江苏龙网

  1. 主页 > 生活百科 > >

如何使用ELK进行主机黑客攻击企图的检测

ELK

译者 | 李睿审校 | 重楼
使用ELK检测主机黑客攻击企图是增强企业安全态势的一种有效方法 。ELK提供了日志收集、解析、存储、分析和警报功能的强大组合 , 使企业能够实时检测和响应主机黑客攻击企图 。  
1、什么是SIEM? 
安全信息和事件管理(SIEM)是一个软件解决方案 , 可以实时分析由网络硬件和应用程序产生的安全警报 。SIEM从网络设备、服务器和应用程序等多个来源收集日志数据 , 然后对这些数据进行关联和分析 , 以识别安全威胁 。
 
SIEM通过提供跨整个IT基础设施的安全事件的集中视图 , 可以帮助企业改进其安全态势 。它允许安全分析人员快速识别和响应安全事件 , 并为合规性目的提供详细的报告 。
 
SIEM解决方案的一些关键特性包括:
 
(1)日志收集和分析 。
(2)实时事件关联和警报 。
(3)用户和实体行为分析 。
(4)威胁情报整合 。
(5)合规性报告 。
 
SIEM通常与其他安全解决方案(例如防火墙、入侵检测系统和防病毒软件)一起使用 , 以提供全面的安全监控和事件响应功能 。
2、什么是ELK? 
ELK是一组用于日志管理和分析的开源软件工具的缩写:Elasticsearch、Logstash和Kibana 。
 
Elasticsearch是一个分布式搜索和分析引擎 , 可以快速搜索 , 高效存储大量数据 。它可以进行扩展 , 能够实时处理大量查询和索引操作 。
 
Logstash是一个数据收集和处理工具 , 允许用户从多个来源(例如日志文件、syslog和其他数据源)收集日志和其他数据 , 并在将数据发送到Elasticsearch之前对其进行转换和丰富 。
 
Kibana是一个基于Web的用户界面 , 允许用户可视化和分析存储在Elasticsearch中的数据 。它提供了一系列交互式可视化 , 例如折线图、柱状图和热图 , 以及仪表板和警报等功能 。
 
这三个工具一起构成了ELK这个强大的平台 , 用于管理和分析日志和其他类型的数据 , 通常称为ELK堆栈或弹性堆栈 。ELK堆栈广泛用于IT运营、安全监控和业务分析 , 以从大量数据中获得见解 。
3、将SIEM数据输入ELK 
对于希望将SIEM的安全事件管理功能与ELK的日志管理和分析功能结合起来的企业来说 , 将SIEM数据输入ELK堆栈非常有用 。
 
以下是将SIEM数据输入ELK的高级步骤:
 
(1)配置SIEM将日志数据发送到Logstash , 这是ELK堆栈的一部分 。
(2)创建一个Logstash配置文件 , 定义SIEM数据的输入、筛选器和输出 。
(3)启动Logstash并验证它正在正确地接收和处理SIEM数据 。
(4)配置Elasticsearch以接收和存储SIEM数据 。
(5)创建Kibana可视化和仪表板来显示SIEM数据 。
 
以下是一个Logstash配置文件的例子 , 它接收来自SIEM的Syslog消息 , 并将它们发送到Elasticsearch:
 
Python/ target=_blank class=infotextkey>Python1input {2syslog {3type => "syslog"4port => 55145}6}7filter {8if [type] == "syslog" {9grok {10match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:[%{POSINT:syslog_pid}])?: %{GREEDYDATA:syslog_message}" }11add_field => [ "received_at", "%{@timestamp}" ]12add_field => [ "received_from", "%{host}" ]13}14}15}1617output {18elasticsearch {19hosts => ["localhost:9200"]20index => "siem"21}22}一旦Logstash配置并运行 , SIEM数据将被输入Elasticsearch , 并可以在Kibana中进行可视化和分析 。确保适当的安全措施到位以保护SIEM和ELK环境 , 并监控和警报任何安全事件是很重要的 。
4、检测主机黑客攻击 
在ELK中使用SIEM检测主机黑客攻击企图涉及监视和分析系统日志和网络流量 , 以识别可能表明黑客攻击企图的可疑活动 。以下是在ELK中使用SIEM设置主机黑客攻击企业检测的一些步骤:
 
配置主机 , 将系统日志和网络流量发送到集中的日志收集系统 。
设置Logstash来接收和解析来自主机的日志和网络流量数据 。
配置Elasticsearch存储解析后的日志数据 。
使用Kibana分析日志数据并创建仪表板和警报 , 以识别潜在的黑客尝试 。


推荐阅读


上一篇:微服务如何彻底改变了企业安全?

下一篇:如何检查前端项目中未使用的依赖包?