Szybko wykrywaj złośliwe adresy IP obserwowane przez zaporę sieciową

CZĘŚĆ PIERWSZA : Pamięć wewnętrzna

CZĘŚĆ DRUGA : Przetwarzanie dziennika

CZĘŚĆ TRZECIA: Analiza logów

CZĘŚĆ CZWARTA: Instalacja agenta Wazuh

CZĘŚĆ PIĄTA: Inteligentne logowanie SIEM

CZĘŚĆ SZÓSTA: Najlepsze pulpity nawigacyjne SIEM typu open source

CZĘŚĆ SIÓDMA: Łatwe zbieranie dzienników zapory

Wprowadzenie

W części 7 — Łatwe zbieranie dzienników zapory skonfigurowaliśmy Graylog do odbierania, analizowania i zapisywania zebranych dzienników zapory w naszym zapleczu SIEM. Chociaż świetnie nadaje się do wizualizacji naszych danych, pójdźmy o krok dalej i wzbogaćmy nasze zebrane dzienniki zapory o informacje o zagrożeniach dostarczane przez GREYNOISE .

Zagrożenie firmy Intel za pomocą GreyNoise

Dodajmy trochę informacji o zagrożeniach wykorzystujących interfejs API GreyNoise , którego Graylog użyje do wzbogacenia naszych połączonych adresów IP o informacje GreyNoise. Pozwala nam to szybko wykrywać złośliwe adresy IP, których ruch został zaobserwowany w naszych dziennikach pfSense.

STWÓRZ SWÓJ BEZPŁATNY KLUCZ API ZA POMOCĄ GREYNOISE PRZED ROZPOCZĘCIEM POSTĘPÓW

Przepływ danych

Najpierw musimy zrozumieć pełną trasę, jaką przejdą nasze dane podczas procesu wzbogacania.

1. Logi przekazywane z zapory sieciowej do Graylog ( PRZECZYTAJ CZĘŚĆ SIÓDMA )
2. Graylog sprawdza, czy otrzymany log zawiera nazwę polaDestIP

4. Graylog wzbogaca oryginalny log o odpowiedź GREYNOISE

5. Graylog zapisuje dziennik do zaplecza SIEM (Wazuh-Indexer)

Utwórz adapter danych

W Graylog musimy najpierw utworzyć plik Data Adapter. Tutaj Data Adapterkonfigurujemy żądanie API, które zostanie wykonane, takie jak adres URL, klucze autoryzacji, nagłówki itp.

1. Przejdź do System -> Tabele odnośników i wybierz Data Adapters.

3. Sprawdź, czy klucz API jest poprawny, testując wyszukiwanie45.83.66.207

Utwórz pamięć podręczną danych

Kolejną korzyścią wynikającą z używania Grayloga jest wbudowany plik Data Caching. Większość usług API ogranicza liczbę żądań API, które użytkownicy końcowi mogą wykonać w danym przedziale czasowym. To ograniczenie powoduje, że nasz zautomatyzowany system Intel dotyczący zagrożeń nie zapewnia żadnej wartości po osiągnięciu limitu interfejsu API.

Aby zwalczyć ten problem, wdrażamy buforowanie danych Graylog. Pamięci podręczne są odpowiedzialne za buforowanie wyników wyszukiwania w celu poprawy wydajności wyszukiwania i/lub uniknięcia przeciążenia baz danych i interfejsów API. Przed wywołaniem API do Greynoise, Graylog najpierw sprawdzi wewnętrzną pamięć podręczną. Jeśli DestIPwcześniej został wzbogacony o wyniki Greynoise API, wpisy te są przechowywane w pamięci podręcznej danych Graylog i nie ma potrzeby, aby Graylog ponownie wywoływał API Greynoise. W ten sposób oszczędzamy nasz limit API.

1. Przejdź do System -> Tabele odnośników i wybierz Caches.

Ogłoszenie Expire after accessmożna dostosować do własnych upodobań. Pamiętaj, że dłuższe czasy wygaśnięcia zużyją więcej pamięci twojego węzła Graylog

Utwórz tabelę przeglądową

Komponent tabeli przeglądowej wiąże ze sobą instancję adaptera danych i instancję pamięci podręcznej. Jest to potrzebne, aby faktycznie umożliwić użycie tablicy przeglądowej w ekstraktorach, konwerterach, funkcjach potokowych i dekoratorach.

1. Przejdź do System -> Tabele odnośników i wybierz Lookup Tables.

Tworzenie reguły potoku

Po skonfigurowaniu naszej tabeli przeglądowej musimy poinformować Graylog, kiedy chcemy wywołać interfejs API Greynoise. Osiąga się to poprzez utworzenie Pipeline Rule.

1. Przejdź do System -> Pipelines i wybierz Manage rules.

rule "GreyNoise Lookup on DestIP"
when
    has_field("DestIP")
then
    let ldata = lookup(
        lookup_table: "greynoise",
        key: to_string($message.DestIP)
    );
    set_fields(
        fields: ldata,
        prefix: "greynoise_"
        );
end

3. Utwórz Greynoisepotok i dodaj strumień zapory, który skonfigurowaliśmy w części siódmej .

4. W ramach Stage 0dodaj GreyNoise Lookup on DestIPregułę potoku.

Wyniki

Przejdź do strumienia zapory sieciowej i obserwuj zachodzące wzbogacanie!

Możesz teraz zacząć tworzyć pulpity nawigacyjne, tak jak zrobiliśmy to w części 6 , oraz alerty powiadamiające zespół SOC, gdy Greynoise wykryje złośliwy adres IP zawarty w dziennikach zapory!

Wniosek

W tym poście na blogu skonfigurowaliśmy Graylog, aby wzbogacić nasze przetworzone dzienniki zapory o interfejs API Greynoise. Ten post dotyka tylko powierzchni automatyzacji i wzbogacania danych, które jest możliwe dzięki Graylog! Więc na co czekasz? Już teraz zacznij wzbogacać swoje dane za pomocą technologii Threat Intel! Miłej obrony .

Potrzebuję pomocy?

Funkcjonalności omówione w tym poście i wiele więcej są dostępne za pośrednictwem usług profesjonalnych SOCFortress. Pozwól SOCFortress pomóc Tobie i Twojemu zespołowi w utrzymaniu bezpieczeństwa infrastruktury.

Strona internetowa:https://www.socfortress.co/

Profesjonalne usługi:https://www.socfortress.co/ps.html