文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

如何使用ELK进行主机黑客攻击企图的检测

2024-11-30 15:48

关注

51CTO读者成长计划社群招募,咨询小助手(微信号:TTalkxiaozhuli)

使用ELK检测主机黑客攻击企图是增强企业安全态势的一种有效方法。ELK提供了日志收集、解析、存储、分析和警报功能的强大组合,使企业能够实时检测和响应主机黑客攻击企图。  

1、什么是SIEM?

安全信息和事件管理(SIEM)是一个软件解决方案,可以实时分析由网络硬件和应用程序产生的安全警报。SIEM从网络设备、服务器和应用程序等多个来源收集日志数据,然后对这些数据进行关联和分析,以识别安全威胁。

SIEM通过提供跨整个IT基础设施的安全事件的集中视图,可以帮助企业改进其安全态势。它允许安全分析人员快速识别和响应安全事件,并为合规性目的提供详细的报告。

SIEM解决方案的一些关键特性包括:

(1)日志收集和分析。

(2)实时事件关联和警报。

(3)用户和实体行为分析。

(4)威胁情报整合。

(5)合规性报告。

SIEM通常与其他安全解决方案(例如防火墙、入侵检测系统和防病毒软件)一起使用,以提供全面的安全监控和事件响应功能。

2、什么是ELK?

ELK是一组用于日志管理和分析的开源软件工具的缩写:Elasticsearch、Logstash和Kibana。

Elasticsearch是一个分布式搜索和分析引擎,可以快速搜索,高效存储大量数据。它可以进行扩展,能够实时处理大量查询和索引操作。

Logstash是一个数据收集和处理工具,允许用户从多个来源(例如日志文件、syslog和其他数据源)收集日志和其他数据,并在将数据发送到Elasticsearch之前对其进行转换和丰富。

Kibana是一个基于Web的用户界面,允许用户可视化和分析存储在Elasticsearch中的数据。它提供了一系列交互式可视化,例如折线图、柱状图和热图,以及仪表板和警报等功能。

这三个工具一起构成了ELK这个强大的平台,用于管理和分析日志和其他类型的数据,通常称为ELK堆栈或弹性堆栈。ELK堆栈广泛用于IT运营、安全监控和业务分析,以从大量数据中获得见解。

3、将SIEM数据输入ELK

对于希望将SIEM的安全事件管理功能与ELK的日志管理和分析功能结合起来的企业来说,将SIEM数据输入ELK堆栈非常有用。

以下是将SIEM数据输入ELK的高级步骤:

(1)配置SIEM将日志数据发送到Logstash,这是ELK堆栈的一部分。

(2)创建一个Logstash配置文件,定义SIEM数据的输入、筛选器和输出。

(3)启动Logstash并验证它正在正确地接收和处理SIEM数据。

(4)配置Elasticsearch以接收和存储SIEM数据。

(5)创建Kibana可视化和仪表板来显示SIEM数据。

以下是一个Logstash配置文件的例子,它接收来自SIEM的Syslog消息,并将它们发送到Elasticsearch:

Python

1  input {
2 syslog {
3 type => "syslog"
4 port => 5514
5 }
6 }
7 filter {
8 if [type] == "syslog" {
9 grok {
10 match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
11 add_field => [ "received_at", "%{@timestamp}" ]
12 add_field => [ "received_from", "%{host}" ]
13 }
14 }
15 }
16
17 output {
18 elasticsearch {
19 hosts => ["localhost:9200"]
20 index => "siem"
21 }
22 }

一旦Logstash配置并运行,SIEM数据将被输入Elasticsearch,并可以在Kibana中进行可视化和分析。确保适当的安全措施到位以保护SIEM和ELK环境,并监控和警报任何安全事件是很重要的。

4、检测主机黑客攻击

在ELK中使用SIEM检测主机黑客攻击企图涉及监视和分析系统日志和网络流量,以识别可能表明黑客攻击企图的可疑活动。以下是在ELK中使用SIEM设置主机黑客攻击企业检测的一些步骤:

配置主机,将系统日志和网络流量发送到集中的日志收集系统。

设置Logstash来接收和解析来自主机的日志和网络流量数据。

配置Elasticsearch存储解析后的日志数据。

使用Kibana分析日志数据并创建仪表板和警报,以识别潜在的黑客尝试。

以下是一些可用于检测主机黑客企图的特定技术:

通过实现这些技术并定期监控日志和网络流量,企业可以提高他们在ELK中使用SIEM检测和响应主机黑客攻击企图的能力。

5、在ELK中配置警报以检测主机黑客攻击企图

要在ELK中配置警报以检测主机黑客攻击企图,用户可以遵循以下常规步骤:

(1)在Kibana中创建一个搜索查询,过滤主机黑客攻击企图的日志。例如,用户可以使用以下搜索查询来检测失败的登录尝试:

Python​

1 from elasticsearch import Elasticsearch
2
3 es = Elasticsearch()
4
5 search_query = {
6 "query": {
7 "bool": {
8 "must": [
9 {
10 "match": {
11 "event.dataset": "auth"
12 }
13 },
14 {
15 "match": {
16 "event.action": "failed_login"
17 }
18 }
19 ]
20 }
21 }
22 }
23
24 res = es.search(index="siem", body=search_query)
25
26 for hit in res['hits']['hits']:
27 print(hit['_source'])

(2)创建搜索查询后,将其保存为Kibana saved search。

(3)进入Kibana Kibana警报和操作界面,创建一个新的警报。选择在第2步中创建的保存的搜索作为警报的基础。

(4)将警报配置为当满足某个阈值时触发。例如,可以将警报配置为在5分钟窗口内有超过5次失败的登录尝试时触发。

(5)配置警报,在触发时发送通知,例如电子邮件或Slack消息。

(6)测试警报,以确保其工作如预期。

一旦配置了警报,它将在检测到主机黑客尝试事件时自动触发,例如登录尝试失败。这可以帮助企业高效地检测和响应安全威胁。定期检查和更新警报以确保它们检测到最相关和最重要的安全事件是很重要的。

结论

使用ELK检测主机黑客企图是增强企业安全态势的一种有效方法。ELK提供了日志收集、解析、存储、分析和警报功能的强大组合,使企业能够实时检测和响应主机黑客攻击企图。

通过监视系统日志和网络流量,并使用高级搜索查询和警报机制,ELK可以帮助企业检测广泛的主机黑客攻击企图,包括失败的登录尝试、可疑的网络流量、文件系统更改和可疑的进程活动。

使用ELK实现健壮的主机黑客攻击企图检测策略需要仔细的规划、配置和测试。比如,使用正确的专业知识和工具,企业可以创建一个全面的安全监控系统,提供对网络的实时可见性,改善事件响应时间,并帮助在安全漏洞发生之前进行预防。

原文链接:https://dzone.com/articles/host-hack-attempt-detection-using-elk

来源:51CTO技术栈内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯