您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

如何使用ELK进行主机黑客攻击企图的检测

时间:2023-04-21 12:30:45  来源:51CTO  作者:李睿
译者 | 李睿

审校 | 重楼

使用ELK检测主机黑客攻击企图是增强企业安全态势的一种有效方法。ELK提供了日志收集、解析、存储、分析和警报功能的强大组合,使企业能够实时检测和响应主机黑客攻击企图。  

1、什么是SIEM?

 

安全信息和事件管理(SIEM)是一个软件解决方案,可以实时分析由网络硬件和应用程序产生的安全警报。SIEM从网络设备、服务器和应用程序等多个来源收集日志数据,然后对这些数据进行关联和分析,以识别安全威胁。

 

SIEM通过提供跨整个IT基础设施的安全事件的集中视图,可以帮助企业改进其安全态势。它允许安全分析人员快速识别和响应安全事件,并为合规性目的提供详细的报告。

 

SIEM解决方案的一些关键特性包括:

 

(1)日志收集和分析。

(2)实时事件关联和警报。

(3)用户和实体行为分析。

(4)威胁情报整合。

(5)合规性报告。

 

SIEM通常与其他安全解决方案(例如防火墙、入侵检测系统和防病毒软件)一起使用,以提供全面的安全监控和事件响应功能。

2、什么是ELK?

 

ELK是一组用于日志管理和分析的开源软件工具的缩写:Elasticsearch、Logstash和Kibana。

 

Elasticsearch是一个分布式搜索和分析引擎,可以快速搜索,高效存储大量数据。它可以进行扩展,能够实时处理大量查询和索引操作。

 

Logstash是一个数据收集和处理工具,允许用户从多个来源(例如日志文件、syslog和其他数据源)收集日志和其他数据,并在将数据发送到Elasticsearch之前对其进行转换和丰富。

 

Kibana是一个基于Web的用户界面,允许用户可视化和分析存储在Elasticsearch中的数据。它提供了一系列交互式可视化,例如折线图、柱状图和热图,以及仪表板和警报等功能。

 

这三个工具一起构成了ELK这个强大的平台,用于管理和分析日志和其他类型的数据,通常称为ELK堆栈或弹性堆栈。ELK堆栈广泛用于IT运营、安全监控和业务分析,以从大量数据中获得见解。

3、将SIEM数据输入ELK

 

对于希望将SIEM的安全事件管理功能与ELK的日志管理和分析功能结合起来的企业来说,将SIEM数据输入ELK堆栈非常有用。

 

以下是将SIEM数据输入ELK的高级步骤:

 

(1)配置SIEM将日志数据发送到Logstash,这是ELK堆栈的一部分。

(2)创建一个Logstash配置文件,定义SIEM数据的输入、筛选器和输出。

(3)启动Logstash并验证它正在正确地接收和处理SIEM数据。

(4)配置Elasticsearch以接收和存储SIEM数据。

(5)创建Kibana可视化和仪表板来显示SIEM数据。

 

以下是一个Logstash配置文件的例子,它接收来自SIEM的Syslog消息,并将它们发送到Elasticsearch:

 

Python/ target=_blank class=infotextkey>Python

1  input {
2   syslog {
3   type => "syslog"
4    port => 5514
5   }
6   }
7  filter {
8   if [type] == "syslog" {
9  grok {
10  match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:[%{POSINT:syslog_pid}])?: %{GREEDYDATA:syslog_message}" }
11  add_field => [ "received_at", "%{@timestamp}" ]
12   add_field => [ "received_from", "%{host}" ]
13    }
14   }
15   }
16
17  output {
18  elasticsearch {
19   hosts => ["localhost:9200"]
20     index => "siem"
21  }
22  }

一旦Logstash配置并运行,SIEM数据将被输入Elasticsearch,并可以在Kibana中进行可视化和分析。确保适当的安全措施到位以保护SIEM和ELK环境,并监控和警报任何安全事件是很重要的。

4、检测主机黑客攻击

 

在ELK中使用SIEM检测主机黑客攻击企图涉及监视和分析系统日志和网络流量,以识别可能表明黑客攻击企图的可疑活动。以下是在ELK中使用SIEM设置主机黑客攻击企业检测的一些步骤:

 

配置主机,将系统日志和网络流量发送到集中的日志收集系统。

设置Logstash来接收和解析来自主机的日志和网络流量数据。

配置Elasticsearch存储解析后的日志数据。

使用Kibana分析日志数据并创建仪表板和警报,以识别潜在的黑客尝试。

 

以下是一些可用于检测主机黑客企图的特定技术:

 

  • 监控失败的登录尝试:从单个IP地址寻找重复失败的登录尝试,这可能表明是暴力攻击。使用Logstash来解析失败登录事件的系统日志,并创建Kibana仪表板或警报来监控过多的失败登录尝试。
  • 监控可疑网络流量:查找可疑网络流量或者来自已知恶意IP地址或域的网络流量。使用Logstash解析网络流量数据并创建Kibana仪表板或警报来监视可疑的流量模式。
  • 监视文件系统更改:查找对系统文件或设置的未经授权的更改。使用Logstash解析文件系统更改事件,并创建Kibana指示板或警报来监视未经授权的更改。
  • 监视可疑的进程活动:查找正在以较高权限运行的进程或正在执行异常操作的进程。使用Logstash解析流程事件并创建一个Kibana仪表板或警报来监视可疑的流程活动。

 

通过实现这些技术并定期监控日志和网络流量,企业可以提高他们在ELK中使用SIEM检测和响应主机黑客攻击企图的能力。

5、在ELK中配置警报以检测主机黑客攻击企图

 

要在ELK中配置警报以检测主机黑客攻击企图,用户可以遵循以下常规步骤:

 

(1)在Kibana中创建一个搜索查询,过滤主机黑客攻击企图的日志。例如,用户可以使用以下搜索查询来检测失败的登录尝试:

 

Python​

1 from elasticsearch import Elasticsearch
2
3 es = Elasticsearch()
4
5  search_query = {
6  "query": {
7   "bool": {
8    "must": [
9   {
10   "match": {
11   "event.dataset": "auth"
12    }
13   },
14   {
15     "match": {
16    "event.action": "fAIled_login"
17    }
18   }
19   ]
20  }
21  }
22  }
23
24 res = es.search(index="siem", body=search_query)
25
26  for hit in res['hits']['hits']:
27   print(hit['_source'])

(2)创建搜索查询后,将其保存为Kibana saved search。

 

(3)进入Kibana Kibana警报和操作界面,创建一个新的警报。选择在第2步中创建的保存的搜索作为警报的基础。

 

图片

 

(4)将警报配置为当满足某个阈值时触发。例如,可以将警报配置为在5分钟窗口内有超过5次失败的登录尝试时触发。

 

(5)配置警报,在触发时发送通知,例如电子邮件或Slack消息。

 

(6)测试警报,以确保其工作如预期。

 

一旦配置了警报,它将在检测到主机黑客尝试事件时自动触发,例如登录尝试失败。这可以帮助企业高效地检测和响应安全威胁。定期检查和更新警报以确保它们检测到最相关和最重要的安全事件是很重要的。

结论

 

使用ELK检测主机黑客企图是增强企业安全态势的一种有效方法。ELK提供了日志收集、解析、存储、分析和警报功能的强大组合,使企业能够实时检测和响应主机黑客攻击企图。

 

通过监视系统日志和网络流量,并使用高级搜索查询和警报机制,ELK可以帮助企业检测广泛的主机黑客攻击企图,包括失败的登录尝试、可疑的网络流量、文件系统更改和可疑的进程活动。

 

使用ELK实现健壮的主机黑客攻击企图检测策略需要仔细的规划、配置和测试。比如,使用正确的专业知识和工具,企业可以创建一个全面的安全监控系统,提供对网络的实时可见性,改善事件响应时间,并帮助在安全漏洞发生之前进行预防。

 

原文链接:https://dzone.com/articles/host-hack-attempt-detection-using-elk



Tags:ELK   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
这样搭建日志中心,传统的ELK就扔了吧!
最近客户有个新需求,就是想查看网站的访问情况。由于网站没有做google的统计和百度的统计,所以访问情况,只能通过日志查看,通过脚本的形式给客户导出也不太实际,给客户写个简单的...【详细内容】
2024-03-20  Search: ELK  点击:(4)  评论:(0)  加入收藏
ELK 处理 Spring Boot 日志,不错!
大家好,我是不才陈某~在排查线上异常的过程中,查询日志总是必不可缺的一部分。现今大多采用的微服务架构,日志被分散在不同的机器上,使得日志的查询变得异常困难。工欲善其事,必...【详细内容】
2023-09-13  Search: ELK  点击:(345)  评论:(0)  加入收藏
如何使用ELK进行主机黑客攻击企图的检测
译者 | 李睿审校 | 重楼使用ELK检测主机黑客攻击企图是增强企业安全态势的一种有效方法。ELK提供了日志收集、解析、存储、分析和警报功能的强大组合,使企业能够实时检测和响...【详细内容】
2023-04-21  Search: ELK  点击:(267)  评论:(0)  加入收藏
Docker环境下,如何搭建ELK堆栈?详细教程和使用分析
我们将使用Docker Compose来定义和运行ELK堆栈。我们需要创建一个docker-compose.yml文件来指定ELK容器的配置。在本文中,我们将探讨如何在Docker环境下搭建ELK(Elasticsearch...【详细内容】
2023-02-23  Search: ELK  点击:(269)  评论:(0)  加入收藏
Loki日志系统,比ELK轻量多了
Grafana Loki 是一个日志聚合工具,它是功能齐全的日志堆栈的核心。图片来自 包图网先看看结果有多轻量吧: Loki 是一个为有效保存日志数据而优化的数据存储。日志数据的高效索...【详细内容】
2021-09-14  Search: ELK  点击:(647)  评论:(0)  加入收藏
分布式日志管理系统:从ELK到EFK
在我们的服务器上通常会生成各种日志文件,比如系统日志、 应用日志、安全日志。当系统发生故障时,工程师需要登录到服务器上,在日志里查找故障原因。如果定位到处理请求的服务...【详细内容】
2021-06-01  Search: ELK  点击:(714)  评论:(0)  加入收藏
基于ELK一次集群实战
开始之前先了解一下什么是ELK ELK:大型分布式日志分析系统ELK elasticsearch(存储日志)+logstash(收集日志)+kibana(展示数据)Elasticsearch:Elasticsearch (ES)是一个基于Luce...【详细内容】
2021-04-30  Search: ELK  点击:(588)  评论:(0)  加入收藏
快速搞定docker部署Filebeat、ELK全家桶
本文介绍使用docker安装部署Filebeat与Elasticsearch、Logstash、Kibana(简称ELK)全家桶7.5.1。如果熟悉框架的话,直接copy配置文件与docker命令,简单删减和修改路径,即可快速启...【详细内容】
2021-03-22  Search: ELK  点击:(1156)  评论:(0)  加入收藏
再见,ELK
Loki 作为一个新兴的日志解决方案,现在越来越受到关注。经过调研比较,我们正在将日志服务底层逐步从 ES 替换为 Loki 。图片来自 Pexels本文基于我们对 Loki 的使用和理解,从它...【详细内容】
2020-12-23  Search: ELK  点击:(562)  评论:(0)  加入收藏
运维日志分析工具ELK:Windows与Linux皆可安装
一般提到监控,很多人就会想到监控服务器运行状态,网络运行状态。其实由于业务需要,服务器和网络设备每时每刻产生的海量日志也同样的重要。 为什么选用ELK? 首先我们来了解一下E...【详细内容】
2020-11-18  Search: ELK  点击:(423)  评论:(0)  加入收藏
▌简易百科推荐
如何使用免费网络安全工具Canary Tokens查明黑客何时访问了您的文件?
译者 | 布加迪审校 | 重楼担心您的个人文件被黑客窃取吗?Canary Tokens是一款免费且易于使用的工具,可以快速部署。如果黑客打开您的文件,它就会通知您。什么是Canary Tokens?Ca...【详细内容】
2024-03-26    51CTO  Tags:Canary Tokens   点击:(13)  评论:(0)  加入收藏
如何用ChatGPT分析恶意软件
译者 | 陈峻审校 | 重楼自从我们进入数字化时代以来,恶意软件就一直是计算机应用系统的“心腹大患”。事实上,每一次技术进步都会为恶意行为者提供更多的工具,使得他们的攻击行...【详细内容】
2023-12-12    51CTO  Tags:恶意软件   点击:(200)  评论:(0)  加入收藏
NGFW:网络工程师必备防火墙
在网络技术飞速发展的今天,防火墙已成为网络工程师必备的防御工具之一。而其中,下一代防火墙(NGFW)凭借其高效、智能的防护特点,更是成为了业界的明星产品。本文将详细介绍NGFW的...【详细内容】
2023-12-12    历史痕迹  Tags:防火墙   点击:(131)  评论:(0)  加入收藏
如何保护应用?Web应用防火墙详细解读
如今,多云环境、API安全功能扩展、合作伙伴集成即时可用、可用性和可视化增强以及提高自动化程度已经成为基本要求。伴随企业应用架构的迁移,在用户端,需要在部署环境不断扩展...【详细内容】
2023-12-06  科技信息分析者    Tags:防火墙   点击:(134)  评论:(0)  加入收藏
八个优秀开源内网穿透工具
内网穿透(NAT穿透)是一种将本地网络服务暴露给互联网的一种技术。这种技术可以很好地解决许多局域网内的资源共享。采用路由的方式将一台计算机变成一个“路由器”,将公共的网...【详细内容】
2023-11-29  andflow  微信公众号  Tags:内网穿透   点击:(213)  评论:(0)  加入收藏
十个最佳免费 Linux 防火墙工具
概述防火墙是保护网络边界的关键。防火墙会阻止敏感端口并过滤传入和传出流量,以阻止恶意连接并确保不会发生未经请求的数据交换。在自由开源软件的世界里,有很多防火墙解决方...【详细内容】
2023-11-28  雪竹聊技术  今日头条  Tags:防火墙   点击:(173)  评论:(0)  加入收藏
防火墙与杀毒软件有什么区别?
硬件防火墙:系统是嵌入式的系统。一般开源的较多。硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的。软件防火墙:一般寄生在操作系统平台。软件防火墙是通过纯...【详细内容】
2023-11-16    天铭互联网  Tags:防火墙   点击:(215)  评论:(0)  加入收藏
ngrok-内网穿透神器,开发人员必备
概述ngrok是一款开源的网络服务,能够为在本地运行的网络应用提供公开的、基于互联网的URL。这使得网络开发人员可以将自己正在开发的网页或者API暴露到互联网上,方便进行演示...【详细内容】
2023-10-07  阿拉尔的阳光  今日头条  Tags:内网穿透   点击:(102)  评论:(0)  加入收藏
“二次约会”间谍软件分析报告:网络攻击西北工业大学 美国相关人员真实身份被锁定
近日,国家计算机病毒应急处理中心和360公司对名为“二次约会”(SecondDate)的“间谍”软件进行了技术分析,该“间谍”软件针对基于FreeBSD、Linux、Sun Solaris、Juniper JunOS...【详细内容】
2023-09-14    央视新闻客户端  Tags:间谍软件   点击:(302)  评论:(0)  加入收藏
DNSBin:一款功能强大的DNS与服务器安全测试工具
关于DNSBinDNSBin是一款功能强大的DNS与服务器安全测试工具,该工具可以通过DNS来测试数据泄露,并在目标环境部署了严苛网络安全限制的场景下帮助广大研究人员测试远程代码执...【详细内容】
2023-09-08    FreeBuf.COM  Tags:DNSBin   点击:(245)  评论:(0)  加入收藏
站内最新
站内热门
站内头条