ELK ، SIEM من OpenSource ، Open Distro: مقدمة. نشر البنية التحتية والتكنولوجيا لشركة SOC كخدمة (SOCasS)

ELK SIEM Open Distro: مقدمة. نشر البنية التحتية والتكنولوجيا لشركة SOC كخدمة (SOCasS)

على مدى العامين الماضيين ، تجاوز عدد الهجمات الإلكترونية الحد الأقصى. لا تستهدف هذه الهجمات الأفراد فحسب ، بل تستهدف أيضًا الشركات والحكومات والبنية التحتية الحيوية والمزيد. لم تعد الحلول التقليدية مثل مكافحة الفيروسات وجدار الحماية و NIPS و NIPS كافية بسبب التعقيد والعدد الهائل من الهجمات.

تم تصميم هذه السلسلة من المقالات على أنها بناء نظير SIEM مفتوح المصدر بالكامل. سيتم تقديم التفاصيل في المقالات التالية.

جدول محتويات لجميع الوظائف.

• المقدمة. نشر البنية التحتية والتكنولوجيا لشركة SOC كخدمة (SOCasS)
• ELK Stack - التثبيت والتكوين
• المشي من خلال Distro المفتوح
• لوحات القيادة وتصور ELK SIEM
• التكامل مع WAZUH
• تنبيه
• عمل تقرير
• إدارة حالة

على مدى العامين الماضيين ، تجاوز عدد الهجمات الإلكترونية الحد الأقصى. لا تستهدف هذه الهجمات الأفراد فحسب ، بل تستهدف أيضًا الشركات والحكومات والبنية التحتية الحيوية والمزيد. لم تعد الحلول التقليدية مثل مكافحة الفيروسات وجدار الحماية و NIPS و NIPS كافية بسبب التعقيد والعدد الهائل من الهجمات.

SIEM (Security Information and Event Management) , , . , .

, SOC, . SOC- , , , . , , . - SOC.

. SOCaaS . , .

100% .

:

, , , , , .

, . Logstash (VPN-). ELK beats wazuh-agent ELK SIEM.

Logstash. Elasticsearch . , .

WAZUH HIDS Wazuh Elasticsearch.

ElastAlert .

MISP, , . , Cortex MISP.

, :

Hardware:

, , .

, .

, , (, , . .… )

Disclaimer :

• , , - POC . POC.

  
  
  

• , , . . 8 Vcpu , 32 8 .

  
  
  

:

• ELK stack: ELK stack- , , : Elasticsearch, Logstash Kibana. Elasticsearch, ELK , , , .

  
  
  

• Beats: , (, , ). Beats Elasticsearch , Logstash, Kibana.

  
  
  

• Elastalert: , Elasticsearch. Elasticsearch , . Elasticsearch , , , . , , .

  
  
  

• Suricata: , (OISF). Suricata (IDS) (IPS), .

  
  
  

• Open Distro Elasticsearch:

  
  
  
  • (Alerting): , , . Kibana API .
  • (Security): ( Active Directory OpenID), , , , .
  
  
  

• Praeco: Elasticsearch- ElastAlert, API ElastAlert. Praeco Elasticsearch , Slack, , Telegram HTTP POST, , .

  
  
  

• Wazuh: , , . , , . Wazuh , . , , .

  
  
  

• Nessus Essentials: , . , .

  
  
  

• TheHive: TheHive " , , , , ”.

  
  
  

• Cortex: Cortex- , TheHive, . Cortex "" , . , IP, URL , . VirusTotal, .

  
  
  

• MISP : منصة معلومات البرامج الضارة ومشاركتها (MISP) عبارة عن منصة معلومات عن التهديدات لمشاركة وتخزين وربط مقاييس التسوية من الهجمات المستهدفة وتحليل التهديدات ومعلومات الاحتيال المالي والمزيد. تُستخدم MISP اليوم في العديد من المؤسسات لتخزين المعرفة ومشاركتها والتعاون في مقاييس الأمن السيبراني وتحليل البرامج الضارة لتوفير حماية أمنية أفضل.

  
  
  

دردشة Telegram على Elasticsearch: https://t.me/elasticsearch_ru