Lokilähteen lisääminen ELK Stackiin

Tässä moduulissa harjoitellaan SIEM -järjestelmän perusteita ja käytämme tähän avoimen lähdekoodin ELK stack-ohjelmistoa. Emme käy tällä kurssilla läpi, kuinka ELK ympäristön saa laitettua pystyyn, vaan keskitymme lähinnä tämän käyttöön. SIEM -järjestelmien käyttämisen periaatteet eivät eroa toisistaan.

Tämän harjoituksen ympäristö koostuu kolmesta palikasta. Meillä on SIEM -järjestelmä, johon tallennamme lokeja ja mistä suoritamme tietoturvavalvontaa. Sitten meillä on valvonnan alla oleva kone, jonka lokeja haluamme tallentaa SIEM -järjestelmään. Lopuksi meillä on hallintaa varten tarkoitettu kone, jonka kautta kirjaudumme valvonnan alla olevaan koneeseen.

Lokituksen lisääminen SIEM -järjestelmään

Aloita käynnistämällä yllä oleva harjoitus ja seuraa alla olevia vaiheita omassa tahdissasi. Kun harjoitus on käynnistynyt, niin avaa kibana palvelu. Navigoi **Add integrations **ja hae sanoilla **system logs, **niin löydät haluamamme moduulin.

Avaa kyseinen moduuli, niin saat näkyviin ohjeet, kuinka asennat tämän kohdekoneelle. Ota seuraavaksi SSH yhteys sisäverkon kohteeseen. SSH käyttäjänimi on ubuntu ja salasana on hakatemia.

Filebeat -ohjelman asennus -ja konfigurointi

Tarvitsemme kyvyn siirtää valvonnan alla olevalta koneelta tärkeät lokilähteet käytössä olevaan SIEM -järjestelmään siten, että tämä siirto tapahtuu vaivattomasti ja mitä tärkeintä **automaattisesti. **Tähän löytyy ohjelma nimeltään filebeat.

Filebeat on kevyt avoimen lähdekoodin ohjelmisto, joka on osa Elastic Stackiä (ELK Stack). Sen pääasiallinen tarkoitus on kerätä, siirtää ja toimittaa lokia ja muita rakenteellisia tiedostoja erilaisista lähteistä. Suorita ohjeen ensimmäisen vaiheen komennot, jotta saat asennettua kyseisen filebeat ohjelman.

**Huom: **Johtuen labraympäristön rajoituksista, curl komento ei välttämättä toimi. Löydät filebeat asennuspaketin /home/ubuntu/ kansiosta.

Kun olet asentanut **filebeat **ohjelmiston, niin suoritetaan seuraavat konfiguraatiomuutokset.

Muokataan ensin tiedostoa */etc/filebeat/filebeat.yml *seuraavan näköiseksi, jotta filebeat ohjelma tietää, minne lokit täytyy toimittaa.

• **setup.kibana **kohdassa muuta riviä "host" niin että se ei ole kommentoitu ulos risuaidalla.
• output.elasticsearch kohdassa muuta rivejä "username" ja "password" kenttien arvo on "hakatemia" ja että niitä ei ole kommentoitu ulos.

Arvoissa käytetään localhostia, koska tässä labrassa sekä ElasticSearch, Kibana, Logstash että Linux-kone jonka lokeja ollaan nyt ohjaamassa ELK:iin sattuvat olemaan käytännössä samalla palvelimella. Reaalimaailmassa nämä löytyvät useasti eri IP-osoitteista, mutta siitä ei tarvitse nyt välittää.

Ja sitten suoritetaan seuraava komento, jolla otetaan käyttöön system moduuli filebeat ohjelmistossa.

1sudo filebeat modules enable system

Ja muokataan lopuksi vielä ohjeiden mukaisesti moduulin konfiguraatiotiedostoa */etc/filebeat/modules.d/system.yml *seuraavan näköiseksi, eli käännetään molemmat *false *arvot *true *arvoiksi.

Filebeat ohjelmiston käynnistäminen

Kohdekoneella meidän tarvitsee käynnistää lokitukseen liittyvä ohjelmisto, joka ei itsessään liity SIEM:iin tai tämän lokituksen konfigurointiin. Tämä johtuu labraympäristöstä. Aja seuraava komento ennen kuin siirryt vaiheissa eteenpäin.

1sudo service syslog-ng start

Nyt voimme käynnistää filebeat ohjelman, jonka jälkeen tämän pitäisi automaattisesti toimittaa kohdejärjestelmään liittyvää lokia, kuten esimerkiksi SSH kirjautumiset. Setup-komennolla voi kestää jokunen minuutti.

1sudo filebeat setup
2sudo service filebeat start

Voimme vielä varmistaa, että kaikki toimii kuten haluamme, painamalla *Check Data *nappia kibanan puolelta. Tässäkin saattaa minuutin verran mennä ennen kuin alkaa näkyä.

Voit tarkastella lokeja siirtymällä System Syslog Dashboardille.

SSH kirjautumiset SIEM -järjestelmässä

Katsotaan, että miltä SSH kirjautumiset näyttävät SIEMissä. Kirjaudu SSH:lla ulos ja sisään normaalisti, että lokia syntyy.

Yllä olevasta kuvasta näemme, että yritimme ensin kirjautua sisään väärällä salasanalla ja sitten kirjauduimme sisään onnistuneesti.