search

Включение предварительно созданных правил обнаружения

У нас есть несколько хороших источников данных, которые отправляют данные с нашей машины под управлением Windows, а также данные из источников угроз. Но как мы узнаем, когда есть совпадение? С чего начать, чтобы фильтровать и генерировать оповещения о злонамеренной активности? Мы начнем с использования предварительно созданных правил обнаружения в ELK, а затем дополним их собственными сценариями!

circle-exclamation

Напоминание: включение правил обнаружения может серьезно снизить производительность вашего стека

Почему эти правила сильно влияют на производительность? Фактически, они действуют как сортировочное устройство для входящих логов. Каждое правило представляет собой отдельный запрос, который применяется к каждому журналу, чтобы проверить наличие совпадений и отправить нам оповещение. Если у нас есть 250 правил, потенциально выполняется 250 запросов для каждого логп, который поступает на вход и индексируется. Некоторые решения облегчают нагрузку на агент, предварительно фильтруя или маркируя журналы, и возможно, Elastic делает это в некоторой степени, но в любом случае нагрузка может быть значительной и, возможно, потребует масштабирования в производственной среде.

  1. Мы начнем с того, что вернемся к политике агента Windows Endpoint, которую мы создали, и добавим интеграцию Prebuilt Security Detection Rules.

  1. Затем мы перейдем в раздел Security > Alerts и выберем Rules.

Здесь будут отображаться все правила, доступные в сообщественной версии ELK, и даже позволит их обновить! Довольно потрясающе для проекта с открытым исходным кодом и бесплатной версией.

Некоторые из этих правил могут не применяться к нашей среде Windows, и мы можем фильтровать их с помощью тегов, примененных к правилам. Мы будем фильтровать их, используя теги Windows и Host. Вы можете применить все 250, нажав "Select all 250 rules" и выбрав "Activate" в выпадающем меню Bulk Actions.

Отлично! Теперь мы ближе к надежному SIEM! Можно поразглядывать панель SIEM и выполнить некоторые запросы в Kibana, чтобы увидеть результаты! Позже мы напишем некоторые пользовательские правила, чтобы объединить наши данные по угрозам и наши данные журналов для максимальной эффективности!

PreviousНастройка dashboard-овNextСоздание правил обнаружения на основе данных об угрозах

Last updated