаратные и программные компоненты, используемые в этом развертывании:

Hardware:

Эта таблица представляет общую инфраструктуру, требования и услуги, развернутые в нашем проекте.

Кроме того, он может быть развернут в больших средах с правильными конфигурациями и масштабируемой инфраструктурой.

Для конечных точек можно подключить любое устройство, генерирующее журналы, к серверной машине (например, маршрутизаторы, коммутаторы и т. д.… )

Disclaimer :

• Конечные устройства, показанные на диаграмме, не все были реализованы в этом проекте из-за контекста POC и ограниченных ресурсов.Поэтому брандмауэры и маршрутизаторы не будут охвачены этим POC.

  
  

• Оборудование, которое мы выбрали для этого проекта, не подходит для производства. Рекомендуется выделять больше ресурсов аппаратных средств. Мы бы рекомендовали 8 Vcpu для каждого сервера, 32 ГБ оперативной памяти для первого сервера и 8 ГБ для второго.

  
  

Программные компоненты:

• ELK stack: ELK stack-это аббревиатура, используемая для описания стека, состоящего из трех популярных проектов с открытым исходным кодом: Elasticsearch, Logstash и Kibana. Часто называемый Elasticsearch, стек ELK дает вам возможность агрегировать журналы из всех ваших систем и приложений, анализировать эти журналы и создавать визуализации для мониторинга приложений и инфраструктуры, быстрого устранения неполадок, аналитики безопасности и многого другого.

  
  

• Beats: это легкие грузоотправители данных, которые вы устанавливаете на своих серверах для сбора всех видов операционных данных (например, журналов, метрик или сетевых пакетных данных). Beats отправляют операционные данные в Elasticsearch либо напрямую, либо через Logstash, чтобы их можно было визуализировать с помощью Kibana.

  
  

• Elastalert: это простая структура для оповещения об аномалиях, спайках или других паттернах интереса из данных Elasticsearch. Он работает путем объединения Elasticsearch с двумя типами компонентов, типами правил и предупреждениями. Elasticsearch периодически запрашивается, и данные передаются в тип правила, который определяет, когда будет найдено совпадение. Когда происходит совпадение, оно передается одному или нескольким оповещениям, которые действуют в зависимости от совпадения.

  
  

• Suricata: это механизм обнаружения угроз с открытым исходным кодом, разработанный Фондом открытой информационной безопасности (OISF). Suricata может выступать в качестве системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS), а также использоваться для мониторинга сетевой безопасности.

  
  

• Open Distro для Elasticsearch:

  
  
  • Функция оповещения (Alerting): она предоставляет мощную, простую в использовании систему мониторинга событий и оповещения, позволяющую отслеживать Ваши данные и автоматически отправлять уведомления заинтересованным сторонам. Благодаря интуитивно понятному интерфейсу Kibana и мощному API легко настраивать оповещения и управлять ими.
  • Функция безопасности (Security): она включает в себя ряд параметров аутентификации (таких как Active Directory и OpenID), шифрование в полете, мелкозернистый контроль доступа, детальное ведение журнала аудита, расширенные функции соответствия требованиям и многое другое.
  
  

• Praeco: это инструмент оповещения для Elasticsearch-графический интерфейс для ElastAlert, использующий API ElastAlert. С помощью Praeco вы можете интерактивно создавать оповещения для ваших данных Elasticsearch с помощью построителя запросов, отправлять уведомления в Slack, электронную почту, Telegram или конечную точку HTTP POST, а также многие другие функции, предоставляемые этим инструментом.

  
  

• Wazuh: это бесплатная платформа с открытым исходным кодом для обнаружения угроз, мониторинга безопасности, реагирования на инциденты и соблюдения нормативных требований. Он может использоваться для мониторинга конечных точек, облачных сервисов и контейнеров, а также для агрегирования и анализа данных из внешних источников. Агенты Wazuh сканируют контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Они могут обнаруживать скрытые файлы, скрытые процессы или незарегистрированные сетевые прослушиватели, а также несоответствия в ответах на системные вызовы.

  
  

• Nessus Essentials: это бесплатный сканер уязвимостей, который обеспечивает точку входа для оценки уязвимости. Он позволяет сканировать окружающую среду с той же высокой скоростью, углубленной оценкой и удобством безагентного сканирования.

  
  

• TheHive: TheHive описывает себя как " масштабируемую, с открытым исходным кодом и свободную платформу реагирования на инциденты безопасности, предназначенную для облегчения жизни любого специалиста по информационной безопасности, имеющего дело с инцидентами безопасности, которые необходимо быстро расследовать и действовать”.

  
  

• Cortex: Cortex-это еще один программный продукт от той же команды, что и TheHive, и дополняет этот продукт обогащением данных. Cortex позволяет использовать "анализаторы" для получения дополнительной информации о показателях, уже имеющихся в ваших журналах. Он позволяет запрашивать сторонние сервисы по таким индикаторам, как IP, URL и хэш файла, и помечает оповещение этой дополнительной информацией. Нет необходимости вручную отправлять хэш файла в VirusTotal, когда анализатор автоматически сделает это за вас и помечает предупреждение результатами.

  
  

• MISP: Malware Information and Sharing Platform (MISP) — это платформа анализа угроз для обмена, хранения и корреляции показателей компрометации целевых атак, анализа угроз, информации о финансовом мошенничестве и т.д. MISP используется сегодня во многих организациях для хранения, обмена знаниями, совместной работы над показателями кибербезопасности, анализа вредоносных программ с целью обеспечения лучшей защиты безопасности.

  
  

Телеграм чат по Elasticsearch: https://t.me/elasticsearch_ru