来源:https://blog.securityonion.net/2017/03/towards-elk-on-security-onion.html
在过去的几年里,我们已经有很多人在安全洋葱上要求使用ELK(Elasticsearch, Logstash, Kibana)。现在是时候开始致力于ELK的安全洋葱了!
按照“尽早发布,经常发布”的传统,我们发布了一个关于ELK在安全洋葱上可能是什么样子的非常早期的技术预览。这个技术预览由一个脚本组成,该脚本将使用评估模式下的安全Onion VM,并将它从ELSA转换为ELK。我们现在发布这个是因为我们想在这个项目中尽早得到你的反馈。
谢谢
特别感谢Justin Henderson提供他的日志配置和安装指南!
https://github.com/SMAPPER/Logstash-Configs
特别感谢Phil Hagen对SOF-ELK的所有工作!
https://github.com/philhagen/sof-elk
一、警告和免责声明
这个技术预览是前alpha,出血边缘,完全不支持!
如果这破坏了你的系统,你可以保留这两部分!
这个脚本正在进行中,并且在不断变化。
这个脚本旨在构建一个概念的快速原型证明,这样您就可以看到我们最终的ELK配置可能是什么样子。这个配置将随着时间的推移而发生巨大的变化,直到最终版本发布。
不要在你关心的系统上运行这个!
不要在一个有你关心的数据的系统上运行这个!
这个脚本应该只在带有测试数据的测试框上运行!
该脚本仅为独立的机箱设计,不支持分布式部署。
使用这个脚本可能导致恶心,呕吐,或烧灼感。
二、使用ELK
足够的免责声明吗?让我们这样做!
从一个一次性的测试VM开始,有以下最低要求:
2个CPU核
4 gb内存
20 gb的虚拟硬盘
(1)具有完全互联网接入的管理界面
(1)嗅探接口(独立于管理接口)
安装安全洋葱14.04.5.2 ISO镜像
设置运行在评估模式
下载脚本:
wget https://raw.githubusercontent.com/Security-Onion-Solutions/elastic-test/master/securityonion_elsa2elastic.sh
使用sudo特权运行脚本:
sudo bash securityonion_elsa2elastic.sh
请仔细阅读所有的警告和免责声明,只有在你同意的情况下才可继续。
这个脚本至少需要10分钟,这取决于您的硬件速度和Internet连接。
一两分钟后,您应该可以通过以下URL访问Kibana:
https://localhost/app/kibana
您应该会看到我们新的安全洋葱登录窗口。输入与登录Sguil和Squert时相同的凭证。这个登录窗口将为Kibana和CapMe提供单点登录,允许无缝旋转到完整的包捕获!
登录Kibana后,您将在总览仪表板上自动启动,还会看到到其他仪表板的链接。这些仪表板的设计工作在1024x768屏幕分辨率,以最大化兼容性。
在Kibana中搜索数据时,应该会看到Bro日志、syslog和Snort警报。Logstash应该解析过大多数Bro日志和Snort警告中的大多数字段。
注意,仪表板底部的搜索面板显示带有超链接的source_ip和destination_ip字段。这些超链接将把您带到一个仪表板,该仪表板将帮助您分析与特定IP地址相关的流量。
UID字段也是超链接的。这个超链接将开始一个新的Kibana搜索特定的UID。对于Bro UIDs,这将显示所有与该特定连接相关的Bro日志。
每个日志条目还有一个超链接的_id字段。这个超链接将带你到CapMe,允许你为任意的日志类型请求完整的包捕获!这假设日志是用于由Bro看到的tcp或udp通信,Bro在其conn.log中正确地记录了它。CapMe应该努力做到以下几点:
从Elasticsearch检索_id
解析时间戳
如果Bro log,则解析CID,否则解析src IP、src端口、dst IP和dst端口
查询Elasticsearch查找这些项,并尝试找到对应的bro_conn日志
解析传感器名称(主机名接口)
向sguild发送请求,从传感器名请求pcap
以前,在Squert下,你可以从IP地址转到ELSA。那个支点已经被移走了,换成了ELK的支点。
三、界面
