Open redshellfish opened 4 years ago
从图中可以看到左边就是传统的wazuh的生态,elk+wazuh; 从TheHive开始,TheHive承担的就是快速应急响应处置平台的角色. 这里一方面的日志收集来自于 elastalert 也就是针对ES编写的模式或者是需要监控的策略对应的规则触发的告警。 在上面的流程图中,作为 HIDS 的 Wazuh 将数据发送回 Wazuh Manager 与 Elasticsearch。ElastAlert 观测到新事件并在 TheHive 中相应生成告警。然后通过 Cortex 与 MISP 查询额外信息丰富该事件, 之后自动关闭该事件或提交给分析师 AlertAnalyst。 所以看到,这些模块的功能,wazuh是客户端采集,elk是基础日志siem。TheHive统一快速响应处置的平台,Elastalert是关联ES和TheHive可定制拓展较好的工具。MISP是威胁共享平台, Cortex是联系MISP和 TheHive的一个集存储和调用的工具。 1.2. Wzuh 介绍 https://documentation.wazuh.com/3.10 局域网 https://172.31.26.91/ 快速搭建wazuh服务端和elk git clone https://github.com/wazuh/wazuh-docker && cd wazuh-docker && docker-compose up -d#
1.3. Elastalert 介绍 https://github.com/Yelp/elastalert ElastAlert是一个基于python2.7开发的简单的框架,用于从Elasticsearch中的数据警告异常、峰值或其他在意的定制的告警的模式。ElastAlert适用于Elasticsearch的所有版本。 使用Elasticsearch、Logstash和Kibana来管理不断增长的数据和日志。Kibana非常适合可视化和查询数据,但我们很快意识到它需要一个配套的工具来提醒我们数据中的不一致。出于这种需要,elasticalert被创造出来。 数据几乎是实时写入Elasticsearch,会通过某些模式匹配时得到定制的提醒。
安装就是 pip install elastalert < python2-pip 1.4. TheHive 介绍 https://github.com/TheHive-Project/TheHive 部署未实践 TheHive 是一个可扩展的4合1开源免费安全事件响应平台,旨在使SOC、CSIRT、CERT和任何处理需要迅速调查和采取行动的安全事件的信息安全从业人员的生活更轻松。它和MISP是完美结合。您可以将其与一个或多个MISP实例同步,以开始对MISP事件的调查。您还可以将调查结果导出为MISP事件,以帮助您的同事和合作伙伴检测到您处理过的攻击并作出反应。此外,当TheHive 与Cortex结合使用时,安全分析师和研究人员可以使用100多个分析器轻松地同时分析100个可观察到的对象,通过Cortex响应程序来控制事件或消除恶意软件。
1.5. MISP 介绍 https://github.com/MISP/MISP > 局域网 https://172.31.26.177 MISP(恶意软件信息共享平台)是一个开源工具,用于在受信任成员社区内共享有针对性的恶意软件和攻击的妥协指标(IOC)。它是一个包含技术和非技术信息的分布式IOC数据库。交换这些信息应该能够更快地检测到目标攻击并提高检测率,同时还可以减少误报数量。
docker run -it --rm \ -v /srv/docker/misp-db:/var/lib/mysql \ registry.cn-shanghai.aliyuncs.com/rapid7/misp /init-db
docker run -it -d \ --name=misp \ -p 443:443 \ -p 80:80 \ -p 3306:3306 \ -v /srv/docker/misp-db:/var/lib/mysql \ -v /docker/certs:/etc/ssl/private \ registry.cn-shanghai.aliyuncs.com/rapid7/misp
1.6. Cortex https://github.com/cortexproject/cortex/ 在这里是个普通的连接工具
1.7. 结论 经过昨天的调研,安装部署,MISP / esalert / Wauzh 都安装都不复杂,但是使用和联立的过程中配置文件多且不友好, 另外在当前小规模应急响应处置条件下,没必要做成庞大的管理规模,组件配置文件的学习、对应脚本触发器的编写、其他继承性的二次开发也都有一定的门槛。当前进行后台的基础管理比这个更适合平台第一阶段的研发场景。 这个方案的主要优势是方便事件进入到响应处置平台,快速形成可拓展利用的且持续能更新的知识库,设计的价值在于功能分离,其中的各个组件可解耦、独立易替代,组件都能最大程度实现本身的智能,例如MISP威胁分享,es/cortex 存储和SIEM,esalert快速响应和全面的有对下告警的很多组件(email/命令行/主机告警/telegram)管理。另外它的特色是对安全事件能够快速响应和处置。
从图中可以看到左边就是传统的wazuh的生态,elk+wazuh; 从TheHive开始,TheHive承担的就是快速应急响应处置平台的角色. 这里一方面的日志收集来自于 elastalert 也就是针对ES编写的模式或者是需要监控的策略对应的规则触发的告警。 在上面的流程图中,作为 HIDS 的 Wazuh 将数据发送回 Wazuh Manager 与 Elasticsearch。ElastAlert 观测到新事件并在 TheHive 中相应生成告警。然后通过 Cortex 与 MISP 查询额外信息丰富该事件, 之后自动关闭该事件或提交给分析师 AlertAnalyst。 所以看到,这些模块的功能,wazuh是客户端采集,elk是基础日志siem。TheHive统一快速响应处置的平台,Elastalert是关联ES和TheHive可定制拓展较好的工具。MISP是威胁共享平台, Cortex是联系MISP和 TheHive的一个集存储和调用的工具。 1.2. Wzuh 介绍 https://documentation.wazuh.com/3.10 局域网 https://172.31.26.91/ 快速搭建wazuh服务端和elk git clone https://github.com/wazuh/wazuh-docker && cd wazuh-docker && docker-compose up -d#
1.3. Elastalert 介绍 https://github.com/Yelp/elastalert
ElastAlert是一个基于python2.7开发的简单的框架,用于从Elasticsearch中的数据警告异常、峰值或其他在意的定制的告警的模式。ElastAlert适用于Elasticsearch的所有版本。 使用Elasticsearch、Logstash和Kibana来管理不断增长的数据和日志。Kibana非常适合可视化和查询数据,但我们很快意识到它需要一个配套的工具来提醒我们数据中的不一致。出于这种需要,elasticalert被创造出来。 数据几乎是实时写入Elasticsearch,会通过某些模式匹配时得到定制的提醒。
安装就是 pip install elastalert < python2-pip 1.4. TheHive 介绍 https://github.com/TheHive-Project/TheHive 部署未实践 TheHive 是一个可扩展的4合1开源免费安全事件响应平台,旨在使SOC、CSIRT、CERT和任何处理需要迅速调查和采取行动的安全事件的信息安全从业人员的生活更轻松。它和MISP是完美结合。您可以将其与一个或多个MISP实例同步,以开始对MISP事件的调查。您还可以将调查结果导出为MISP事件,以帮助您的同事和合作伙伴检测到您处理过的攻击并作出反应。此外,当TheHive 与Cortex结合使用时,安全分析师和研究人员可以使用100多个分析器轻松地同时分析100个可观察到的对象,通过Cortex响应程序来控制事件或消除恶意软件。
1.5. MISP 介绍 https://github.com/MISP/MISP > 局域网 https://172.31.26.177 MISP(恶意软件信息共享平台)是一个开源工具,用于在受信任成员社区内共享有针对性的恶意软件和攻击的妥协指标(IOC)。它是一个包含技术和非技术信息的分布式IOC数据库。交换这些信息应该能够更快地检测到目标攻击并提高检测率,同时还可以减少误报数量。
docker run -it --rm \ -v /srv/docker/misp-db:/var/lib/mysql \ registry.cn-shanghai.aliyuncs.com/rapid7/misp /init-db
docker run -it -d \ --name=misp \ -p 443:443 \ -p 80:80 \ -p 3306:3306 \ -v /srv/docker/misp-db:/var/lib/mysql \ -v /docker/certs:/etc/ssl/private \ registry.cn-shanghai.aliyuncs.com/rapid7/misp
1.6. Cortex https://github.com/cortexproject/cortex/ 在这里是个普通的连接工具
1.7. 结论 经过昨天的调研,安装部署,MISP / esalert / Wauzh 都安装都不复杂,但是使用和联立的过程中配置文件多且不友好, 另外在当前小规模应急响应处置条件下,没必要做成庞大的管理规模,组件配置文件的学习、对应脚本触发器的编写、其他继承性的二次开发也都有一定的门槛。当前进行后台的基础管理比这个更适合平台第一阶段的研发场景。 这个方案的主要优势是方便事件进入到响应处置平台,快速形成可拓展利用的且持续能更新的知识库,设计的价值在于功能分离,其中的各个组件可解耦、独立易替代,组件都能最大程度实现本身的智能,例如MISP威胁分享,es/cortex 存储和SIEM,esalert快速响应和全面的有对下告警的很多组件(email/命令行/主机告警/telegram)管理。另外它的特色是对安全事件能够快速响应和处置。