这篇文章给大家介绍怎么通过Kibana、Wazuh和Bro IDS提高中小企业的威胁检测能力,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。近来,我们一直都在通过一些开源免费的工具,来帮助中小企业提升其网络威胁检测能力。我们将手把手的教大家通过Kibana,Wazuh和Bro IDS来提高自身企业的威胁检测能力。什么是Wazuh?Wazuh是一款以OSSEC作为引擎的基于主机的入侵检测系统。通过与ELK的结合,便于管理员通过日志平台查看系统日志信息,告警信息,规则配置信息等。这里有份非常详细的Wazuh官方文档,你可以参考该文档进行安装。安装成功后,你可以通过http://your_server:5601访问Kibana和Wazuh。BRO是一个开源的IDS项目。它的安装相对容易,但使用Kibana进行设置就会复杂许多。我们尝试了好几个网上的安装教程,但都没有成功。所以,我们创建了我们自己的安装指南,你只需重复我们的安装步骤即可(避免在此过程浪费时间)。默认情况下,Ubuntu上已安装了Git。因此,你可以使用以下命令克隆存储库。这些文件将被放入名为bro的目录中。切换到项目目录运行Bro的配置(这个过程应该不到一分钟就能完成)。在运行时,你会在大多数输出行的开头看到完成百分比。完成后,安装Bro(这也应该用不到一分钟的时间)。Bro将被安装在/usr/local/bro目录中。现在我们需要将/usr/local/bro目录添加到$PATH中。要确保它在全局可用,最好的方法是在/etc/profile.d目录下指定文件中的路径。我们将该文件称为3rd-party.sh。现在,我们已经安装了Bro,接下来我们还需要对它进行一些配置更改才能正常运行。这里我们需要对一些Bro的配置文件进行修改。这些文件都位于/usr/local/bro/etc目录中,主要包含以下三个文件:node.cfg,用于配置要监视的节点。networks.cfg,包含节点本地的CIDR表示法网络列表。broctl.cfg,邮件,日志记录和其他设置的全局BroControl配置文件。让我们看看每个文件中需要修改的地方。要配置Bro的监视节点,我们需要修改node.cfg文件。开箱即用,Bro被配置为在独立模式下运行。因为这是独立安装的,所以你不需要修改此文件,但最好是检查下其中的值是否正确。打开文件进行编辑。在bro部分,我们找到interface参数。这里的默认值为eth0,这应该与你的Ubuntu 16.04服务器的公共接口相匹配。如果不一致的话,你就要进行修改。/usr/local/bro/etc/node.cfg完成后保存并关闭文件。接下来,我们将配置该节点所属的专用网络。你可以在networks.cfg文件中,配置节点所属的IP网络(即你希望监视的服务器接口的IP网络)。我们打开该文件。默认情况下,该文件附带三个专用IP地址块示例。删除现有的三个条目,然后添加我们自己的条目。你可以通过ip addr show命令来检查服务器接口的网络地址。你的networks.cfg文件最终应该看起来像下面这样:示例/usr/local/bro/etc/networks.cfg完成编辑后保存并关闭文件。接下来,我们将配置邮件和日志记录设置。BroControl用于管理Bro的安装 – 启动和停止服务,部署Bro以及执行其他管理任务。它既是命令行工具又是一个交互式的shell。如果使用sudo /usr/local/bro/bin/broctl调用broctl,它将启动一个交互式shell:你也可以使用exit命令退出交互式shell。在shell中,你可以运行任何有效的Bro命令。你也可以直接从命令行运行相同的命令,而无需调用shell。在命令行运行命令的一大优势就是,允许你将broctl命令的输出通过管道,传输到标准Linux命令中。在接下来的部分,我们都将在命令行中调用broctl命令。首先,我们使用broctl deploy启动Bro。默认情况下,Bro日志是TSV(制表符分隔值)文件! 但对于ElasticSearch而言,使用JSON文件可以更高效地运行。我们只需在/usr/share/bro/share/site/bro.local文件的末尾添加以下内容即可:接着,我们重启Bro。现在,我们所有的日志文件都应该已经转换为了JSON格式。首先,我们将原始的wazuh filebeat配置移动到一个新创建的目录conf.d。你只需复制以下命令即可:然后,在/etc/filebeat/conf.d/filebeat_bro.yml中创建我们的bro filebeat配置:我们的Logstash配置/etc/logstash/conf.d/bro.conf:我们的bro.json文件你可以在这里获取到:https://gist.github.com/netscylla/27ac9e1472d89dffa5a8267a6af9c9be最后,我们重启logstash。并检查你的Kibana仪表板:首先免费云主机域名,我们转到管理面板,然后单击索引模式(index patterns),这将告诉kibana你的bro文件的位置,如下所示:然后回到discover,你应该能够看到你的bro日志!首先,我们在这里进行注册以获取免费威胁情报源。选择你的Container,feeds 和 sensor(见以下的feeds截图)。你将看到一个api code,我们将其复制到剪贴板或记事本中。遵循critical-stack-intel二进制文件的客户端安装说明进行安装:然后使用api code(需要联网)将二进制文件连接到feed,此时它应该下载已订阅的威胁情报源。并重启bro使用以下命令列出feeds:关于怎么通过Kibana、Wazuh和Bro IDS提高中小企业的威胁检测能力就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。
1、查看BT5上是否安装了ssh.2、查看服务是否开启,ps -e | grep ssh3、查看ssh配置是否正确,vi /etc/ssh-config ,其中的port、protocol等默认是注释了的,所以要将注释去掉。4、ssh是通过本地key进行认证的…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
