Добавление данных об угрозах из AlienVault OTX
Теперь, когда мы настроили службу Filebeat, давайте посмотрим, какие данные доступны из модуля угроз для некоторых источников данных.
С помощью текстового редактора откройте файл YAML угроз в каталоге /etc/filebeat/modules.d/threatintel.yml и посмотрите на некоторых провайдеров.
В нашем стеке мы будем использовать следующие источники:
abuseurl
abusemalware
malwarebazaar
otx
Все они являются открытыми источниками данных, предоставляющими бесплатный доступ! Другие (кроме MISP) могут потребовать оплату - можно их отключить, установив значение true в false и сохранив файл.
Abuseurl, abusemalware и malwarebazaar все принадлежат компании Abuse.ch и не требуют ключа API или индивидуальной учетной записи. Однако нам понадобится создать учетную запись AlienVault OTX, если мы хотим получать данные об угрозах оттуда.
Откройте браузер и перейдите по адресу https://otx.alienvault.com/, чтобы создать бесплатную учетную запись.
После создания учетной записи перейдите в раздел "Profile Settings", чтобы получить свой ключ OTX.
Аналогично тому, как мы настроили API-ключ для Filebeat, чтобы получить доступ к Elasticsearch, мы также используем API-ключ от AlienVault, чтобы позволить модулю Filebeat работать с AlienVault от нашего имени. Это, безусловно, круто, верно? Однако, следует помнить, что это может быть двусмысленным инструментом. Точно так же, как мы защищаем имена пользователей и пароли, мы должны обеспечить тот же уровень защиты для этих ключей API, чтобы гарантировать их безопасность, как у наших учетных записей.
Вернемся к файлу /etc/filebeat/modules.d/threatintel.yml и вставьте свой ключ AlienVault OTX.
Перезапустите службу Filebeat, чтобы применить эти изменения.
После успешной перезагрузки перейдите в раздел "Security Overview" меню и прокрутите вниз. Мы должны увидеть внедрение некоторых новых потоков угроз, включая наши логи OTX!
Вы также увидите приглашение загрузить некоторые панели инструментов Kibana! Мы сделаем это позже.
Last updated