应用Elasticsearch与TheHive搭建开源系统安全性应急处置服务平台

访客4年前关于黑客接单1230

根据开源项目能够搭建一个安全性应急处置服务平台,该服务平台能够开展日志融合、告警形成、IoC 丰富多彩与恶性事件管理 *** 。

在上面的流程表中,做为 HIDS 的 Wazuh 将数据信息推送回 Wazuh Manager 与 Elasticsearch。ElastAlert 观察到新恶性事件并在 TheHive 中相对形成告警。随后根据 Cortex 与 MISP 查看附加信息丰富多彩该恶性事件,以后全自动关掉该恶性事件或递交给投资分析师。

一定要注意,系统软件中的一切节点服务项目或是能够形成日志传输给 Elasticsearch 的 Agent 都能够被取代。该套系统软件的益处取决于绝大部分的部件都能够更换。

Wazuh

Wazuh 是一个开源系统安全防范解决 *** ,用以搜集、剖析服务器安全性数据信息。Wazuh 是 OSSEC 新项目的支系。Wazuh 部件与 Elasticsearch 和 Kibana 的融合度很高,能够用于实行很多与安全性有关的每日任务,如日志剖析、Rootkit 检验、监视端口检测、文档一致性检验等。

Elasticsearch

Elasticsearch 将当做全部系统软件的日志储存库。Elasticsearch 十分强劲,具有许多作用。常与 Logstash(日志搜集)和 Kibana(数据可视化)融合应用。Elasticsearch 为全部种类的数据储存都出示了一个强劲的服务平台。

ElastAlert

ElastAlert 是由 Yelp 进行的新项目,为 Elasticsearch 出示告警体制。ElastAlert 根据 REST API 查看 Elasticsearch 并有好几个輸出来搭配告警。

TheHive

TheHive 是一个可拓展的、开源系统、完全免费安全性应急处置服务平台,致力于让一切安全性从业者可以轻轻松松地解决安全事故,并迅速地付诸行动。实质上讲 TheHive 是一个告警管理系统,用以管理 *** 所有恶性事件告警。

Cortex

Cortex 与 TheHive 是一个精英团队开发设计的商品。Cortex 应用解析器获得日志中相关指标值信息的别的数据信息。容许在第三方服务中查看 IP、URL 与文档hach等指标值,并将第三方回到的結果做为额外信息丰富多彩告警恶性事件。

MISP

MISP 是 CIRCL 维护保养的开源系统威胁情报数据共享平台,其 Feed 能够是某一机构出示的付钱定阅,还可以是小区维护保养的开源系统定阅,这也是数据信息丰富多彩的关键来源于。

Elasticsearch 安装

更先布署 Elasticsearch 群集,系统软件应用 Ubuntu 16.04(文章内容应用vm虚拟机安装,DHCP 为该vm虚拟机预埋了详细地址,保证其自始至终应用同样的 IP 详细地址)。

创作者出示了 Vagrantfile 协助配备搭建 Elasticsearch vm虚拟机。

ELK 安装

留意:TheHive 已经开展一些后端开发重新构建,这会造成设定复杂。TheHive 身后的开发设计精英团队觉得 Elasticsearch 早已已不考虑他们的要求了,4.0 版本后将在后端开发应用 GraphDB。当今平稳版本 3.2.1 版本及其大家在这里应用的 beta 版本 3.3.0 全是用 Elasticsearch 5.6 做为后端开发。因而,在vm虚拟机中必须布署 Elasticsearch、Logstash 和 Kibana 6.6.1 做为日志储存库房,另一个 Elasticsearch 5.6.15 布署在 TheHive vm虚拟机中做为后端开发。

尽管我小结了安装流程,可是假如必须进一步掌握关键点能够查询安装手册。

# 更先安装 Java,挑选应用 OpenJDK 安装

sudo apt-get install openjdk-8-jre

# 加上密匙与库房

wget -qO - | sudo apt-key add -

echo "deb stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list

sudo apt-get update

# 为了更好地避免 升级毁坏 SearchGuard,挑选安装固定不动版本的 Elasticsearch

apt-cache policy elasticsearch

sudo apt-get install elasticsearch=6.6.1 logstash=1:6.6.1-1 kibana=6.6.1

# 阻拦系统更新

sudo apt-mark hold elasticsearch logstash kibana

# 将 Elasticsearch、Logstash 和 Kibana 设定为开机启动

sudo systemctl daemon-reload

sudo systemctl enable elasticsearch.service

sudo systemctl enable logstash.service

sudo systemctl enable kibana.service

# 将来明确好兼容模式,能够开展升級

sudo apt-mark unhold elasticsearch

提升

默认设置状况下,Elasticsearch 依靠的 Java 堆的尺寸为 1 GB。能够根据改动 /etc/elasticsearch/jvm.options 中的 Xms1g 与 Xmx1g 主要参数,将其提升到总运行内存的 50-80%。我的vm虚拟机仅有 4gB 运行内存,所以我保存了初始值。

编写环境变量 /etc/elasticsearch/elasticsearch.yml:

撤消 cluster.name 和 node.name 的注解,并设定为不一样的姓名

设定 bootstrap.memory_lock 为 True

设定 network.host 为 0.0.0.0

设定 discovery.type 为 single-node

编写服务项目 sudo systemctl edit elasticsearch.service:

[Service]

LimitMEMLOCK=infinity

随后执行:

# 重新加载

sudo systemctl daemon-reload

# 重启

sudo systemctl start elasticsearch.service

# 查验保证 Elasticsearch 能用

curl

应当能够见到相近的回应:

1551641374 19:29:34 demo-cluster green 1 1 0 0 0 0 0 0 - 100.0%

Kibana

编写 Kibana 的环境变量:sudo nano /etc/kibana/kibana.yml

设定 Kibana 来回应外界插口:server.host: 0.0.0.0

运行服务项目:sudo systemctl start kibana.service

浏览器打开: 应当能够见到 Kibana 控制面板

Logstash

依照以下指令实行:

sudo apt install logstash

sudo systemctl enable logstash.service

sudo systemctl daemon-reload

留意:这时 Logstash 沒有运作。

Wazuh 安装

这些将叙述怎样安装 Wazuh Manager,并将 Wazuh 与 Elasticsearch 开展集成化。

应用 Wazuh 的 Agent 以及标准集来鉴别节点的个人行为并形成告警。这种告警从 Wazuh 的 Agent 分享到 Wazuh Manager 载入 /var/ossec/logs/alerts/alerts.json。Filebeat 的服务项目持续监控该文件的变更,随后发送给 Elasticsearch。

Wazuh Manager

# 为 Wazuh 库房安装 GPG 密匙

相关文章

我是流氓我怕谁:谁绑架了国内互联网用户?

三年前,五月,有一些躁热的某夜,全国各地的电信网DNS发生规模性偏瘫安全事故。 而事故恰好是因为一款播放软件的手机客户端密秘浏览网址,持续向电信网DNS网络服务器进行要求,最后造成 了这一灭绝...

冰箱冷藏几档合适(冰霜如何快速去除?)

冰箱冷藏几档合适(冰霜如何快速去除?)夏天,又要靠空调跟冰箱续命了,家里的生鲜水果、冰淇淋都离不开冰箱。但是,一些有一定年头的冰箱用久了,总是会结厚厚的冰霜,每次清理又是刀,又是铲子,又是吹风机的...

Epic免费喜+1价值几百的正版《GTA5》

Epic免费喜+1价值几百的正版《GTA5》 活动时间:5月21日截止 领取地址:https://www.epicgames.com/store/zh-CN/product/gr...

中国驻卡塔尔大使祝贺selina烧伤近况多哈成功申办2030年亚运会

  中新网12月17日电 据中国驻卡塔尔大使馆消息,在卡塔尔成功赢得2030年亚运会主办权后,中国驻卡塔尔大使周剑16日接受卡塔尔《海湾时报》采访,向卡塔尔人民致以热烈祝贺。   周剑称:“欣闻卡塔...

黑客教你定位微信地址(定位他人位置无需同意)

LulzSec是一个怎样的组织呢?跟大多数的黑客组织一样,他们行动紧密而且神秘,但却又是黑客世界里最炙手可热的,一旦确定目标,他们甚至不在乎暴露他们的身份,为的就是揭露目标,让目标感到尴尬。...

中国第一黑客多少岁(中国有多少名黑客)

中国第一黑客多少岁(中国有多少名黑客)

本文导读目录: 1、中国第一骇客是谁? 2、中国天才小黑客,8岁写代码,曾用1元买2500元物品,他如今怎么样? 3、中国的第一位著名黑客是谁?? 4、他是中国身价最高的黑客,15岁考进9...