Tässä moduulissa harjoitellaan SIEM -järjestelmän perusteita ja käytämme tähän avoimen lähdekoodin ELK stack-ohjelmistoa. Emme käy tällä kurssilla läpi, kuinka ELK ympäristön saa laitettua pystyyn, vaan keskitymme lähinnä tämän käyttöön. SIEM -järjestelmien käyttämisen periaatteet eivät eroa toisistaan.
Tämän harjoituksen ympäristö koostuu kolmesta palikasta. Meillä on SIEM -järjestelmä, johon tallennamme lokeja ja mistä suoritamme tietoturvavalvontaa. Sitten meillä on valvonnan alla oleva kone, jonka lokeja haluamme tallentaa SIEM -järjestelmään. Lopuksi meillä on hallintaa varten tarkoitettu kone, jonka kautta kirjaudumme valvonnan alla olevaan koneeseen.
Lokituksen lisääminen SIEM -järjestelmään
Aloita käynnistämällä yllä oleva harjoitus ja seuraa alla olevia vaiheita omassa tahdissasi. Kun harjoitus on käynnistynyt, niin avaa kibana palvelu. Navigoi Add integrations ja hae sanoilla system logs, niin löydät haluamamme moduulin.
Avaa kyseinen moduuli, niin saat näkyviin ohjeet, kuinka asennat tämän kohdekoneelle. Ota seuraavaksi SSH yhteys sisäverkon kohteeseen. SSH käyttäjänimi on ubuntu ja salasana on hakatemia.
Filebeat -ohjelman asennus -ja konfigurointi
Tarvitsemme kyvyn siirtää valvonnan alla olevalta koneelta tärkeät lokilähteet käytössä olevaan SIEM -järjestelmään siten, että tämä siirto tapahtuu vaivattomasti ja mitä tärkeintä automaattisesti. Tähän löytyy ohjelma nimeltään filebeat.
Filebeat on kevyt avoimen lähdekoodin ohjelmisto, joka on osa Elastic Stackiä (ELK Stack). Sen pääasiallinen tarkoitus on kerätä, siirtää ja toimittaa lokia ja muita rakenteellisia tiedostoja erilaisista lähteistä. Suorita ohjeen ensimmäisen vaiheen komennot, jotta saat asennettua kyseisen filebeat ohjelman.
Huom: Johtuen labraympäristön rajoituksista, curl komento ei välttämättä toimi. Löydät filebeat asennuspaketin /home/ubuntu/ kansiosta.
Kun olet asentanut filebeat ohjelmiston, niin suoritetaan seuraavat konfiguraatiomuutokset.
Muokataan ensin tiedostoa /etc/filebeat/filebeat.yml seuraavan näköiseksi, jotta filebeat ohjelma tietää, minne lokit täytyy toimittaa.
- setup.kibana kohdassa muuta riviä "host" niin että se ei ole kommentoitu ulos risuaidalla.
- output.elasticsearch kohdassa muuta rivejä "username" ja "password" kenttien arvo on "hakatemia" ja että niitä ei ole kommentoitu ulos.
Arvoissa käytetään localhostia, koska tässä labrassa sekä ElasticSearch, Kibana, Logstash että Linux-kone jonka lokeja ollaan nyt ohjaamassa ELK:iin sattuvat olemaan käytännössä samalla palvelimella. Reaalimaailmassa nämä löytyvät useasti eri IP-osoitteista, mutta siitä ei tarvitse nyt välittää.
Ja sitten suoritetaan seuraava komento, jolla otetaan käyttöön system moduuli filebeat ohjelmistossa.
sudo filebeat modules enable system
Ja muokataan lopuksi vielä ohjeiden mukaisesti moduulin konfiguraatiotiedostoa /etc/filebeat/modules.d/system.yml seuraavan näköiseksi, eli käännetään molemmat false arvot true arvoiksi.
Filebeat ohjelmiston käynnistäminen
Kohdekoneella meidän tarvitsee käynnistää lokitukseen liittyvä ohjelmisto, joka ei itsessään liity SIEM:iin tai tämän lokituksen konfigurointiin. Tämä johtuu labraympäristöstä. Aja seuraava komento ennen kuin siirryt vaiheissa eteenpäin.
sudo service syslog-ng start
Nyt voimme käynnistää filebeat ohjelman, jonka jälkeen tämän pitäisi automaattisesti toimittaa kohdejärjestelmään liittyvää lokia, kuten esimerkiksi SSH kirjautumiset. Setup-komennolla voi kestää jokunen minuutti.
sudo filebeat setup
sudo service filebeat start
Voimme vielä varmistaa, että kaikki toimii kuten haluamme, painamalla Check Data nappia kibanan puolelta. Tässäkin saattaa minuutin verran mennä ennen kuin alkaa näkyä.
Voit tarkastella lokeja siirtymällä System Syslog Dashboardille.
SSH kirjautumiset SIEM -järjestelmässä
Katsotaan, että miltä SSH kirjautumiset näyttävät SIEMissä. Kirjaudu SSH:lla ulos ja sisään normaalisti, että lokia syntyy.
Yllä olevasta kuvasta näemme, että yritimme ensin kirjautua sisään väärällä salasanalla ja sitten kirjauduimme sisään onnistuneesti.
Jos haluaisit lisätä Azure Logs integraation, niin minkä nimisen moduulin sinun pitäisi enabloida filebeat ohjelmalla? - kirjoita koko komento.
Valmis ryhtymään eettiseksi hakkeriksi?
Aloita jo tänään.
Hakatemian jäsenenä saat rajoittamattoman pääsyn Hakatemian moduuleihin, harjoituksiin ja työkaluihin, sekä pääset discord-kanavalle jossa voit pyytää apua sekä ohjaajilta että muilta Hakatemian jäseniltä.