審校 | 重樓

51CTO讀者成長計(jì)劃社群招募，咨詢小助手（微信號：TTalkxiaozhuli）

使用ELK檢測主機(jī)黑客攻擊企圖是增強(qiáng)企業(yè)安全態(tài)勢的一種有效方法。ELK提供了日志收集、解析、存儲、分析和警報(bào)功能的強(qiáng)大組合，使企業(yè)能夠?qū)崟r(shí)檢測和響應(yīng)主機(jī)黑客攻擊企圖。  

1、什么是SIEM？

安全信息和事件管理（SIEM）是一個(gè)軟件解決方案，可以實(shí)時(shí)分析由網(wǎng)絡(luò)硬件和應(yīng)用程序產(chǎn)生的安全警報(bào)。SIEM從網(wǎng)絡(luò)設(shè)備、服務(wù)器和應(yīng)用程序等多個(gè)來源收集日志數(shù)據(jù)，然后對這些數(shù)據(jù)進(jìn)行關(guān)聯(lián)和分析，以識別安全威脅。

SIEM通過提供跨整個(gè)IT基礎(chǔ)設(shè)施的安全事件的集中視圖，可以幫助企業(yè)改進(jìn)其安全態(tài)勢。它允許安全分析人員快速識別和響應(yīng)安全事件，并為合規(guī)性目的提供詳細(xì)的報(bào)告。

SIEM解決方案的一些關(guān)鍵特性包括：

（1）日志收集和分析。

（2）實(shí)時(shí)事件關(guān)聯(lián)和警報(bào)。

（3）用戶和實(shí)體行為分析。

（4）威脅情報(bào)整合。

（5）合規(guī)性報(bào)告。

SIEM通常與其他安全解決方案(例如防火墻、入侵檢測系統(tǒng)和防病毒軟件)一起使用，以提供全面的安全監(jiān)控和事件響應(yīng)功能。

2、什么是ELK？

ELK是一組用于日志管理和分析的開源軟件工具的縮寫：Elasticsearch、Logstash和Kibana。

Elasticsearch是一個(gè)分布式搜索和分析引擎，可以快速搜索，高效存儲大量數(shù)據(jù)。它可以進(jìn)行擴(kuò)展，能夠?qū)崟r(shí)處理大量查詢和索引操作。

Logstash是一個(gè)數(shù)據(jù)收集和處理工具，允許用戶從多個(gè)來源(例如日志文件、syslog和其他數(shù)據(jù)源)收集日志和其他數(shù)據(jù)，并在將數(shù)據(jù)發(fā)送到Elasticsearch之前對其進(jìn)行轉(zhuǎn)換和豐富。

Kibana是一個(gè)基于Web的用戶界面，允許用戶可視化和分析存儲在Elasticsearch中的數(shù)據(jù)。它提供了一系列交互式可視化，例如折線圖、柱狀圖和熱圖，以及儀表板和警報(bào)等功能。

這三個(gè)工具一起構(gòu)成了ELK這個(gè)強(qiáng)大的平臺，用于管理和分析日志和其他類型的數(shù)據(jù)，通常稱為ELK堆?；驈椥远褩！LK堆棧廣泛用于IT運(yùn)營、安全監(jiān)控和業(yè)務(wù)分析，以從大量數(shù)據(jù)中獲得見解。

3、將SIEM數(shù)據(jù)輸入ELK

對于希望將SIEM的安全事件管理功能與ELK的日志管理和分析功能結(jié)合起來的企業(yè)來說，將SIEM數(shù)據(jù)輸入ELK堆棧非常有用。

以下是將SIEM數(shù)據(jù)輸入ELK的高級步驟：

（1）配置SIEM將日志數(shù)據(jù)發(fā)送到Logstash，這是ELK堆棧的一部分。

（2）創(chuàng)建一個(gè)Logstash配置文件，定義SIEM數(shù)據(jù)的輸入、篩選器和輸出。

（3）啟動Logstash并驗(yàn)證它正在正確地接收和處理SIEM數(shù)據(jù)。

（4）配置Elasticsearch以接收和存儲SIEM數(shù)據(jù)。

（5）創(chuàng)建Kibana可視化和儀表板來顯示SIEM數(shù)據(jù)。

以下是一個(gè)Logstash配置文件的例子，它接收來自SIEM的Syslog消息，并將它們發(fā)送到Elasticsearch：

Python

1  input {
2   syslog {
3   type => "syslog"
4    port => 5514
5   }
6   }
7  filter {
8   if [type] == "syslog" {
9  grok {
10  match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
11  add_field => [ "received_at", "%{@timestamp}" ]
12   add_field => [ "received_from", "%{host}" ]
13    }
14   }
15   }
16
17  output {
18  elasticsearch {
19   hosts => ["localhost:9200"]
20     index => "siem"
21  }
22  }

一旦Logstash配置并運(yùn)行，SIEM數(shù)據(jù)將被輸入Elasticsearch，并可以在Kibana中進(jìn)行可視化和分析。確保適當(dāng)?shù)陌踩胧┑轿灰员Ｗo(hù)SIEM和ELK環(huán)境，并監(jiān)控和警報(bào)任何安全事件是很重要的。

4、檢測主機(jī)黑客攻擊

在ELK中使用SIEM檢測主機(jī)黑客攻擊企圖涉及監(jiān)視和分析系統(tǒng)日志和網(wǎng)絡(luò)流量，以識別可能表明黑客攻擊企圖的可疑活動。以下是在ELK中使用SIEM設(shè)置主機(jī)黑客攻擊企業(yè)檢測的一些步驟：

配置主機(jī)，將系統(tǒng)日志和網(wǎng)絡(luò)流量發(fā)送到集中的日志收集系統(tǒng)。

設(shè)置Logstash來接收和解析來自主機(jī)的日志和網(wǎng)絡(luò)流量數(shù)據(jù)。

配置Elasticsearch存儲解析后的日志數(shù)據(jù)。

使用Kibana分析日志數(shù)據(jù)并創(chuàng)建儀表板和警報(bào)，以識別潛在的黑客嘗試。

以下是一些可用于檢測主機(jī)黑客企圖的特定技術(shù)：

• 監(jiān)控失敗的登錄嘗試：從單個(gè)IP地址尋找重復(fù)失敗的登錄嘗試，這可能表明是暴力攻擊。使用Logstash來解析失敗登錄事件的系統(tǒng)日志，并創(chuàng)建Kibana儀表板或警報(bào)來監(jiān)控過多的失敗登錄嘗試。
• 監(jiān)控可疑網(wǎng)絡(luò)流量：查找可疑網(wǎng)絡(luò)流量或者來自已知惡意IP地址或域的網(wǎng)絡(luò)流量。使用Logstash解析網(wǎng)絡(luò)流量數(shù)據(jù)并創(chuàng)建Kibana儀表板或警報(bào)來監(jiān)視可疑的流量模式。
• 監(jiān)視文件系統(tǒng)更改：查找對系統(tǒng)文件或設(shè)置的未經(jīng)授權(quán)的更改。使用Logstash解析文件系統(tǒng)更改事件，并創(chuàng)建Kibana指示板或警報(bào)來監(jiān)視未經(jīng)授權(quán)的更改。
• 監(jiān)視可疑的進(jìn)程活動：查找正在以較高權(quán)限運(yùn)行的進(jìn)程或正在執(zhí)行異常操作的進(jìn)程。使用Logstash解析流程事件并創(chuàng)建一個(gè)Kibana儀表板或警報(bào)來監(jiān)視可疑的流程活動。

通過實(shí)現(xiàn)這些技術(shù)并定期監(jiān)控日志和網(wǎng)絡(luò)流量，企業(yè)可以提高他們在ELK中使用SIEM檢測和響應(yīng)主機(jī)黑客攻擊企圖的能力。

5、在ELK中配置警報(bào)以檢測主機(jī)黑客攻擊企圖

要在ELK中配置警報(bào)以檢測主機(jī)黑客攻擊企圖，用戶可以遵循以下常規(guī)步驟：

（1）在Kibana中創(chuàng)建一個(gè)搜索查詢，過濾主機(jī)黑客攻擊企圖的日志。例如，用戶可以使用以下搜索查詢來檢測失敗的登錄嘗試：

Python?

1 from elasticsearch import Elasticsearch
2
3 es = Elasticsearch()
4
5  search_query = {
6  "query": {
7   "bool": {
8    "must": [
9   {
10   "match": {
11   "event.dataset": "auth"
12    }
13   },
14   {
15     "match": {
16    "event.action": "failed_login"
17    }
18   }
19   ]
20  }
21  }
22  }
23
24 res = es.search(index="siem", body=search_query)
25
26  for hit in res['hits']['hits']:
27   print(hit['_source'])

（2）創(chuàng)建搜索查詢后，將其保存為Kibana saved search。

（3）進(jìn)入Kibana Kibana警報(bào)和操作界面，創(chuàng)建一個(gè)新的警報(bào)。選擇在第2步中創(chuàng)建的保存的搜索作為警報(bào)的基礎(chǔ)。

（4）將警報(bào)配置為當(dāng)滿足某個(gè)閾值時(shí)觸發(fā)。例如，可以將警報(bào)配置為在5分鐘窗口內(nèi)有超過5次失敗的登錄嘗試時(shí)觸發(fā)。

（5）配置警報(bào)，在觸發(fā)時(shí)發(fā)送通知，例如電子郵件或Slack消息。

（6）測試警報(bào)，以確保其工作如預(yù)期。

一旦配置了警報(bào)，它將在檢測到主機(jī)黑客嘗試事件時(shí)自動觸發(fā)，例如登錄嘗試失敗。這可以幫助企業(yè)高效地檢測和響應(yīng)安全威脅。定期檢查和更新警報(bào)以確保它們檢測到最相關(guān)和最重要的安全事件是很重要的。

結(jié)論

使用ELK檢測主機(jī)黑客企圖是增強(qiáng)企業(yè)安全態(tài)勢的一種有效方法。ELK提供了日志收集、解析、存儲、分析和警報(bào)功能的強(qiáng)大組合，使企業(yè)能夠?qū)崟r(shí)檢測和響應(yīng)主機(jī)黑客攻擊企圖。

通過監(jiān)視系統(tǒng)日志和網(wǎng)絡(luò)流量，并使用高級搜索查詢和警報(bào)機(jī)制，ELK可以幫助企業(yè)檢測廣泛的主機(jī)黑客攻擊企圖，包括失敗的登錄嘗試、可疑的網(wǎng)絡(luò)流量、文件系統(tǒng)更改和可疑的進(jìn)程活動。

使用ELK實(shí)現(xiàn)健壯的主機(jī)黑客攻擊企圖檢測策略需要仔細(xì)的規(guī)劃、配置和測試。比如，使用正確的專業(yè)知識和工具，企業(yè)可以創(chuàng)建一個(gè)全面的安全監(jiān)控系統(tǒng)，提供對網(wǎng)絡(luò)的實(shí)時(shí)可見性，改善事件響應(yīng)時(shí)間，并幫助在安全漏洞發(fā)生之前進(jìn)行預(yù)防。

原文鏈接：https://dzone.com/articles/host-hack-attempt-detection-using-elk