Olá, meu caro!
Neste post irei apresentar uma arquitetura criada para sustentar um "SIEM"
open source criado para ampliar a visão da equipe de segurança em dar resposta a eventos de forma rápida e com informações precisas que são coletadas em tempo real de ferramentas como Firewall corporativo, servidores linux/windows e softwres de análise de vulnerabilidade como OpenVas e Nessus.
 |
| Dashboard contendo informações de dados de logs em tempo real do firewall Palo alto |
|
|
É possível realizar a integração de dados de diversas fontes e indexá-lo no elasticsearch de vários modos, um dos principais que utilizo é logstash.
Esta arquitetura é composta por:
- ELK
- Firewall Palo alto
- Nessus
- OpenVas
- Rsyslog Server
- Curator
- VulnWhisperer
- Servidores Linux
- Auditbeat
- Filebeat
- Zabbix
- ElastAlert
Abaixo algumas imagens dos principais dashboards criados para visualização dos dados indexados no elasticsearch.
 |
| Dashboards |
 |
| Dashboard com dados de escaneamento do Nessus Scanner | | | | |
|
|
|
|
|
 |
| Dashboard com dados de escaneamento do OpenVas |
 |
| SIEM beta do kibana, coleta de dados via agente auditbeat |
 |
| Zabbix - Alertas indicando muitas tentativas de login em hosts linux monitorados |
 |
| Tabela com informações cruzadas de tráfego de rede |
No comments