Attualmente sto lavorando a un progetto in cui ho bisogno di trovare un host che esegue una soluzione SIEM. Dalla mia ricerca sono abbastanza fiducioso che l'host stia eseguendo Elastic Stack, probabilmente all'interno di un'altra soluzione come SIEMonster, ma comunque Elastic Stack. Ho anche ipotizzato che l'input per Logstash sia Beat, più precisamente Filebeat o GELF.
Non ho idea su quale porta potrebbe essere in esecuzione e l'intervallo IP possibile è abbastanza grande. Quindi quello di cui ho bisogno è un modo per verificare se un determinato host sta eseguendo il plug-in di input Logstash su qualsiasi porta e fare una ricerca completa su quegli host per ulteriori analisi.
Dato che non ci sono molte informazioni online su come affrontare questo problema, ho deciso di installare Elastic Stack sulla mia macchina e vedere quali risultati mi dà quando lo ispeziono esternamente. Ho impostato Filebeat per l'esecuzione sulla porta 5044, insieme a Elasticsearch su 9200 e Logstash su 9600. Ho controllato l'output in Kibana e tutto funziona come dovrebbe.
Le richieste di arricciamento alla porta 9200 e 9600 restituiscono le risposte previste, ma 5044 restituisce la connessione ripristinata da un errore peer. Sono in grado di connettermi a 5044 via telnet ma non ho idea di cosa inviare per ricevere una risposta.
Qualcuno ha un'idea su come affrontare questo problema? Inoltre, sto provando ad affrontarlo da una direzione sbagliata?