ELK Stack come SIEM - Primi passi

I have some doubts about integrating syslog-ng with ELK. Is that really necessary?

Certo che no, syslog-ng è una "infrastruttura di gestione dei log". Se si distribuisce ELK come SIEM, è possibile gestire tutti i registri lì. Devi solo installare un agente su ciascun server da cui desideri effettuare il log. Puoi utilizzare il client logstash ufficiale o qualsiasi altro strumento che analizza il tuo syslog in JSON e passarlo al server di ricerca elastica.

I assume that the input to the ELK platform will be all syslogs and system events. All correlation, rules and processing happens within the ELK environment. Am I correct?

Puoi passare tutto ciò che vuoi, ma sì hai ragione.

Is DB a better way to integrate with Elasticsearch?

Io non la penso così; Elastic ottiene tutti i dati e li archivia da solo, quindi per interagire con qualsiasi altro DB dovrai distribuire un agente che legge il DB e invia JSON al server Elastic.

Puoi seguire questa guida per iniziare a giocare con l'ELK completo: qui

Non sono sicuro che sia aggiornato (ad esempio, Kibana non ha più bisogno di nginx per il reverse proxy, viene fornito con nodejs integrato) ma può farti risparmiare molto tempo.

I'm trying to set up a ELK Stack to learn more about the technology and possibilities. I have some doubts about integrating syslog-ng with ELK. Is that really necessary?

Io, insieme a molti altri, consolido syslog in una posizione comune e poi ingerisco i log da lì. È assolutamente possibile, ma non è assolutamente necessario.

I assume that the input to the ELK platform will be all syslogs and system events. All correlation, rules and processing happens within the ELK environment. Am I correct?

Ecco a cosa serve l'ELK.

Voglio comunque fare un passo indietro.

SIEM solutions

Un SIEM in genere deve essere più di una distribuzione ELK di base. In genere ha bisogno anche di più della semplice implementazione di Splunk. C'è un motivo per cui la gente paga così tanto per l'add-on Enterprise Security per Splunk. Un SIEM non è uno scherzo, specialmente se sei preoccupato per qualsiasi tipo di requisiti di conformità.

Stai davvero cercando un SIEM in buona fede o solo un SMB SIEM-ish ELK?

Anche se non ci sono tanti elementi preconfigurati con ELK come con Splunk, penso che sia più potente se ti impegni ad imparare lo stack.

Il vero vantaggio dell'uso di elasticsearch è che funziona alla perfezione in set di dati discreti e non strutturati. È possibile trasformare eventi, registri e dati con Logstash, ad esempio impostando nomi di campi comuni in tutti i tipi di eventi, ad es. [src] [ip], [src] [port].

La cosa più bella che farà capo ai dirigenti è la possibilità di geotaggare gli indirizzi IP e mostrare tutte le connessioni di rete su una mappa. Se non puoi geofittare la tua rete, vorrai sapere da dove si connettono le persone alla tua rete. L'uso del filtro geotag nella configurazione Logstash ti consentirà di aggiungere latitudine, longitudine, nome del paese, prefisso locale, ecc. A ogni evento mentre esce in Elasticsearch, con un minimo di quattro righe di codice.