審校 | 重樓

51CTO讀者成長計劃社群招募，咨詢小助手（微信號：TTalkxiaozhuli）

使用ELK檢測主機黑客攻擊企圖是增強企業安全態勢的一種有效方法。ELK提供了日志收集、解析、存儲、分析和警報功能的強大組合，使企業能夠實時檢測和響應主機黑客攻擊企圖。  

1、什么是SIEM？

安全信息和事件管理（SIEM）是一個軟件解決方案，可以實時分析由網絡硬件和應用程序產生的安全警報。SIEM從網絡設備、服務器和應用程序等多個來源收集日志數據，然后對這些數據進行關聯和分析，以識別安全威脅。

SIEM通過提供跨整個IT基礎設施的安全事件的集中視圖，可以幫助企業改進其安全態勢。它允許安全分析人員快速識別和響應安全事件，并為合規性目的提供詳細的報告。

SIEM解決方案的一些關鍵特性包括：

（1）日志收集和分析。

（2）實時事件關聯和警報。

（3）用戶和實體行為分析。

（4）威脅情報整合。

（5）合規性報告。

SIEM通常與其他安全解決方案(例如防火墻、入侵檢測系統和防病毒軟件)一起使用，以提供全面的安全監控和事件響應功能。

2、什么是ELK？

ELK是一組用于日志管理和分析的開源軟件工具的縮寫：Elasticsearch、Logstash和Kibana。

Elasticsearch是一個分布式搜索和分析引擎，可以快速搜索，高效存儲大量數據。它可以進行擴展，能夠實時處理大量查詢和索引操作。

Logstash是一個數據收集和處理工具，允許用戶從多個來源(例如日志文件、syslog和其他數據源)收集日志和其他數據，并在將數據發送到Elasticsearch之前對其進行轉換和豐富。

Kibana是一個基于Web的用戶界面，允許用戶可視化和分析存儲在Elasticsearch中的數據。它提供了一系列交互式可視化，例如折線圖、柱狀圖和熱圖，以及儀表板和警報等功能。

這三個工具一起構成了ELK這個強大的平臺，用于管理和分析日志和其他類型的數據，通常稱為ELK堆棧或彈性堆棧。ELK堆棧廣泛用于IT運營、安全監控和業務分析，以從大量數據中獲得見解。

3、將SIEM數據輸入ELK

對于希望將SIEM的安全事件管理功能與ELK的日志管理和分析功能結合起來的企業來說，將SIEM數據輸入ELK堆棧非常有用。

以下是將SIEM數據輸入ELK的高級步驟：

（1）配置SIEM將日志數據發送到Logstash，這是ELK堆棧的一部分。

（2）創建一個Logstash配置文件，定義SIEM數據的輸入、篩選器和輸出。

（3）啟動Logstash并驗證它正在正確地接收和處理SIEM數據。

（4）配置Elasticsearch以接收和存儲SIEM數據。

（5）創建Kibana可視化和儀表板來顯示SIEM數據。

以下是一個Logstash配置文件的例子，它接收來自SIEM的Syslog消息，并將它們發送到Elasticsearch：

Python

1  input {
2   syslog {
3   type => "syslog"
4    port => 5514
5   }
6   }
7  filter {
8   if [type] == "syslog" {
9  grok {
10  match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
11  add_field => [ "received_at", "%{@timestamp}" ]
12   add_field => [ "received_from", "%{host}" ]
13    }
14   }
15   }
16
17  output {
18  elasticsearch {
19   hosts => ["localhost:9200"]
20     index => "siem"
21  }
22  }

一旦Logstash配置并運行，SIEM數據將被輸入Elasticsearch，并可以在Kibana中進行可視化和分析。確保適當的安全措施到位以保護SIEM和ELK環境，并監控和警報任何安全事件是很重要的。

4、檢測主機黑客攻擊

在ELK中使用SIEM檢測主機黑客攻擊企圖涉及監視和分析系統日志和網絡流量，以識別可能表明黑客攻擊企圖的可疑活動。以下是在ELK中使用SIEM設置主機黑客攻擊企業檢測的一些步驟：

配置主機，將系統日志和網絡流量發送到集中的日志收集系統。

設置Logstash來接收和解析來自主機的日志和網絡流量數據。

配置Elasticsearch存儲解析后的日志數據。

使用Kibana分析日志數據并創建儀表板和警報，以識別潛在的黑客嘗試。

以下是一些可用于檢測主機黑客企圖的特定技術：

• 監控失敗的登錄嘗試：從單個IP地址尋找重復失敗的登錄嘗試，這可能表明是暴力攻擊。使用Logstash來解析失敗登錄事件的系統日志，并創建Kibana儀表板或警報來監控過多的失敗登錄嘗試。
• 監控可疑網絡流量：查找可疑網絡流量或者來自已知惡意IP地址或域的網絡流量。使用Logstash解析網絡流量數據并創建Kibana儀表板或警報來監視可疑的流量模式。
• 監視文件系統更改：查找對系統文件或設置的未經授權的更改。使用Logstash解析文件系統更改事件，并創建Kibana指示板或警報來監視未經授權的更改。
• 監視可疑的進程活動：查找正在以較高權限運行的進程或正在執行異常操作的進程。使用Logstash解析流程事件并創建一個Kibana儀表板或警報來監視可疑的流程活動。

通過實現這些技術并定期監控日志和網絡流量，企業可以提高他們在ELK中使用SIEM檢測和響應主機黑客攻擊企圖的能力。

5、在ELK中配置警報以檢測主機黑客攻擊企圖

要在ELK中配置警報以檢測主機黑客攻擊企圖，用戶可以遵循以下常規步驟：

（1）在Kibana中創建一個搜索查詢，過濾主機黑客攻擊企圖的日志。例如，用戶可以使用以下搜索查詢來檢測失敗的登錄嘗試：

Python?

1 from elasticsearch import Elasticsearch
2
3 es = Elasticsearch()
4
5  search_query = {
6  "query": {
7   "bool": {
8    "must": [
9   {
10   "match": {
11   "event.dataset": "auth"
12    }
13   },
14   {
15     "match": {
16    "event.action": "failed_login"
17    }
18   }
19   ]
20  }
21  }
22  }
23
24 res = es.search(index="siem", body=search_query)
25
26  for hit in res['hits']['hits']:
27   print(hit['_source'])

（2）創建搜索查詢后，將其保存為Kibana saved search。

（3）進入Kibana Kibana警報和操作界面，創建一個新的警報。選擇在第2步中創建的保存的搜索作為警報的基礎。

（4）將警報配置為當滿足某個閾值時觸發。例如，可以將警報配置為在5分鐘窗口內有超過5次失敗的登錄嘗試時觸發。

（5）配置警報，在觸發時發送通知，例如電子郵件或Slack消息。

（6）測試警報，以確保其工作如預期。

一旦配置了警報，它將在檢測到主機黑客嘗試事件時自動觸發，例如登錄嘗試失敗。這可以幫助企業高效地檢測和響應安全威脅。定期檢查和更新警報以確保它們檢測到最相關和最重要的安全事件是很重要的。

結論

使用ELK檢測主機黑客企圖是增強企業安全態勢的一種有效方法。ELK提供了日志收集、解析、存儲、分析和警報功能的強大組合，使企業能夠實時檢測和響應主機黑客攻擊企圖。

通過監視系統日志和網絡流量，并使用高級搜索查詢和警報機制，ELK可以幫助企業檢測廣泛的主機黑客攻擊企圖，包括失敗的登錄嘗試、可疑的網絡流量、文件系統更改和可疑的進程活動。

使用ELK實現健壯的主機黑客攻擊企圖檢測策略需要仔細的規劃、配置和測試。比如，使用正確的專業知識和工具，企業可以創建一個全面的安全監控系統，提供對網絡的實時可見性，改善事件響應時間，并幫助在安全漏洞發生之前進行預防。

原文鏈接：https://dzone.com/articles/host-hack-attempt-detection-using-elk