Создание API-ключа и настройка Filebeat

Начнем с использования консоли разработчика для взаимодействия с API нашего стека ELK и выполним следующие шаги:

  1. Создадим роль 'filebeat_writer'.

  2. Назначим этой роли только необходимые разрешения для доступа к кластеру.

  3. Предоставим этой роли разрешения на взаимодействие с индексом 'filebeat-*' для хранения журналов, поступающих от Filebeat.

  4. Сгенерируем API ключ, который будет использоваться в качестве учетных данных для доступа с использованием этих разрешений.

Давайте начнем.

  1. В строке поиска на нашем веб-интерфейсе Kibana введите "console".

Это место, где мы можем взаимодействовать с различными конечными точками для запросов и отправки различных данных. Мы можем использовать его для запроса информации, такой как 'Какие пользователи имеют доступ к Elastic Stack?' или для отправки/обновления информации. Мы планируем использовать это для отправки данных на сервер с помощью POST-запроса для создания роли и генерации ключа API.

  1. Скопируйте и вставьте следующий JSON-блок, чтобы назначить эти разрешения, и нажмите значок Play, чтобы отправить запрос.

В ответе сервера мы получим id пользователя, имя ключа, сам ключ и его закодированную версию. Запишите id и api_key, мы будем использовать их в нашем файле конфигурации Filebeat далее.

  1. Внесите следующие изменения в файл /etc/filebeat/filebeat.yml, чтобы указать ему, куда обращаться к нашим службам Kibana и Elasticsearch через HTTPS с правильными сертификатами. Вставьте id и ключ в формате id:key в файле конфигурации.

circle-info

Примечание: несмотря на то, что мы ограничили 'радиус действия' с помощью ограниченной роли, хранить жестко закодированные учетные данные в файле, как в этом примере, не является лучшей практикой. В рабочей среде более предпочтительно использовать переменные окружения, чтобы избежать хранения учетных данных.

  1. Перезапустим Filebeat.

Мы включили некоторые из модулей угроз по умолчанию и почти закончили! На следующем шаге добавим некоторые потоки угроз AlienVault в нашу систему

Last updated