Actualmente estoy trabajando en un proyecto en el que necesito encontrar un host que ejecute una solución SIEM. Según mi investigación, estoy bastante seguro de que el host está ejecutando Elastic Stack, probablemente dentro de otra solución como SIEMonster, pero no obstante, Elastic Stack. También he asumido que la entrada para Logstash es Beat, más precisamente Filebeat o GELF.
No tengo idea de en qué puerto se está ejecutando y el posible rango de IP es bastante grande. Entonces, lo que necesito es una forma de comprobar si un host determinado está ejecutando el complemento de entrada de Logstash en cualquier puerto, y hacer una investigación exhaustiva de esos hosts para un análisis más detallado.
Dado que no hay mucha información en línea sobre cómo abordar este problema, decidí instalar Elastic Stack en mi máquina y ver qué resultados me dan cuando lo inspecciono externamente. He configurado Filebeat para que se ejecute en el puerto 5044, junto con Elasticsearch en 9200 y Logstash en 9600. He comprobado la salida en Kibana y todo funciona como debería.
Las solicitudes de enrollamiento al puerto 9200 y 9600 devuelven las respuestas esperadas, pero 5044 devuelve el restablecimiento de la conexión debido a una falla del par Puedo conectarme al 5044 a través de telnet, pero no tengo idea de qué enviar para recibir una respuesta.
¿Alguien tiene una idea sobre cómo abordar este problema? Además, ¿estoy tratando de abordarlo desde una dirección equivocada?