Datenexport nach Elastic/ELK
Ziel
Die Daten, die eine oder mehrere Installationen von Threat Defender über einen Datenstrom gesammelt haben, können in einer einzigen Instanz von Elasticsearch gesammelt und mit Kibana ausgewertet werden.
Vorbereitung des ELK-Stacks
Wenn Sie noch keinen ELK-Stack implementiert haben, richten Sie Elasticsearch, Kibana und Filebeat ein (weitere Informationen finden Sie in der jeweiligen Dokumentation).
Führen Sie Elasticsearch und Kibana aus.
Einrichtung von Filebeat
Richten Sie Filebeat ein, um die von Threat Defender bereitgestellten Daten zu verarbeiten.
Fügen Sie im Filebeat-Verzeichnis eine neue Datei namens
genua_ipfix.yml
mit den spezifischen Definitionen unserer PEN hinzu:
45480:
10:
- :uint16
- :dpiProtocol
11:
- :uint16
- :dpiApplication
12:
- :uint16
- :dpiSrcOS
13:
- :uint32
- :dpiClassification
14:
- :uint32
- :dpiInSslClassification
20:
- :string
- :countrySource
21:
- :string
- :countryDestination
30:
- :string
- :policyRuleId
31:
- :uint32
- :iPSRuleId
32:
- :string
- :policyRuleName
33:
- :uint8
- :policyRuleAction
34:
- :string
- :policyId
35:
- :string
- :policyName
36:
- :uint8
- :logSeverity
37:
- :uint8
- :cognitixScenarioHit
50:
- :string
- :url
51:
- :uint16
- :urlCategory
52:
- :uint16
- :urlReputation
60:
- :string
- :fileTransferFilename
70:
- :uint16
- :iocFeedId
71:
- :uint32
- :iocIpv4
72:
- :string
- :iocDomain
73:
- :uint64
- :iocUrl
74:
- :string
- :iocFeedName
75:
- :uint8
- :iocValueType
76:
- :string
- :iocValue
80:
- :uint8
- :srcLocation
81:
- :uint8
- :dstLocation
90:
- :string
- :srcAssetId
91:
- :string
- :dstAssetId
92:
- :string
- :userId
Bearbeiten Sie
filebeat.yml
und fügen Sie folgendes Element hinzu:
filebeat.inputs:
- type: netflow
host: "0.0.0.0:2055"
protocols: [ ipfix ]
max_message_size: 50KiB
custom_definitions:
- <oben erstellter, absoluter Pfad zu genua_ipfix.yml>
Führen Sie Filebeat aus.
Einrichtung von Threat Defender
Konfigurieren Sie Threat Defender so, dass IPFIX-Daten an Filebeat gesendet werden:
Gehen Sie auf Logging > Report Channels.
Klicken Sie Add, um einen neuen Benachrichtigungskanal hinzuzufügen.
Auf dem Einstellungsbildschirm stellen Sie Folgendes ein:
Report Type:
IPFIX
Message Type: Wählen Sie
Flow Reports
. Sie können nach Bedarf zusätzliche Typen auswählen:Observation Domain Id: Darf
0
sein, wenn Sie nur einen Threat Defender verwenden. Andernfalls stellen Sie für jeden Threat Defender einen anderen Wert ein, damit die Berichtsquellen unterschieden werden können.Update Interval:
30 seconds
Endpoint:
UDP
IP Address: Geben Sie die IP-Adresse Ihrer Filebeat-Installation ein.
Port:
2055
(der Port Ihrer Filebeat-Installation wie infilebeat.yml
definiert)Reconnection Delay:
15 seconds
Klicken Sie auf SAVE, um Ihre Einstellungen zu speichern und das Einstellungsfenster zu schließen. Der neue IPFIX-Kanal wird nun in der Liste der konfigurierten Benachrichtigungskanäle angezeigt.
Klicken Sie auf APPLY CHANGES oben in der Menüleiste, um Ihre Konfigurationsänderungen zu aktivieren.
Als Ergebnis sollte der Status des neu konfigurierten IPFIX-Kanals auf connected
wechseln und eine steigende Anzahl von übertragenen Ereignissen anzeigen.
Prüfung von Kibana
Öffnen Sie Kibana in Ihrem Browser (siehe die Dokumentation von Kibana für weitere Informationen). Im Dashboard-Bereich wählen Sie das Dashboard Netflow Overview
, um einen schnellen Überblick zu bekommen. Weiterhin können Sie im SIEM-Bereich vordefinierte Statistiken ansehen oder im Bereich Discover
eigene entdecken. Sie können Netflow-Ereignisse vorauswählen, indem Sie input.type: netflow
als Suchfilter verwenden.