Создание API-ключа и настройка Filebeat

Начнем с использования консоли разработчика для взаимодействия с API нашего стека ELK и выполним следующие шаги:

Создадим роль 'filebeat_writer'.
Назначим этой роли только необходимые разрешения для доступа к кластеру.
Предоставим этой роли разрешения на взаимодействие с индексом 'filebeat-*' для хранения журналов, поступающих от Filebeat.
Сгенерируем API ключ, который будет использоваться в качестве учетных данных для доступа с использованием этих разрешений.

Давайте начнем.

В строке поиска на нашем веб-интерфейсе Kibana введите "console".

Это место, где мы можем взаимодействовать с различными конечными точками для запросов и отправки различных данных. Мы можем использовать его для запроса информации, такой как 'Какие пользователи имеют доступ к Elastic Stack?' или для отправки/обновления информации. Мы планируем использовать это для отправки данных на сервер с помощью POST-запроса для создания роли и генерации ключа API.

Скопируйте и вставьте следующий JSON-блок, чтобы назначить эти разрешения, и нажмите значок Play, чтобы отправить запрос.

POST /_security/api_key
{
  "name": "filebeat_writer",
  "role_descriptors": {
    "filebeat_writer": {
      "cluster": ["monitor", "read_ilm", "read_pipeline", "manage_index_templates", "manage_ilm", "manage_ingest_pipelines"],
      "index": [
        {
          "names": ["filebeat-*"],
          "privileges": ["view_index_metadata", "create_doc", "create_index", "manage_ilm", "write"]
        }
      ]
    }
  }
}

В ответе сервера мы получим id пользователя, имя ключа, сам ключ и его закодированную версию. Запишите id и api_key, мы будем использовать их в нашем файле конфигурации Filebeat далее.

Внесите следующие изменения в файл /etc/filebeat/filebeat.yml, чтобы указать ему, куда обращаться к нашим службам Kibana и Elasticsearch через HTTPS с правильными сертификатами. Вставьте id и ключ в формате id:key в файле конфигурации.

# =================================== Kibana ===================================

# Starting with Beats version 6.0.0, the dashboards are loaded via the Kibana API.
# This requires a Kibana endpoint configuration.
setup.kibana:

# Kibana Host
# Scheme and port can be left out and will be set to the default (http and 5601)
# In case you specify and additional path, the scheme is required: http://localhost:5601/path
# IPv6 addresses should always be defined as: https://[2001:db8::1]:5601
host: "https://192.168.0.27:5601"


# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["https://192.168.0.27:9200"]
ssl.certificate_authorities: ["/etc/elasticsearch/certs/elasticsearch.crt"]
ssl.certificate: "/etc/elasticsearch/certs/elasticsearch.crt"
ssl.key: "/etc/elasticsearch/certs/elasticsearch.key"

# Protocol - either `http` (default) or `https`.
protocol: "https"

# Authentication credentials - either API key or username/password.
api_key: "<id>:<api_key>"

Примечание: несмотря на то, что мы ограничили 'радиус действия' с помощью ограниченной роли, хранить жестко закодированные учетные данные в файле, как в этом примере, не является лучшей практикой. В рабочей среде более предпочтительно использовать переменные окружения, чтобы избежать хранения учетных данных.

Перезапустим Filebeat.

sudo systemctl restart filebeat
sudo systemctl status filebeat

Мы включили некоторые из модулей угроз по умолчанию и почти закончили! На следующем шаге добавим некоторые потоки угроз AlienVault в нашу систему

PreviousЗапуск модулей Filebeat и обновление сертификатов NextДобавление данных об угрозах из AlienVault OTX

Last updated 2 years ago