18 de nov. de 2019

ELK - Palo Alto , Nessus, OpenVas e Linux Systems

Olá, meu caro! 

Neste post irei apresentar uma arquitetura criada para sustentar um "SIEM"
open source criado para ampliar a visão da equipe de segurança em dar resposta a eventos de forma rápida e com informações precisas que são coletadas em tempo real de ferramentas como Firewall corporativo, servidores linux/windows e softwres de análise de vulnerabilidade como OpenVas e Nessus. 

Dashboard contendo informações de dados de logs em tempo real do firewall Palo alto




É possível realizar a integração de dados de diversas fontes e indexá-lo no elasticsearch de vários modos, um dos principais que utilizo é logstash. 
Esta arquitetura é composta por:
  • ELK
  • Firewall Palo alto
  • Nessus
  • OpenVas
  • Rsyslog Server
  • Curator 
  • VulnWhisperer
  • Servidores Linux
  • Auditbeat
  • Filebeat
  • Zabbix 
  • ElastAlert 

Abaixo algumas imagens dos principais dashboards criados para visualização dos dados indexados no elasticsearch.  

Dashboards

Dashboard com dados de escaneamento do Nessus Scanner





Dashboard com dados de escaneamento do OpenVas

SIEM beta do kibana, coleta de dados via agente auditbeat
Zabbix - Alertas indicando muitas tentativas de login em hosts linux monitorados

Tabela com informações cruzadas de tráfego de rede



Nenhum comentário:

Postar um comentário