应用Elasticsearch与TheHive搭建开源系统安全性应急处置服务平台

访客4年前关于黑客接单1233

根据开源项目能够搭建一个安全性应急处置服务平台,该服务平台能够开展日志融合、告警形成、IoC 丰富多彩与恶性事件管理 *** 。

在上面的流程表中,做为 HIDS 的 Wazuh 将数据信息推送回 Wazuh Manager 与 Elasticsearch。ElastAlert 观察到新恶性事件并在 TheHive 中相对形成告警。随后根据 Cortex 与 MISP 查看附加信息丰富多彩该恶性事件,以后全自动关掉该恶性事件或递交给投资分析师。

一定要注意,系统软件中的一切节点服务项目或是能够形成日志传输给 Elasticsearch 的 Agent 都能够被取代。该套系统软件的益处取决于绝大部分的部件都能够更换。

Wazuh

Wazuh 是一个开源系统安全防范解决 *** ,用以搜集、剖析服务器安全性数据信息。Wazuh 是 OSSEC 新项目的支系。Wazuh 部件与 Elasticsearch 和 Kibana 的融合度很高,能够用于实行很多与安全性有关的每日任务,如日志剖析、Rootkit 检验、监视端口检测、文档一致性检验等。

Elasticsearch

Elasticsearch 将当做全部系统软件的日志储存库。Elasticsearch 十分强劲,具有许多作用。常与 Logstash(日志搜集)和 Kibana(数据可视化)融合应用。Elasticsearch 为全部种类的数据储存都出示了一个强劲的服务平台。

ElastAlert

ElastAlert 是由 Yelp 进行的新项目,为 Elasticsearch 出示告警体制。ElastAlert 根据 REST API 查看 Elasticsearch 并有好几个輸出来搭配告警。

TheHive

TheHive 是一个可拓展的、开源系统、完全免费安全性应急处置服务平台,致力于让一切安全性从业者可以轻轻松松地解决安全事故,并迅速地付诸行动。实质上讲 TheHive 是一个告警管理系统,用以管理 *** 所有恶性事件告警。

Cortex

Cortex 与 TheHive 是一个精英团队开发设计的商品。Cortex 应用解析器获得日志中相关指标值信息的别的数据信息。容许在第三方服务中查看 IP、URL 与文档hach等指标值,并将第三方回到的結果做为额外信息丰富多彩告警恶性事件。

MISP

MISP 是 CIRCL 维护保养的开源系统威胁情报数据共享平台,其 Feed 能够是某一机构出示的付钱定阅,还可以是小区维护保养的开源系统定阅,这也是数据信息丰富多彩的关键来源于。

Elasticsearch 安装

更先布署 Elasticsearch 群集,系统软件应用 Ubuntu 16.04(文章内容应用vm虚拟机安装,DHCP 为该vm虚拟机预埋了详细地址,保证其自始至终应用同样的 IP 详细地址)。

创作者出示了 Vagrantfile 协助配备搭建 Elasticsearch vm虚拟机。

ELK 安装

留意:TheHive 已经开展一些后端开发重新构建,这会造成设定复杂。TheHive 身后的开发设计精英团队觉得 Elasticsearch 早已已不考虑他们的要求了,4.0 版本后将在后端开发应用 GraphDB。当今平稳版本 3.2.1 版本及其大家在这里应用的 beta 版本 3.3.0 全是用 Elasticsearch 5.6 做为后端开发。因而,在vm虚拟机中必须布署 Elasticsearch、Logstash 和 Kibana 6.6.1 做为日志储存库房,另一个 Elasticsearch 5.6.15 布署在 TheHive vm虚拟机中做为后端开发。

尽管我小结了安装流程,可是假如必须进一步掌握关键点能够查询安装手册。

# 更先安装 Java,挑选应用 OpenJDK 安装

sudo apt-get install openjdk-8-jre

# 加上密匙与库房

wget -qO - | sudo apt-key add -

echo "deb stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list

sudo apt-get update

# 为了更好地避免 升级毁坏 SearchGuard,挑选安装固定不动版本的 Elasticsearch

apt-cache policy elasticsearch

sudo apt-get install elasticsearch=6.6.1 logstash=1:6.6.1-1 kibana=6.6.1

# 阻拦系统更新

sudo apt-mark hold elasticsearch logstash kibana

# 将 Elasticsearch、Logstash 和 Kibana 设定为开机启动

sudo systemctl daemon-reload

sudo systemctl enable elasticsearch.service

sudo systemctl enable logstash.service

sudo systemctl enable kibana.service

# 将来明确好兼容模式,能够开展升級

sudo apt-mark unhold elasticsearch

提升

默认设置状况下,Elasticsearch 依靠的 Java 堆的尺寸为 1 GB。能够根据改动 /etc/elasticsearch/jvm.options 中的 Xms1g 与 Xmx1g 主要参数,将其提升到总运行内存的 50-80%。我的vm虚拟机仅有 4gB 运行内存,所以我保存了初始值。

编写环境变量 /etc/elasticsearch/elasticsearch.yml:

撤消 cluster.name 和 node.name 的注解,并设定为不一样的姓名

设定 bootstrap.memory_lock 为 True

设定 network.host 为 0.0.0.0

设定 discovery.type 为 single-node

编写服务项目 sudo systemctl edit elasticsearch.service:

[Service]

LimitMEMLOCK=infinity

随后执行:

# 重新加载

sudo systemctl daemon-reload

# 重启

sudo systemctl start elasticsearch.service

# 查验保证 Elasticsearch 能用

curl

应当能够见到相近的回应:

1551641374 19:29:34 demo-cluster green 1 1 0 0 0 0 0 0 - 100.0%

Kibana

编写 Kibana 的环境变量:sudo nano /etc/kibana/kibana.yml

设定 Kibana 来回应外界插口:server.host: 0.0.0.0

运行服务项目:sudo systemctl start kibana.service

浏览器打开: 应当能够见到 Kibana 控制面板

Logstash

依照以下指令实行:

sudo apt install logstash

sudo systemctl enable logstash.service

sudo systemctl daemon-reload

留意:这时 Logstash 沒有运作。

Wazuh 安装

这些将叙述怎样安装 Wazuh Manager,并将 Wazuh 与 Elasticsearch 开展集成化。

应用 Wazuh 的 Agent 以及标准集来鉴别节点的个人行为并形成告警。这种告警从 Wazuh 的 Agent 分享到 Wazuh Manager 载入 /var/ossec/logs/alerts/alerts.json。Filebeat 的服务项目持续监控该文件的变更,随后发送给 Elasticsearch。

Wazuh Manager

# 为 Wazuh 库房安装 GPG 密匙

相关文章

怎样防止计算机被黑客攻击(如何防范计算机病毒与黑客)

怎样防止计算机被黑客攻击(如何防范计算机病毒与黑客)

如何预防电脑被黑客远程控制? 步骤 按“Windows + R”键,并输入“sysdm.cpl”打开系统属性。步骤、切换到“远程”选项卡,在远程桌面部分中勾选“不允许远程连接到此计算机”,然后单击“应...

网站地图怎么做xml(手把手教你自制网站地图生成

网站地图怎么做xml(手把手教你自制网站地图生成

html地图:列出网站中大量链接的网页地图 网站所有网页中存在网站地图链接; 网站地图制作:   利用第三方软件制作:小爬虫、老虎sitemap生成器等; 利用软件制作出网站地图文件;...

大遗址如何保护利用? 国家文物局印发导则

人民网北京8月26日电 (记者刘佳)记者从国家文物局获悉,为贯彻落实中共中央办公厅、国务院办公厅《关于加强文物保护利用改革的若干意见》,促进大遗址合理利用,提升大遗址保护管理和利用水平,国家文物局组织...

蒙古国累计新冠好声音陈冰确诊病例升至738例

  蒙古国累计新冠确诊病例升至738例   新华社乌兰巴托11月27日电(记者阿斯钢 苏力雅)蒙古国卫生部27日通报说,该国过去24小时新冠检测人数为18031人,新增确诊病例26例,累计确诊738...

英文discount是什么意思(discount中文是什么)

英文discount是什么意思(discount中文是什么)

英语口语:你把discount理解成中文“折扣”吗? 想练习英语口语,却又时时用中文(理解英语),不是说不行,至少说明你的英语口语努力事倍功半。 ​ discount有中文“折扣,打折”的意思,...

阴阳师妖行试炼第四天怎么通关?阴阳师妖行试炼第四天打法推荐

阴阳师妖行试炼第四天怎么通关?阴阳师妖行试炼第四天打法推荐

阴阳师手游中关于妖行试炼第四天具体应该要怎么打呢?可能还有好多小伙伴们不知道呢。来一起看看这个妖行试炼第四天打法介绍吧! 阴阳师妖行试炼第四天怎么打 妖行试炼第四天阵容,基本上都是金鱼叉姬,剩...