ตอนที่ 8 ไฟร์วอลล์คุกคาม Intel ด้วย GreyNoise

Nov 28 2022

ตรวจพบ IP ที่เป็นอันตรายโดยไฟร์วอลล์ของคุณอย่างรวดเร็ว ตอนที่หนึ่ง: พื้นที่เก็บข้อมูลแบ็กเอนด์ ตอนที่สอง: การนำเข้าบันทึก ตอนที่สาม: การวิเคราะห์บันทึก ตอนที่สี่: การติดตั้ง Wazuh Agent ตอนที่ห้า: การบันทึก SIEM อัจฉริยะ ตอนที่หก: แดชบอร์ด SIEM แบบโอเพ่นซอร์สที่ดีที่สุด ตอนที่เจ็ด: การรวบรวมบันทึกไฟร์วอลล์ที่สร้างขึ้น บทนำอย่างง่ายในตอนที่ 7 — การรวบรวมบันทึกไฟร์วอลล์ทำได้ง่าย เรากำหนดค่า Graylog เพื่อรับ แยกวิเคราะห์ และเขียนบันทึกไฟร์วอลล์ที่รวบรวมไว้ลงในแบ็กเอนด์ SIEM ของเรา แม้ว่าสิ่งนี้จะยอดเยี่ยมสำหรับการแสดงข้อมูลของเรา แต่มาก้าวไปอีกขั้นและเพิ่มบันทึกไฟร์วอลล์ที่รวบรวมไว้ของเราด้วยข้อมูลภัยคุกคามที่จัดทำโดย GREYNOISE

ตรวจจับ IP ที่เป็นอันตรายโดยไฟร์วอลล์ของคุณอย่างรวดเร็ว

ส่วนที่หนึ่ง : ที่เก็บข้อมูลแบ็กเอนด์

ส่วนที่สอง : การเข้าสู่ระบบเข้าสู่ระบบ

ส่วนที่สาม: การ วิเคราะห์บันทึก

ส่วนที่สี่: การติดตั้งตัวแทน Wazuh

ตอนที่ห้า: การบันทึก SIEM อัจฉริยะ

ตอนที่หก: แดชบอร์ด SIEM แบบโอเพ่นซอร์สที่ดีที่สุด

ตอนที่เจ็ด: การรวบรวมบันทึกไฟร์วอลล์ทำได้ง่าย

บทนำ

ในส่วนที่ 7 — การรวบรวมบันทึกไฟร์วอลล์ทำได้ง่ายเราได้กำหนดค่า Graylog เพื่อรับ แยกวิเคราะห์ และเขียนบันทึกไฟร์วอลล์ที่รวบรวมไว้ลงในแบ็กเอนด์ SIEM ของเรา แม้ว่าสิ่งนี้จะยอดเยี่ยมสำหรับการแสดงภาพข้อมูลของเรา แต่มาก้าวไปอีกขั้นและเพิ่มบันทึกไฟร์วอลล์ที่รวบรวมไว้ของเราด้วยข่าวกรองภัยคุกคามที่จัดทำโดยGREYNOISE

คุกคาม Intel ด้วย GreyNoise

มาเพิ่ม Threat Intel โดยใช้GreyNoise’s API ที่ Greylog จะใช้เพื่อเพิ่มที่อยู่ IP ที่เชื่อมต่อกับเราด้วยความฉลาดของ GreyNoise วิธีนี้ช่วยให้เราสามารถตรวจจับ IP ที่เป็นอันตรายได้อย่างรวดเร็วซึ่งมีการสังเกตทราฟฟิกผ่านบันทึก pfSense ของเรา

สร้างคีย์ API ฟรีของคุณด้วยGREYNOISEก่อน ดำเนินการ

การไหลของข้อมูล

ก่อนอื่นเราต้องเข้าใจเส้นทางทั้งหมดที่ข้อมูลของเราจะใช้ในระหว่างกระบวนการเพิ่มคุณค่า

การไหลของข้อมูล HLD

บันทึกที่ส่งต่อจากไฟร์วอลล์ไปยัง Graylog ( อ่านตอนที่เจ็ด )
Graylog ตรวจสอบว่าบันทึกที่ได้รับมีชื่อฟิลด์หรือไม่DestIP

ชื่อฟิลด์ DestIP

4. Graylog เพิ่มความสมบูรณ์ให้กับบันทึกต้นฉบับด้วยการตอบสนอง GREYNOISE

การเพิ่มคุณค่า Greynoise

5. Graylog เขียนบันทึกไปยัง SIEM Backend (Wazuh-Indexer)

สร้างอะแดปเตอร์ข้อมูล

ภายใน Graylog ก่อนอื่นเราต้องสร้างไฟล์Data Adapter. คือ ที่Data Adapterที่เรากำหนดค่าคำขอ API ที่จะทำ เช่น URL, คีย์ Auth, Headers เป็นต้น

ไปที่ System -> Lookup Tables แล้วData Adaptersเลือก

สร้างอะแดปเตอร์ข้อมูล

การกำหนดค่าอะแดปเตอร์ข้อมูล

3. ตรวจสอบว่าคีย์ API ของคุณถูกต้องโดยทดสอบการค้นหา45.83.66.207

ได้รับผลลัพธ์ API แล้ว

สร้างแคชข้อมูล

ข้อดีอีกประการของการใช้ Graylog คือData Caching. บริการ API ส่วนใหญ่จะจำกัดจำนวนคำขอ API ที่ผู้ใช้ปลายทางสามารถทำได้ในช่วงเวลาที่กำหนด ข้อจำกัดนี้ส่งผลให้ Threat อัตโนมัติของ Intel ไม่ให้ค่าใดๆ เมื่อถึงขีดจำกัด API ของเราแล้ว

เพื่อต่อสู้กับปัญหานี้ เราใช้ Graylog Data Caching แคชมีหน้าที่รับผิดชอบในการแคชผลการค้นหาเพื่อปรับปรุงประสิทธิภาพการค้นหา และ/หรือเพื่อหลีกเลี่ยงไม่ให้ฐานข้อมูลและ API ทำงานมากเกินไป ก่อนที่จะเรียก API ไปยัง Greynoise ทาง Graylog จะตรวจสอบแคชภายในก่อน หากDestIPก่อนหน้านี้อุดมด้วยผลลัพธ์ของ Greynoise API รายการเหล่านั้นจะถูกจัดเก็บไว้ใน Greylog Data Cache และ Graylog ไม่จำเป็นต้องเรียกใช้ Greynoise API อีกครั้ง จึงช่วยประหยัดโควต้า API ของเรา

ไปที่ System -> Lookup Tables แล้วCachesเลือก

สร้างแคช

แคชข้อมูล Greynoise

ประกาศExpire after accessสามารถปรับแต่งได้ตามใจชอบ โปรดทราบว่าเวลาหมดอายุที่สูงขึ้นจะใช้หน่วยความจำของโหนด Graylog ของคุณมากขึ้น

สร้างตารางค้นหา

คอมโพเนนต์ของตารางการค้นหาเชื่อมโยงอินสแตนซ์อะแดปเตอร์ข้อมูลและอินสแตนซ์แคชเข้าด้วยกัน จำเป็นต้องเปิดใช้งานการใช้ตารางการค้นหาในตัวแยก ตัวแปลง ฟังก์ชันไปป์ไลน์ และตัวตกแต่ง

ไปที่ System -> Lookup Tables แล้วLookup Tablesเลือก

สร้างตารางค้นหา

ตารางค้นหา Greynoise

การสร้างกฎไปป์ไลน์

ด้วยการกำหนดค่าตารางการค้นหา เราจำเป็นต้องบอก Graylog เมื่อเราต้องการเรียกใช้ Greynoise API สิ่งนี้ทำได้โดยการสร้างไฟล์Pipeline Rule.

ไปที่ System -> Pipelines แล้วManage rulesเลือก

จัดการกฎ

rule "GreyNoise Lookup on DestIP"
when
    has_field("DestIP")
then
    let ldata = lookup(
        lookup_table: "greynoise",
        key: to_string($message.DestIP)
    );
    set_fields(
        fields: ldata,
        prefix: "greynoise_"
        );
end

3. สร้างGreynoisePipeline และเพิ่มสตรีมไฟร์วอลล์ของคุณที่เรากำหนดค่าไว้ใน ส่วน ที่เจ็ด

ท่อ Greynoise

4. ภายในStage 0เพิ่มGreyNoise Lookup on DestIPกฎไปป์ไลน์

กฎขั้นตอนที่ 0 ไปป์ไลน์

ผล

ตรงไปที่ Firewall Stream ของคุณและสังเกตการปรับปรุงที่เกิดขึ้น!

การเพิ่มประสิทธิภาพ API ของ GreyNoise

ตอนนี้คุณสามารถเริ่มสร้างแดชบอร์ดได้เหมือนที่เราทำในตอนที่ 6และแจ้งเตือนให้แจ้งทีม SOC เมื่อ Greynoise ตรวจพบที่อยู่ IP ที่เป็นอันตรายซึ่งอยู่ในบันทึกไฟร์วอลล์ของคุณ!

บทสรุป

ตลอดโพสต์บล็อกนี้ เราได้กำหนดค่า Graylog เพื่อเพิ่มบันทึกไฟร์วอลล์ที่นำเข้าของเราด้วย API ของ Greynoise โพสต์นี้สัมผัสพื้นผิวของระบบอัตโนมัติและการเพิ่มข้อมูลที่เป็นไปได้ด้วย Graylog เท่านั้น! ดังนั้นสิ่งที่คุณรอ? เริ่มเพิ่มคุณค่าข้อมูลของคุณด้วย Threat Intel ทันที! มีความสุขในการปกป้อง

ต้องการความช่วยเหลือ?

ฟังก์ชันการทำงานที่กล่าวถึงในโพสต์นี้ และอื่นๆ อีกมากมายมีให้บริการผ่านบริการระดับมืออาชีพของ SOCFortress ให้ SOCFortress ช่วยคุณและทีมรักษาโครงสร้างพื้นฐานของคุณให้ปลอดภัย