Hướng dẫn tích hợp Suricata với ELK

Sýnesis™ Lite for Suricata cung cấp phân tích nhật ký cơ bản cho Suricata IDS/IPS bằng Elastic Stack. Đây là 1 giải pháp thu thập và phân tích log eve.json của suricata. Điều này bao gồm alerts, flows, http, dns, statistics và các loại log khác.

synesis_lite_suricata

Hướng dẫn cài đặt ELK trên Ubuntu 18.04

How To Install Elasticsearch, Logstash, and Kibana (ELK Stack) on Ubuntu  18.04 / Ubuntu 16.04

Ở bài trước, mình đã hướng dẫn các bạn cài đặt Suricata trên Ubuntu 18.04, hôm nay mình sẽ hướng dẫn các bạn cài đặt ELK trên Ubuntu 18.04 để tích hợp với Suricata. ELK giúp chúng ta trực quan log cũng như các cảnh báo của Suricata để ta có 1 cái nhìn tổng quan nhất để quản lý các cảnh báo suricata. Các bạn có thể tham khảo lại hướng dẫn cài đặt Suricata trên Ubuntu 18.04 tại đây.

Hướng dẫn cài đặt Suricata trên Ubuntu 18.04

Suricata - An Open Source IDS / IPS / NSM engine - Hacking Reviews

Suricata là một hệ thống phát hiện xâm nhập dựa trên mã nguồn mở và nó được phát triển bởi Open Information Security Foundation (OISF). Là một công cụ đa luồng, Suricata cung cấp tăng tốc độ và hiệu quả trong việc phân tích lưu lượng mạng. Nó được thiết kế để tương thích với các thành phần an ninh mạng hiện có.

[ELK] [Phần 3] Tổng quan về logstash

Logstash Introduction | Logstash Reference [7.9] | Elastic

Logstash là chữ “L” trong ELK Stack – nền tảng phân tích nhật ký phổ biến nhất thế giới và chịu trách nhiệm tổng hợp dữ liệu từ các nguồn khác nhau, xử lý và gửi dữ liệu xuống đường dẫn, thường được lập chỉ mục trực tiếp trong Elasticsearch. Logstash có thể lấy từ hầu hết mọi nguồn dữ liệu bằng cách sử dụng các plugin đầu vào, áp dụng nhiều loại cải tiến và biến đổi dữ liệu bằng cách sử dụng các plugin bộ lọc và gửi dữ liệu đến một số lượng lớn các điểm đến bằng cách sử dụng các plugin đầu ra. Do đó, vai trò của Logstash trong ngăn xếp là rất quan trọng – nó cho phép bạn lọc, chỉnh sửa và định hình dữ liệu của mình để dễ làm việc hơn.

[ELK] [Phần 2] Hướng dẫn cài đặt ELK

Cài đặt ELK 6.x logs stack để đẩy log – Linux | Network | Services ...

Ở phần trước mình đã có 1 bài tổng quan về các thành phần trong ELK. Trong hướng dẫn này, mình sẽ hướng dẫn các bạn cách cài đặt Elastic Stack trên máy chủ CentOS 7. Mình sẽ hướng dẫn tất cả các thành phần của Elastic Stack – bao gồm Filebeat , Filebeat được sử dụng để chuyển tiếp và tập trung các nhật ký và tệp – và định cấu hình chúng để thu thập và trực quan hóa nhật ký hệ thống.

[ELK] [Phần 1] Tổng quan về ELK

Giới thiệu :

ELK là từ viết tắt của ba dự án mã nguồn mở: Elasticsearch, Logstash và Kibana, phục vụ cho công việc logging. Các phần mềm có chức năng lần lượt như :

  • Elasticsearch: Cơ sở dữ liệu để lưu trữ, tìm kiếm và query log.
  • Logstash: Tiếp nhận log từ nhiều nguồn, sau đó xử lý log và ghi dữ liệu vào Elasticsearch
  • Kibana: Giao diện để quản lý, thống kê log, cho phép người dùng trực quan hóa dữ liệu bằng bảng và đồ thị trong Elasticsearch.

Điểm mạnh của ELK là khả năng thu thập, hiển thị, truy vấn theo thời gian thực. Có thể đáp ứng truy vấn một lượng dữ liệu cực lớn.