Визуализация атак на базе ELK (elasticsearch, kibana, logstash)

[askl]

Как раз несколько недель назад был на DevSecCon, где делали что-то сильно похожее на воркшопе. Кому интересно все материалы тут.

[ayurtaykin]

Ожидал увидеть проект Amsterdam (https://github.com/StamusNetworks/Amsterdam) или аналог, а тут сбор SSH логов :)))

[nikolayvaganov]

Хорошо, когда есть возможность слушать трафик до хоста, либо с хоста перенаправлять трафик, но бывают случаи, когда это сделать невозможно. Тем более, что сбор логов с хостов и так есть.

[Thund3rHabr]

Спасибо за хорошее описание!
Немного не понял по файлам Docker-a… elastik:, kibana:, logstash: это части одного файла docker-compose.yml?
Или создаются /srv/docker/elastic/elastik.yml, /srv/docker/kibana/kibana.yml и т.д.?

[nikolayvaganov]

Можете для удобства их кинуть в один файл docker-compose.yml и просто пускать все сервисы одной командой — docker-compose up -d

[Thund3rHabr]

Спасибо! Еще немного не понятно с полем geoip.country_name, при discovery этого поля нет. Вы подключали какие-то модули?