Professional Documents
Culture Documents
konfigurazioa
2019-2020
AURKIBIDEA
1. Sarrera .................................................................................................. 1
1
165. lerro inguruan dagoen ips atalean Snort-ek dakartzan erregelak ez
erabiltzeko esan behar zaio. Lerroa komentatzeko aurretik bi gidoi jarri behar dira.
Bukatzean gorde eta itxi fitxategia.
-- enable_builtin_rules = true,
#include rules/snort3-community.rules
2
Filebeat inputs atalean (fitxategi hasieran) ondokoa adierazi behar da.
Testu honekin log-en kokapena eta egitura adierazten zaio Filebeat-i. Honetaz
gain, etiketa bat gehitzen zaio aurrerago Logstash-en filtratu ahal izateko.
Bukatzean, aldaketak gorde, fitxategia itxi eta Filebeat hasieratu. Honetaz gain,
makina piztean zerbitzu bezala ere aktibatu.
3
$ sudo systemctl status filebeat
input {
beats {
port => 5044
}
}
4
Logstash-en filtro pausoari dagokionez, posible da aurretik sortutako
filtroarekin batera lan egiten duen beste filtro bat sortzea, baina kasu honetan
gauzak modu sinplean uzteko Elastic Stack-aren gidan sortutako ssh-auth-filter.conf
fitxategiari izena aldatuko zaio eta beste berri bat sortuko da Snort-en alertak
filtratzeko.
$ sudo mv /etc/logstash/conf.d/filter-ssh.conf
/etc/logstash/conf.d/filter-ssh.conf.old
$ sudo nano /etc/logstash/conf.d/filter-snort.conf
Fitxategi honetan ondoko testua gehitu beharko da. Konfigurazio honekin, json
etiketa batekin datozen mezuak dauden bezala uzteko esaten zaio. Filebeat-en
konfigurazioan etiketa hau definitu da.
filter {
if [json] {
json { source => "message" }
}
}
$ sudo mv /etc/logstash/conf.d/output-elasticsearch.conf
/etc/logstash/conf.d/output-elasticsearch.conf.old
$ sudo nano /etc/logstash/conf.d/output-elasticsearch.conf
5
output {
elasticsearch {
hosts => ["localhost:9200"]
manage_template => false
index => "snort-%{+YYYY.MM}"
}
}
Orain komeni da Elastic Stack osoa berrasieratzea egin diren aldaketak karga
daitezen. Komenigarria da ere berpizten diren elementuen artean 20-30 segundu
abiarazteko denbora nahikoa izan dezaten.
Orain ireki Kibana Elastic Stack duen makinaren nabigatzaile batean eta
nabigatu Management atalera. Index patterns aukeran Elastic Stack-aren gidan sortu
zen ssh_auth patroia egongo da. Oraingo honetan beste patroi berri bat sortzea nahi
da, hain zuzen ere Snort-en indizearekin bat datorren bat.
Sakatu Create index pattern botoia eta Index pattern text-boxean sartu snort-*.
Honekin bakarrik izen horrekin datozen indizeentzat bat datorren patroia sortuko
6
da. Hurrengo pausoan aukeratu @timestamp eta sakatu Create index pattern botoia
bukatzeko.
Bukatzeko, eta lagin bezala funtziona dezan, bi grafiko sortuko dira. Bata,
egunean izandako alerten kopurua alerta kodean oinarrituta. Besteak Ping deien
7
helburu izandako makinen IP helbideen aste beteko datuak eguneka sailkatuta
erakutsiko ditu.
8
Lehen aukerak barra grafikoa pilatuta ez agertzea lortzen du. Bigarrenak aldiz,
alerten SIDetan oinarrituta barra bat sortzen du SID bakoitzeko. Emaitza jarraian
agertzen denaren antzekoa izan beharko da.
Lehenik, bakarrik Ping deiekin zerikusia duten datuak ikusi behar dira. Hauek
bakarrik lortzeko goiko kontsulta eremuan ondokoa jarri behar da. Erregela honekin
sid hori bakarrik duten alertak hartuko dira kontutan.
9
Ezkerreko menuan ondoren datozen aukerak jarri:
Lehen zatian eguneko datuak alerten denbora markan oinarrituta pilatu eta
grafiko bat sortzeko esaten zaio. Bigarren zatian grafiko bakoitza helburu IP
helbideen kopuruen arabera banatzeko esaten zaio. Gehien erabiltzen diren 8ak
10
agertzen dira gehiengotik gutxienekora ordenatuta. Gainerakoak batera agertzen
dira Others etiketarekin. Goian eskubialdean azken 7 egunen datuak ikuskatzeko
esaten bazaio (defektuz azken 15 minutuetakoak hartzen ditu) aste osoan izandako
alertak hartuko dira kontutan. Emaitza jarraian agertzen denaren antzeko zerbait
izan beharko da.
11
Zamalbide Auzoa z/g - 20100 Errenteria (Gipuzkoa) - T. (+34) 943 082 900 - info@tknika.eus –
www.tknika.eus