SIEM Custom con ELK

Partiamo con lo spiegare cosa è lo stack ELK

Quando si usa l’acronimo ELK si fa riferimento a questi tre progetti Open source:

Elasticsearch;

Logstash;

Kibana.

Nello specifico Elasticsearch è un motore di ricerca e di analisi, Logstash si occupa di gestire, processare e trasformare i dati che riceve dalle varie sorgenti per poi inviarli a Elasticsearch.

Kibana invece permette la creazione di grafici e dashboard, oltre alla possibilità di visualizzare i dati tramite interfaccia grafica.

Per ulteriori info le potete reperire qui https://www.elastic.co/

Vediamo ora come poter creare un SIEM custom.

Creiamo la nostra VM (nel mio caso ho usato una Ubuntu Server)

Una volta creata la VM possiamo procedere con l’installazione dei vari componenti che comporranno il nostro SIEM:

wget -qO – https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add –
sudo apt-get install apt-transport-https
echo “deb https://artifacts.elastic.co/packages/7.x/apt stable main” | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
sudo apt-get update && sudo apt-get install elasticsearch

Dopo aver scaricato ed installato Elasticsearch, assicuriamoci che con le impostazioni di default parta senza problemi :

service elasticsearch start
service elasticsearch status
curl 127.0.0.1:9200 (la porta di ascolto di Default di Elastic è la 9200 TCP)

Se non riscontriamo problemi , possiamo andare avanti e cominciare a customizzare il nostro Elastic:

service elasticsearch stop
modifichiamo il file di configurazione di Elasti
- vi /etc/elasticsearch/elasticsearch.yml

service elasticsearch start
Testiamo la raggiungibilità di Elasticsearch da un’altra macchina

Ora passiamo all’installazione e alla configurazione di Kibana:

apt install -y kibana
modifichiamo il file di configurazione di Kibana vi /etc/kibana/kibana.yml
- andiamo ad inserire l’indirizzo ip del nostro server

service kibana start

Ora se ci colleghiamo alla nostra istanza KIBANA (http://ipserver:5601) possiamo navigare ed esplorare tutte le opzioni ed i moduli a nostra disposizione.

Allo stato attuale però non abbiamo nessun host che invii log alla nostra istanza Elastic,andiamo quindi a vedere un metodo per inviare i log verso il nostro “SIEM”.

Invio Log di macchine linux con Auditbeat:

https://www.elastic.co/guide/en/elasticsearch/reference/current/deb.html

Andiamo ad installare auditbeat, servizio che una volta installato e configurato si occuperà di inviare i log dell’host ,dove è stato installato, verso la nostra istanza Elasticsearch.

apt install auditbeat -y
modifichiamo il file di configurazione di auditbeat vi /etc/auditbeat/auditbeat.yml
- inseriamo l’indirizzo ip della nostra istanza Elastic

auditbeat -e setup
service auditbeat start

Ora se ci colleghiamo alla nostra istanza KIBANA (http://ipserver:5601), vedremo arrivare i log provenienti da auditbeat

Invio Log di macchine Windows con Winlogbeat:

https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation-configuration.html

Alla stessa stregua di auditbeat ,Winlogbeat è un servizio che una volta installato e configurato si occuperà di inviare i log del host, dove è stato installato, verso la nostra istanza Elasticsearch.

Per prima cosa bisogna scaricare il pacchetto

https://www.elastic.co/downloads/beats/winlogbeat
Una volta scaricato il pacchetto, scompattarlo e rinominare la directory “Winlogbeat”
Spostare la directory sotto C:\Program Files\ (C:\Program Files\Winlogbeat)
Aprire Powershell come amministratore e spostarsi nel path sopra citato ed avviare il seguete comando:
- PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-winlogbeat.ps1

Andare a modificare sempre sotto il path C:\Program Files\Winlogbeat il file “winlogbeat.yml”

Aprire nuovamente Powershell come Amministratore, spostarsi nel Path C:\Program Files\Winlogbeat e dare il seguente comando:
- .\winlogbeat.exe setup -e