如何使用ELK进行主机黑客攻击企图的检测( 二 ) _ELK

以下是一些可用于检测主机黑客企图的特定技术：

监控失败的登录尝试：从单个IP地址寻找重复失败的登录尝试，这可能表明是暴力攻击。使用Logstash来解析失败登录事件的系统日志，并创建Kibana仪表板或警报来监控过多的失败登录尝试。
监控可疑网络流量：查找可疑网络流量或者来自已知恶意IP地址或域的网络流量。使用Logstash解析网络流量数据并创建Kibana仪表板或警报来监视可疑的流量模式。
监视文件系统更改：查找对系统文件或设置的未经授权的更改。使用Logstash解析文件系统更改事件，并创建Kibana指示板或警报来监视未经授权的更改。
监视可疑的进程活动：查找正在以较高权限运行的进程或正在执行异常操作的进程。使用Logstash解析流程事件并创建一个Kibana仪表板或警报来监视可疑的流程活动。

通过实现这些技术并定期监控日志和网络流量，企业可以提高他们在ELK中使用SIEM检测和响应主机黑客攻击企图的能力。
5、在ELK中配置警报以检测主机黑客攻击企图
要在ELK中配置警报以检测主机黑客攻击企图，用户可以遵循以下常规步骤：

（1）在Kibana中创建一个搜索查询，过滤主机黑客攻击企图的日志。例如，用户可以使用以下搜索查询来检测失败的登录尝试：

Python?

1 from elasticsearch import Elasticsearch23 es = Elasticsearch()45search_query = {6"query": {7"bool": {8"must": [9{10"match": {11"event.dataset": "auth"12}13},14{15"match": {16"event.action": "failed_login"17}18}19]20}21}22}2324 res = es.search(index="siem", body=search_query)2526for hit in res['hits']['hits']:27print(hit['_source'])

（2）创建搜索查询后，将其保存为Kibana saved search 。

（3）进入Kibana Kibana警报和操作界面，创建一个新的警报。选择在第2步中创建的保存的搜索作为警报的基础。

文章插图

（4）将警报配置为当满足某个阈值时触发。例如，可以将警报配置为在5分钟窗口内有超过5次失败的登录尝试时触发。

（5）配置警报，在触发时发送通知，例如电子邮件或Slack消息。

（6）测试警报，以确保其工作如预期。

一旦配置了警报，它将在检测到主机黑客尝试事件时自动触发，例如登录尝试失败。这可以帮助企业高效地检测和响应安全威胁。定期检查和更新警报以确保它们检测到最相关和最重要的安全事件是很重要的。
结论
使用ELK检测主机黑客企图是增强企业安全态势的一种有效方法。ELK提供了日志收集、解析、存储、分析和警报功能的强大组合，使企业能够实时检测和响应主机黑客攻击企图。

通过监视系统日志和网络流量，并使用高级搜索查询和警报机制， ELK可以帮助企业检测广泛的主机黑客攻击企图，包括失败的登录尝试、可疑的网络流量、文件系统更改和可疑的进程活动。

使用ELK实现健壮的主机黑客攻击企图检测策略需要仔细的规划、配置和测试。比如，使用正确的专业知识和工具，企业可以创建一个全面的安全监控系统，提供对网络的实时可见性，改善事件响应时间，并帮助在安全漏洞发生之前进行预防。

原文链接：https://dzone.com/articles/host-hack-attempt-detection-using-elk

【如何使用ELK进行主机黑客攻击企图的检测】