Olá, meu caro!
Neste post irei apresentar uma arquitetura criada para sustentar um "SIEM"
open source criado para ampliar a visão da equipe de segurança em dar resposta a eventos de forma rápida e com informações precisas que são coletadas em tempo real de ferramentas como Firewall corporativo, servidores linux/windows e softwres de análise de vulnerabilidade como OpenVas e Nessus.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhYDeac-DeZOSNg2yOsFIKpxaDJVqz43PaewnyqZq8JEJddgMXlExlCNE_nthDJg5PpqHxSaOqZysMuJu1adGMffTyn1R-7e3brxH8P7G67Jhdr7l6jwjenokTJ87AISj_UKFE3OnM8kvs/s640/2019-11-18_15-28-25.png) |
Dashboard contendo informações de dados de logs em tempo real do firewall Palo alto |
|
|
É possível realizar a integração de dados de diversas fontes e indexá-lo no elasticsearch de vários modos, um dos principais que utilizo é logstash.
Esta arquitetura é composta por:
- ELK
- Firewall Palo alto
- Nessus
- OpenVas
- Rsyslog Server
- Curator
- VulnWhisperer
- Servidores Linux
- Auditbeat
- Filebeat
- Zabbix
- ElastAlert
Abaixo algumas imagens dos principais dashboards criados para visualização dos dados indexados no elasticsearch.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3bfYwLzZBaPgPX9GswECpA-soqWCgARKXW6_U4Tg_vLWjNhcpxD9kF8Pa6SgF2Gzy7xIcwNUfFgq5RjIAQNpL9iWa1BayOh1T6xfQxMFJZ22f-OuCOPMH4cicMpKezircsEGR-rsZLDA/s640/2019-11-18_14-59-21.png) |
Dashboards |
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi5a3c0u4nESfRD7r4zIRJxd0OBY5KaRArxal9TrkPW6Ii2ndb-t3fVpwExc9iww7Af4WvQheW8W0R9zwKr2agrB4rigxNXMuSoFx7QI7lYBf1oPbz3CdCczfROYCvsy-BaN4ELyrN_M84/s640/2019-11-18_14-57-32.png) |
Dashboard com dados de escaneamento do Nessus Scanner | | | | |
|
|
|
|
|
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgqyKnJ4Fn3HljAxqj-YbCKrHeucr7dfiODHRcPhSLWlGjL4zgnrPAfA6xwKy9NFlYLpikUimjQv52wUlAkEXKu1PN7fA7DUGERLOw_NFWNZFXiAq6jmlQICjiY3ObZdASVtqG_stGLbbM/s640/openvas-kibana.png) |
Dashboard com dados de escaneamento do OpenVas |
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEily-K-BbOvk53nDBvtMCxc80ymQ364-hBFIMPdJ7VgFjekJEnAhjTYRuZk-W996zVunOEJbBzwMpx0-sRXfUgBvjY4tk1NNbMSUOlmyxREYPoCqDiRlcyeImjkEVn6egxXsir8L3gAe2M/s640/2019-11-18_15-00-05.png) |
SIEM beta do kibana, coleta de dados via agente auditbeat |
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdOTDtfSSrl3xJw2l-Xawhgzg1XW4U-jtlx7moG46zVgiO9Aysxepp_znkkh_2l640xFfwEIBSV3eclI9wkfN7suMNum5s6-KQ1aZ9VRXrGn3e-GHj8fdIo1vy6WImejguxpjhYsPR2rM/s640/2.png) |
Zabbix - Alertas indicando muitas tentativas de login em hosts linux monitorados |
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijtlNW-sVige3DdZyj7i_xDO2ofGktuqWSJ3XS_CXamD92eR43jcdq0OKbSOLZF21mFY98HMymsv2Ol7Kuw8DKwtdci63-X3N3otQNiW_1V-zkylx-K4lMvnc0I6ghh48DAK10MysLISk/s640/origens+-+all+ports.png) |
Tabela com informações cruzadas de tráfego de rede |
No comments