Güvenlik duvarınız tarafından gözlemlenen kötü amaçlı IP'leri hızla tespit edin

BİRİNCİ BÖLÜM : Arka Uç Depolama

İKİNCİ BÖLÜM : Günlük Alımı

ÜÇÜNCÜ BÖLÜM: Günlük Analizi

DÖRDÜNCÜ BÖLÜM: Wazuh Agent Kurulumu

BEŞİNCİ BÖLÜM: Akıllı SIEM Günlüğü

ALTINCI BÖLÜM: En İyi Açık Kaynak SIEM Panoları

YEDİNCİ BÖLÜM: Güvenlik Duvarı Günlük Toplama Kolaylaştırıldı

giriş

Bölüm 7 — Güvenlik Duvarı Günlük Toplama Kolaylaştırıldı bölümünde, Graylog'u toplanan güvenlik duvarı günlüklerimizi alacak, ayrıştıracak ve SIEM arka ucumuza yazacak şekilde yapılandırdık. Bu, verilerimizi görselleştirmek için harika olsa da, bir adım daha ileri gidelim ve toplanan güvenlik duvarı günlüklerimizi GREYNOISE tarafından sağlanan tehdit istihbaratıyla zenginleştirelim .

Intel'i GreyNoise İle Tehdit Edin

Graylog'un bağlı IP adreslerimizi GreyNoise zekası ile zenginleştirmek için kullanacağı GreyNoise API'sini kullanan bazı Tehdit Intel'i ekleyelim. Bu, trafiği pfSense günlüklerimiz aracılığıyla gözlemlenen kötü amaçlı IP'leri hızlı bir şekilde tespit etmemizi sağlar.

İLERLEMEDEN ÖNCE GREYNOISE İLE ÜCRETSİZ API ANAHTARINIZI OLUŞTURUN

Veri akışı

Öncelikle verilerimizin zenginleştirme sürecinde izleyeceği yolun tamamını anlamamız gerekiyor.

1. Güvenlik Duvarından Graylog'a iletilen günlükler ( YEDİNCİ BÖLÜMÜ OKUYUN )
2. Graylog, alınan günlüğün alan adını içerip içermediğini kontrol ederDestIP

4. Graylog, orijinal günlüğü GREYNOISE yanıtıyla zenginleştirir

5. Graylog, günlüğü SIEM Arka Ucuna (Wazuh-Indexer) yazar

Veri Bağdaştırıcısı Oluştur

Graylog içinde, önce bir Data Adapter. URL, Auth key, Headers vb. yapılacak olan Data AdapterAPI isteğini yapılandırdığımız yerdir.

1. Sistem -> Arama Tabloları'na gidin ve öğesini seçin Data Adapters.

3. Bir aramayı test ederek API anahtarınızın doğru olduğunu doğrulayın.45.83.66.207

Veri Önbelleği Oluştur

Graylog kullanmanın bir başka avantajı da yerleşik Data Caching. Çoğu API hizmeti, son kullanıcıların belirli bir zaman aralığında yapmasına izin verilen API isteklerinin miktarını sınırlar. Bu sınırlama, otomatikleştirilmiş Tehdit İstihbaratımızın, API sınırımıza ulaşıldığında hiçbir değer sağlamamasına neden olur.

Bu sorunla mücadele etmek için Graylog Data Caching'i uyguluyoruz. Önbellekler, arama performansını iyileştirmek ve/veya veritabanlarının ve API'lerin aşırı yüklenmesini önlemek için arama sonuçlarını önbelleğe almaktan sorumludur. Greynoise'a bir API çağrısı başlatmadan önce, Graylog ilk olarak dahili önbelleği kontrol edecektir. Daha DestIPönce Greynoise API sonuçlarıyla zenginleştirilmişse, bu girişler Graylog Veri Önbelleğinde depolanır ve Graylog'un Greynoise API'sini yeniden başlatmasına gerek yoktur. Böylece API kotamızdan tasarruf etmiş oluyoruz.

1. Sistem -> Arama Tabloları'na gidin ve öğesini seçin Caches.

Bildirim Expire after accessbeğeninize göre değiştirilebilir. Daha yüksek sona erme sürelerinin Graylog düğümünüzün daha fazla belleğini tüketeceğini unutmayın.

Arama Tablosu Oluştur

Arama tablosu bileşeni, bir veri bağdaştırıcısı örneğini ve bir önbellek örneğini birbirine bağlar. Çıkarıcılarda, dönüştürücülerde, işlem hattı işlevlerinde ve dekoratörlerde arama tablosunun kullanımını fiilen etkinleştirmek için gereklidir.

1. Sistem -> Arama Tabloları'na gidin ve öğesini seçin Lookup Tables.

Ardışık Düzen Kuralı Oluşturma

Yapılandırılan Arama Tablomuzla, Greynoise API'sini ne zaman çağırmak istediğimizi Graylog'a söylememiz gerekir. Bu, bir Pipeline Rule.

1. Sistem -> İşlem Hatları'na gidin ve Manage rules.

rule "GreyNoise Lookup on DestIP"
when
    has_field("DestIP")
then
    let ldata = lookup(
        lookup_table: "greynoise",
        key: to_string($message.DestIP)
    );
    set_fields(
        fields: ldata,
        prefix: "greynoise_"
        );
end

3. İşlem Hattını oluşturun ve Yedinci BölümdeGreynoise yapılandırdığımız güvenlik duvarı akışınızı ekleyin .

4. Ardışık düzen kuralını Stage 0ekleyin .GreyNoise Lookup on DestIP

Sonuçlar

Güvenlik Duvarı Akışınıza gidin ve gerçekleşen zenginleştirmeyi gözlemleyin!

Artık, Bölüm 6'da yaptığımız gibi kontrol panelleri ve Greynoise, Güvenlik Duvarı günlüklerinizde kötü niyetli bir IP adresi tespit ettiğinde SOC ekibine bildirimde bulunmak için uyarılar oluşturmaya başlayabilirsiniz!

Çözüm

Bu blog yazısı boyunca Graylog'u, alınan Güvenlik Duvarı günlüklerimizi Greynoise'ın API'si ile zenginleştirecek şekilde yapılandırdık. Bu gönderi, Graylog ile mümkün olan otomasyon ve veri zenginleştirmenin yalnızca yüzeyine dokunuyor! Peki ne bekliyorsun? Verilerinizi Threat Intel ile zenginleştirmeye hemen başlayın! Mutlu Savunma .

Yardıma mı ihtiyacınız var?

Bu gönderide tartışılan işlevsellik ve çok daha fazlası, SOCFortress'in Profesyonel Hizmetleri aracılığıyla kullanılabilir. SOCFortress'in sizin ve ekibinizin altyapınızı güvende tutmasına yardım etmesine izin verin.

İnternet sitesi:https://www.socfortress.co/

Profesyonel hizmetler:https://www.socfortress.co/ps.html