Безопасность SIEM: внедрение сертификатов для передачи данных
Можно заметить, что мы использовали URL-адреса с протоколом HTTP для тестирования наших работающих служб. В домашней лабораторной среде такой подход может быть приемлемым, но он может представлять серьезную угрозу безопасности для любого, кто может перехватывать данные в данной сети. Это недопустимо. Кроме того, мы упустили некоторые преимущества, которые предоставляет нам стек ELK. Это также нежелательно. Мы специально избегали определенных конфигурационных аспектов, чтобы избежать необходимости частых изменений в нашей настройке. На данный момент у нас нет полностью функционального стека.
Итак, настало время продолжить настройку и создать полностью функциональную систему управления событиями безопасности (SIEM), а также обеспечить конфиденциальность передачи данных.
Начнем с проверки личности с использованием сертификатов. Эти сертификаты, по сути, будут аналогичны тем, которые вы видите при просмотре веб-сайтов через HTTPS. Однако вместо того чтобы быть "подтвержденными" доверенным центром, они будут подтверждены нами сами.
Мы не будем усложнять этот процесс и начнем с создания "шаблона", который будет использоваться для автоматической генерации сертификатов с помощью некоторых инструментов Elasticsearch.
Перейдите в каталог /usr/share/elasticsearch/
Создайте новый файл с именем instances.yml, используя текстовый редактор.
Вставьте следующие записи в новый файл. Они будут использоваться для связи каждого имени службы с IP-адресом нашей машины.
Важно: если на предыдущих этапах установка Logstash не выполнялась, то необходимо исключить его из данного файла и последующих шагов по созданию сертификатов, чтобы избежать возможных ошибок, таких как "file or directory not found"
Сохраните этот файл и закройте текстовый редактор.
Last updated