Datenexport nach Elastic/ELK

Ziel

Die Daten, die eine oder mehrere Installationen von Threat Defender über einen Datenstrom gesammelt haben, können in einer einzigen Instanz von Elasticsearch gesammelt und mit Kibana ausgewertet werden.

Vorbereitung des ELK-Stacks

Wenn Sie noch keinen ELK-Stack implementiert haben, richten Sie Elasticsearch, Kibana und Filebeat ein (weitere Informationen finden Sie in der jeweiligen Dokumentation).

Führen Sie Elasticsearch und Kibana aus.

Einrichtung von Filebeat

Richten Sie Filebeat ein, um die von Threat Defender bereitgestellten Daten zu verarbeiten.

  1. Fügen Sie im Filebeat-Verzeichnis eine neue Datei namens genua_ipfix.yml mit den spezifischen Definitionen unserer PEN hinzu:

45480:
   10:
   - :uint16
   - :dpiProtocol
   11:
   - :uint16
   - :dpiApplication
   12:
   - :uint16
   - :dpiSrcOS
   13:
   - :uint32
   - :dpiClassification
   14:
   - :uint32
   - :dpiInSslClassification
   20:
   - :string
   - :countrySource
   21:
   - :string
   - :countryDestination
   30:
   - :string
   - :policyRuleId
   31:
   - :uint32
   - :iPSRuleId
   32:
   - :string
   - :policyRuleName
   33:
   - :uint8
   - :policyRuleAction
   34:
   - :string
   - :policyId
   35:
   - :string
   - :policyName
   36:
   - :uint8
   - :logSeverity
   37:
   - :uint8
   - :cognitixScenarioHit
   50:
   - :string
   - :url
   51:
   - :uint16
   - :urlCategory
   52:
   - :uint16
   - :urlReputation
   60:
   - :string
   - :fileTransferFilename
   70:
   - :uint16
   - :iocFeedId
   71:
   - :uint32
   - :iocIpv4
   72:
   - :string
   - :iocDomain
   73:
   - :uint64
   - :iocUrl
   74:
   - :string
   - :iocFeedName
   75:
   - :uint8
   - :iocValueType
   76:
   - :string
   - :iocValue
   80:
   - :uint8
   - :srcLocation
   81:
   - :uint8
   - :dstLocation
   90:
   - :string
   - :srcAssetId
   91:
   - :string
   - :dstAssetId
   92:
   - :string
   - :userId

  1. Bearbeiten Sie filebeat.yml und fügen Sie folgendes Element hinzu:

filebeat.inputs:
- type: netflow
  host: "0.0.0.0:2055"
  protocols: [ ipfix ]
  max_message_size: 50KiB
  custom_definitions:
    - <oben erstellter, absoluter Pfad zu genua_ipfix.yml>

  1. Führen Sie Filebeat aus.

Einrichtung von Threat Defender

Konfigurieren Sie Threat Defender so, dass IPFIX-Daten an Filebeat gesendet werden:

  1. Gehen Sie auf Logging > Report Channels.

  2. Klicken Sie Add, um einen neuen Benachrichtigungskanal hinzuzufügen.

  3. Auf dem Einstellungsbildschirm stellen Sie Folgendes ein:

    • Report Type: IPFIX

    • Message Type: Wählen Sie Flow Reports. Sie können nach Bedarf zusätzliche Typen auswählen:

    • Observation Domain Id: Darf 0 sein, wenn Sie nur einen Threat Defender verwenden. Andernfalls stellen Sie für jeden Threat Defender einen anderen Wert ein, damit die Berichtsquellen unterschieden werden können.

    • Update Interval: 30 seconds

    • Endpoint: UDP

    • IP Address: Geben Sie die IP-Adresse Ihrer Filebeat-Installation ein.

    • Port: 2055 (der Port Ihrer Filebeat-Installation wie in filebeat.yml definiert)

    • Reconnection Delay: 15 seconds

  4. Klicken Sie auf SAVE, um Ihre Einstellungen zu speichern und das Einstellungsfenster zu schließen. Der neue IPFIX-Kanal wird nun in der Liste der konfigurierten Benachrichtigungskanäle angezeigt.

Klicken Sie auf APPLY CHANGES oben in der Menüleiste, um Ihre Konfigurationsänderungen zu aktivieren.

Als Ergebnis sollte der Status des neu konfigurierten IPFIX-Kanals auf connected wechseln und eine steigende Anzahl von übertragenen Ereignissen anzeigen.

Prüfung von Kibana

Öffnen Sie Kibana in Ihrem Browser (siehe die Dokumentation von Kibana für weitere Informationen). Im Dashboard-Bereich wählen Sie das Dashboard Netflow Overview, um einen schnellen Überblick zu bekommen. Weiterhin können Sie im SIEM-Bereich vordefinierte Statistiken ansehen oder im Bereich Discover eigene entdecken. Sie können Netflow-Ereignisse vorauswählen, indem Sie input.type: netflow als Suchfilter verwenden.