¿Qué arquitectura para un SIEM se basa en un grupo ELK? [cerrado]

Navega tus respuestas
-3

Primeros pensamientos para construir un SIEM basado en ELK, dentro de una compañía de ubicaciones múltiples:

  • Todos los activos envían su registro a Logstash localmente (para cada ubicación)
  • ElasticSearch almacena los registros localmente después del análisis de Logstash
  • ElasticSearch filtra los registros útiles para los SIEM (registros de seguridad) y los envía a un logstash de salida local
  • Este envía estos registros de seguridad a una pila ELK centralizada (común a toda la compañía), bajo una VPN
  • Las reglas de correlación se analizan en el ELK centralizado para activar alarmas de seguridad

Otras alternativas pueden ser:

  • No se ha realizado ElasticSearch centralizado porque ELK permite la búsqueda en un clúster. Ventaja: menos requisitos de ancho de banda ya que los registros de seguridad se mantienen locales. Inconveniente: posiblemente latencia
  • El uso de colas de mensajes para proporcionar una mayor solidez, especialmente para ubicaciones pequeñas con un número mínimo de nodos ELK

En el contexto de un SIEM y teniendo en cuenta la seguridad inherente, ¿cuál sería la mejor arquitectura y elementos en nuestro caso?

    
pregunta lalebarde 28.02.2018 - 14:30
fuente

1 respuesta

1

Desde una perspectiva de seguridad, recomendaría enviar y guardar todos los registros fuera del sitio. Puede utilizar Filebeat / winlogbeat (que admite compresión) para enviar a un Logstash remoto. Logstash es muy, muy rápido y no debe preocuparse por golpearlo con los registros. Una vez allí, ejecute Elasticsearch para consultar los datos que desea. Esta sería la mejor configuración para la latencia y desde un aspecto de seguridad, ya que filebeat / winlogbeat admite la autenticación mutua con Logstash. Se recomienda que usted tenga un clúster de Elasticsearch centralizado porque ese es realmente el propósito de usar una pila flexible como ELK. Una vez que los datos están en su clúster, puede escribir consultas y obtener resultados o hacer que los servicios / herramientas externos lo hagan. Sin embargo, tendría cuidado porque Elasticsearch no implementa ninguna función de seguridad como el control de acceso.

    
respondido por el pm1391 28.02.2018 - 16:28
fuente

Lea otras preguntas en las etiquetas

¿Cómo hackear una computadora en una red diferente? [cerrado] Sería ilegal atacar un sitio web de ISIS [cerrado]