Передовые практики Elasticsearch, мониторинг безопасности и реагирование на инциденты
В этой лаборатории мы установим и настроим различные инструменты безопасности и мониторинга для улучшения видимости сети и системы, обнаружения и предотвращения сложных атак, выявления сетевых аномалий и реагирования на них, а также мониторинга действий пользователей и изменений файлов. Основные компоненты, которые мы будем использовать, включают передовые практики Wazuh, Snort, Zeek, kibana и Elasticsearch
В этой статье описаны следующие этапы:
Архитектура сетевой безопасности
Комплексный мониторинг безопасности с помощью Wazuh, Snort, Zeek, Elasticsearch и Kibana
Wazuh — это решение для мониторинга безопасности с открытым исходным кодом, которое будет использоваться для мониторинга всех систем в сети, включая серверы и конечные станции. Он обладает расширенными возможностями обнаружения и может обнаруживать атаки на системном уровне. Мы создадим кластер с двумя серверами управления и научимся использовать Wazuh API. Агент Wazuh будет установлен на всех контролируемых системах и в режиме реального времени будет сообщать об этом серверам управления. Snort будет использоваться как в качестве системы обнаружения вторжений (IDS), так и в качестве системы предотвращения вторжений (IPS). Он будет использоваться для мониторинга всех систем в сети, включая серверы и конечные станции, и обладает расширенными возможностями обнаружения и анализа. Мы настроим Port Span для дублирования всего трафика с серверных коммутаторов и конечных станций на сервер IDS для комплексного мониторинга. В нашей лаборатории мы также создадим правила Snort для обнаружения вредоносного ПО для серверов PowerShell Empire C2 и блокировки атак в реальном времени. Zeek — это инструмент мониторинга сетевой безопасности с открытым исходным кодом, который будет использоваться для мониторинга всех систем в сети, включая серверы и конечные станции. Он способен обнаруживать атаки на сетевом уровне и послужит расширением возможностей Snort, включая обнаружение маяков сетевых подключений к серверам C2. Мы установим серверы Zeek с несколькими датчиками в лаборатории
Лаборатория реагирования на инциденты: повышение прозрачности сети и системы
Elasticsearch будет использоваться для хранения всех журналов и оповещений, собранных Wazuh, Snort и Zeek. Это быстрое решение для баз данных, которое может обрабатывать большие объемы данных. Мы будем использовать Filebeat для отправки журналов и оповещений из этих инструментов в Elasticsearch для хранения и анализа. В лаборатории мы также определим правила машинного обучения и обнаружим аномальный трафик.
Kibana будет использоваться для выполнения запросов и визуализации результатов данных Elasticsearch. Мы создадим расширенные фильтры и будем использовать минимальную безопасность Elasticsearch для изучения возможностей API и машинного обучения.
В целом эта лаборатория призвана предоставить комплексную инфраструктуру мониторинга безопасности и реагирования на инциденты, которая может обнаруживать и реагировать на широкий спектр событий и атак безопасности
Повысьте безопасность сети с помощью этого практического семинара
Серверы Elasticsearch шаг за шагом
В этой лаборатории вы узнаете, как установить Elasticsearch на свой компьютер. Elasticsearch — это мощный полнотекстовый поисковый и аналитический движок с открытым исходным кодом, который можно использовать для быстрой индексации, поиска и анализа больших объемов данных практически в реальном времени.
Лаборатория проведет вас через процесс установки Elasticsearch на вашем компьютере, включая загрузку и установку необходимого программного обеспечения, настройку Elasticsearch в соответствии с вашими потребностями, а также запуск и остановку службы Elasticsearch. К концу лаборатории на вашем компьютере будет запущен и запущен полнофункциональный экземпляр Elasticsearch.
Эта лаборатория предназначена для пользователей, которые не знакомы с Elasticsearch и хотят запустить его на своем компьютере. Предварительный опыт работы с Elasticsearch или другими поисковыми системами не требуется.
Лаборатории Elasticsearch начинаются здесь
Кибана шаг за шагом
Платформа визуализации и исследования данных, входящая в состав Elastic Stack. Он позволяет искать, просматривать данные, хранящиеся в индексах Elasticsearch, и взаимодействовать с ними через веб-интерфейс.
Лаборатория проведет вас через процесс установки Kibana на ваш компьютер, включая загрузку и установку необходимого программного обеспечения, настройку Kibana в соответствии с вашими потребностями, а также запуск и остановку службы Kibana. К концу лаборатории на вашем компьютере будет запущен и запущен полностью функционирующий инстанс Kibana.
Эта лаборатория предназначена для пользователей, которые только знакомы с Kibana и хотят запустить ее на своем компьютере. Предварительный опыт работы с Kibana или другими платформами визуализации данных не требуется.
Лаборатория Kibana начинается здесь
Wazuh EDR шаг за шагом
В этой лаборатории вы узнаете, как установить Wazuh на свой компьютер. Wazuh — это платформа мониторинга безопасности с открытым исходным кодом, которая обеспечивает визуализацию безопасности в облачных и локальных средах. Она включает Elasticsearch, Logstash и Kibana (стек ELK), а также набор правил безопасности для обнаружения угроз, уязвимостей и аномалий.
Лаборатория проведет вас через процесс установки Wazuh на ваш компьютер, включая загрузку и установку необходимого программного обеспечения, настройку Wazuh в соответствии с вашими потребностями, а также запуск и остановку службы Wazuh. К концу лаборатории на вашем компьютере будет запущен и запущен полностью функционирующий экземпляр Wazuh.
Эта лаборатория предназначена для пользователей, которые не знакомы с Wazuh и хотят запустить его на своем компьютере. Предварительный опыт работы с Wazuh или другими платформами мониторинга безопасности не требуется
Лаборатория Wazuh начинается здесь
Ищите IDS шаг за шагом
В этой лаборатории вы узнаете, как установить Zeek (ранее известный как Bro) на свой компьютер. Zeek — это бесплатный монитор сетевой безопасности с открытым исходным кодом, который предоставляет полный набор инструментов для анализа сетевого трафика. Он разработан для использования сетевыми администраторами и специалистами по безопасности для мониторинга, обнаружения и реагирования на угрозы безопасности в сетях.
Лаборатория проведет вас через процесс установки Zeek на ваш компьютер, включая загрузку и установку необходимого программного обеспечения, настройку Zeek в соответствии с вашими потребностями, а также запуск и остановку службы Zeek. К концу лаборатории на вашем компьютере будет запущен и запущен полнофункциональный экземпляр Zeek.
Эта лаборатория предназначена для пользователей, которые не знакомы с Zeek и хотят запустить его на своем компьютере. Предварительный опыт работы с Zeek или другими инструментами мониторинга сетевой безопасности не требуется.
Zeek Labs начинается здесь
Анализ трафика C2 с использованием правил Snort3 IDS/IPS
В этой лаборатории вы узнаете, как использовать правила Snort3 для анализа трафика Command and Control (C2) в вашей сети. Трафик C2 используется злоумышленниками для удаленного управления взломанными системами, поэтому важно обнаруживать и блокировать этот трафик для предотвращения атак на вашу сеть.
Лаборатория проведет вас через процесс настройки Snort3 для обнаружения и анализа трафика C2, включая загрузку и установку необходимого программного обеспечения, настройку правил и настройку оповещений. К концу лабораторной работы вы сможете использовать Snort3 для идентификации и анализа трафика C2 в вашей сети и принятия соответствующих мер для предотвращения потенциальных угроз.
Эта лаборатория предназначена для пользователей, которые знакомы с Snort3 и концепциями сетевой безопасности и хотят научиться использовать Snort3 для обнаружения трафика C2 в своей сети и реагирования на него.
Лаборатории Snort начинаются здесь