ELK Stack como SIEM - Primeros pasos

  

Tengo algunas dudas sobre la integración de syslog-ng con ELK. Es eso   realmente necesario?

Por supuesto que no, syslog-ng es una "infraestructura de administración de registros". Si implementa ELK como SIEM, puede administrar todos sus registros allí. Solo necesita instalar un agente en cada servidor desde el que desee los registros. Puede usar el cliente de logstash oficial o cualquier otra herramienta que analice su syslog a JSON y pasarlo al servidor de Elastic Search.

  

Supongo que la entrada a la plataforma ELK será todos los syslogs y eventos del sistema. Toda la correlación, las reglas y el procesamiento ocurren dentro del entorno ELK. ¿Estoy en lo correcto?

Puedes pasar lo que quieras, pero sí, estás en lo correcto.

  

¿Es DB una mejor manera de integrarse con Elasticsearch?

No lo creo; Elastic obtiene todos los datos y los almacena por sí mismo, por lo que, para interactuar con cualquier otra base de datos, deberá implementar algún agente que lea la base de datos y envíe JSON al servidor de Elastic.

Puedes seguir esta guía para comenzar a jugar con el ELK completo: aquí

No estoy seguro de que esté actualizado (por ejemplo, Kibana ya no necesita nginx para el proxy inverso, viene con nodos integrados) pero puede ahorrarle mucho tiempo.

  

Estoy intentando configurar una pila ELK para aprender más sobre la tecnología y las posibilidades. Tengo algunas dudas sobre la integración de syslog-ng con ELK. ¿Es eso realmente necesario?

Yo, junto con muchos otros, consolido syslog en una ubicación común y luego ingiero los registros desde allí. Es absolutamente posible, pero de ninguna manera es necesario.

  

Supongo que la entrada a la plataforma ELK será todos los syslogs y eventos del sistema. Toda la correlación, las reglas y el procesamiento ocurren dentro del entorno ELK. ¿Estoy en lo correcto?

Para eso es el ELK.

Sin embargo, quiero retroceder un segundo.

  

soluciones SIEM

Un SIEM generalmente necesita ser más que un despliegue básico de ELK. Por lo general, también necesita algo más que la implementación básica de Splunk. Hay una razón por la que la gente paga tanto por el complemento de seguridad empresarial para Splunk. Un SIEM no es una broma, especialmente si está preocupado por algún tipo de requisitos de cumplimiento.

¿Realmente estás buscando un SIEM de buena fe, o simplemente un SIK SMK de SMEM?

Si bien no hay tantos elementos preconfigurados con ELK como con Splunk, creo que es más poderoso si te comprometes a aprender la pila.

El beneficio real de usar elasticsearch es que hace un gran trabajo en la búsqueda de conjuntos de datos discretos, no estructurados. Puede transformar eventos, registros y datos con Logstash, como establecer nombres de campos comunes en todos los tipos de eventos, por ejemplo. [src] [ip], [src] [puerto].

Lo más interesante que llamará la atención de los ejecutivos es poder etiquetar geográficamente las direcciones IP y mostrar todas sus conexiones de red en un mapa. Si no puede geizar su red, querrá saber desde dónde se conectan las personas a su red. El uso del filtro de etiquetas geográficas en su configuración de Logstash le permitirá agregar latitud, longitud, nombre de país, código de área, etc. a cada evento que salga a Elasticsearch, con tan solo cuatro líneas de código.