Elastic Security 为分析人员提供了预防,检测和响应威胁的手段。 该解决方案解决了SIEM,endpoint,威胁搜寻等安全用例,使 SecOps 团队能够收集各种数据,执行自动化和分析师驱动的分析,并通过嵌入式工作流和自动化来应对安全威胁。在今天的文章中,我将介绍如何安装 Elastic SIEM 及 EDR。

在我的系统配置中,我们使用如下的结构:

我有两台机器,在其中的一台机器上安装有 Elasticsearch,Filebeat 及 Kibana,而在另外一台机器上安装有 endpoint agent。在今天的练习中,我将详细地介绍如何一步一步地完成整个安装。

安装 Elastic Stack 基础

尽管我在之前的很多文章中有介绍如何安装 Elastic Stack,我还是想一步一步地来详细介绍。就我而言,我使用的是 Elastic Stack 的最新版本7.11.1。对于我的 Elastic Stack 设置,我使用的是一个单台的 Ubuntu  20.04 机器。 该服务器将运行 Elasticsearch 和 Kibana。

安装 Elasticsearch

首先安装 transport-https

sudo apt-get install curl apt-transport-https

接下来,将 Elastic 仓库添加到你的源列表。

curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list

然后更新。

sudo apt update

现在安装 Elasticsearch

sudo apt-get install elasticsearch 

对于中国有的开发者来说,上面的安装步骤可能会很慢,一种办法就是直接到网址 Download Elastic Products | Elastic 直接下载 Elasticsearch 的 deb 安装包,并按如下的命令来进行安装:

sudo dpkg -i elasticsearch-7.11.1-amd64.deb

安装 Elasticsearch 之后,我们需要对其配置文件进行几处更改。 该文件位于 /etc/elasticsearch/elasticsearch.yml 中。要访问此文件,你需要 root 特权。

首先,我们需要更改 network.host 值。 其默认设置为 localhost。 将其更改为安装了 Elasticsearch 的主机的 IP 地址。

cluster.name: demo-elk
node.name: elk-1
network.host: 0.0.0.0
discovery.type: single-node

安装完成后,Elasticsearch 在你启动之前不会运行。 另外,重新启动计算机时,你需要重新运行 Elasticsearch 服务,因为该服务不会自动启动。要使 Elasticsearch 在系统重新启动时自动重新加载,请使用以下命令。首先,重新加载 systemd 配置:

sudo /bin/systemctl daemon-reload
sudo /bin/systemctl enable elasticsearch.service

现在,你应该准备启动 Elasticsearch 并检查它是否已正确启动。

sudo service elasticsearch start

我们可以使用如下的命令来查看 elasticsearch 服务的状态:

service elasticsearch status

如上所示,如果我们看到 Elasticsearch 服务的状态为 active,则表明它的安装是成功的。

你还可以通过运行以下命令来检查 Elasticsearch 是否可从其他主机访问:

curl http://<elasticsearch_ip>:9200

输出应类似于以下内容:

安装 Kibana

运行以下命令以安装 Kibana。

sudo apt install kibana

对于中国有的开发者来说,上面的安装步骤可能会很慢,一种办法就是直接到网址 Download Elastic Products | Elastic 直接下载 Kibana 的 deb 安装包,并按如下的命令来进行安装:

sudo dpkg -i kibana-7.11.1-amd64.deb

一旦安装完成后,编辑 /etc/kibana/kibana.yml 并指定托管 Kibana 的 IP 地址。

server.port: 5601
server.host: 0.0.0.0
server.name: demo-kibana

在上面,我们可以只修改 server_host 即可,其它的我们可以使用默认的配置即可。设置 server_host 为 0.0.0.0 为的是我们可以在其它的机器上访问当前的 Kibana。我们可以使用 Ubuntu 机器的 IP 地址加上端口 5601 就可以访问了。

启动 Kibana 并检查其状态。

sudo service kibana start
sudo service kibana status

如果我们能看到状态为 active,则表明我们的安装是成功。我们可以通过另外一个电脑来访问 Kibana:

你如果能看到上面的画面,则表明你的安装是成功的。

安装 Beats

Filebeat 用于将数据从设备传送到 Elasticsearch。 对于不同的产品,有许多不同的 Filebeat 模块,它们以所需的格式将日志和数据发送到 Elasticsearch。 在此示例中,我们将模块用于 Zeek,但是 Elastic 也扩展了其对其他产品的支持,包括 AWS,CrowdStrike,ZScaler 等。

目前,我们只打算在运行 Zeek 的主机上安装 Filebeat,我们稍后会对其进行配置。

sudo apt-get install filebeat

对于中国有的开发者来说,上面的安装步骤可能会很慢,一种办法就是直接到网址 Download Elastic Products | Elastic 直接下载 Filebeat 的 deb 安装包,并按如下的命令来进行安装:

sudo dpkg -i filebeat-7.11.1-amd64.deb

安装 Zeek

现在,我们准备着手安装 Zeek。 首先,我们需要安装所有必备组件。 通过运行以下命令来执行此操作。

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev

接下来,我们需要为 Zeek 创建工作目录,由于某些原因,Zeek 在安装时默认不执行此操作。

sudo mkdir /opt/zeek
sudo chown -R root:root /opt/zeek
sudo chmod 740 /opt/zeek

接下来下载带有 GIT 的 Zeek

git clone --recursive https://github.com/zeek/zeek

等下载完文件,进入 zeek 下载目录。 然后将我们先前创建的 /opt/zeek 目录设置为安装目录。

cd /home/$USER/zeek
./configure --prefix=/opt/zeek

在上面,我们假设你把 zeek 的文件 clone 到 home 目录下的 zeek 目录。现在,我们准备安装 Zeek,运行以下 make 命令,然后将其保留安装(这可能需要一些时间)

make
sudo make install

接下来,我们需要添加 PATH 环境变量

export PATH=/opt/zeek/bin:$PATH

我们可以在 /opt/zeek/etc 找到一个叫做 node.cfg 的配置文件。

# pwd
/opt/zeek/etc
root@liuxgu:/opt/zeek/etc# ls
networks.cfg  node.cfg  zeekctl.cfg  zkg

这个文件包含对 zeek 的节点配置。我们需要配置我们的 interface:

node.cfg

上面的 interface, 我们可以通过 ifconfig 命令来获得本机的接口。另外,我们需要安装 sendmail,否则在运行 zeek 时会发生无法找到 sendmail 的错误。

sudo apt-get install sendmail

现在,我们准备运行下面的命令来部署 Zeek。我们需要在 root 账号下运行:

zeekctl deploy

我们可以在 /opt/zeek/logs 目录里发现日志。“current” 目录保存当天的日志,而前几天的日志则存档到其自己的目录中。 还有一个针对不同数据类型的日志文件,例如 DNS 连接,HTTP 连接等。

让我们检查DNS日志

# pwd
/opt/zeek/logs
root@liuxgu:/opt/zeek/logs# ls
2021-02-24  current

配置安全

就目前而言,我们在 ELK 部署中拥有的唯一功能是日志提取和可视化。 我们可以将日志提取到 Elastisearch 中,并通过 Kibana 可视化来处理数据,但是缺少 SIEM 的核心功能。 我们无法建立检测或用例。 此功能不是“开箱即用”的,要使用它,我们必须首先在所有不同节点之间配置安全性。 X-Pack 是 Elastic 软件包,它基本上负责所有 Elastic Security 功能。

所需的一个关键组件是配置每个节点之间的 SSL 连接,可以通过多种方法进行。 我们也将使用 X-Pack 来执行此操作。

首先,在安装了 Elasticsearch 的主机上,我们需要创建一个 YAML 文件 /usr/share/elasticsearch/instances.yml,它将包含我们要使用 SSL 保护的不同节点/实例。 就我而言,我只有 Elasticsearch,Kibana 和 Zeek。

/usr/share/elasticsearch/instances.yml

instances:
    - name: "elasticsearch"
      ip:
        - "192.168.0.4"
    - name: "kibana"
      ip:
        - "192.168.0.4"
    - name: "zeek"
      ip:
        - "192.168.0.4"
    - name: "windows"
      ip:
        - "192.168.0.6"

请注意,在上面,192.168.0.6 是 Windows 的 IP 地址。在接下来的练习中,它将被用于 ingest agent 的安装中。接下来,我们将使用 Elastic 的 certutil 工具为我们的实例生成证书。 这也将生成一个证书颁发机构(Certificate Authority)。

/usr/share/elasticsearch/bin/elasticsearch-certutil cert ca --pem --in instances.yml --out certs.zip

在上面的命令中,我们也可以添加上选项 --keep-ca-key,这样可以生成一个  ca.key 以方便我们未来添加更多的节点或边缘设备访问。

/usr/share/elasticsearch/bin/elasticsearch-certutil cert ca --keep-ca-key --pem --in instances.yml --out certs.zip

这将为我们的每个实例创建一个 .crt 和 .key 文件,以及一个 ca.crt 文件。你可以使用 unzip 来解压缩不同的证书。

unzip /usr/share/elasticsearch/certs.zip -d /usr/share/elasticsearch/

如果我们添加了 --keep-ca-key 选项,那么我们可以在 ca 目录中看到多一个文件 ca.key:

root@liuxgu:/usr/share/elasticsearch# ls ca
ca.crt  ca.key

现在我们有了我们的证书,我们可以配置每个实例。

配置 Elasticsearch SSL

首先,我们需要创建一个文件夹将你的证书存储在我们的 Elasticsearch 主机上。

mkdir /etc/elasticsearch/certs/ca -p

接下来,我们需要将解压缩的证书复制到其相关文件夹中并设置正确的权限。

cp ca/ca.crt /etc/elasticsearch/certs/ca
cp elasticsearch/elasticsearch.crt /etc/elasticsearch/certs
cp elasticsearch/elasticsearch.key /etc/elasticsearch/certs
chown -R elasticsearch: /etc/elasticsearch/certs
chmod -R 770 /etc/elasticsearch/certs

接下来,我们需要将 SSL 配置添加到我们的 /etc/elasticsearch/elasticsearch.yml 文件中。

/etc/elasticsearch/elasticsearch.yml

# Transport layer
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.key: /etc/elasticsearch/certs/elasticsearch.key
xpack.security.transport.ssl.certificate: /etc/elasticsearch/certs/elasticsearch.crt
xpack.security.transport.ssl.certificate_authorities: [ "/etc/elasticsearch/certs/ca/ca.crt" ]

# HTTP layer
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.verification_mode: certificate
xpack.security.http.ssl.key: /etc/elasticsearch/certs/elasticsearch.key
xpack.security.http.ssl.certificate: /etc/elasticsearch/certs/elasticsearch.crt
xpack.security.http.ssl.certificate_authorities: [ "/etc/elasticsearch/certs/ca/ca.crt" ]

现在重新启动 Elasticsearch。

service elasticsearch restart 

配置 Kibana SSL

现在,我们将重复此过程,但这一次是 Kibana。 Kibana 的配置略有不同。同样,将你的证书移动到正确的文件夹并设置正确的权限。

注意:以下步骤假定你正在运行独立的 ELK 配置。 如果你正在运行分布式部署,则需要将证书移至适当的主机。

mkdir /etc/kibana/certs/ca -p
cp ca/ca.crt /etc/kibana/certs/ca
cp kibana/kibana.crt /etc/kibana/certs
cp kibana/kibana.key /etc/kibana/certs
chown -R kibana: /etc/kibana/certs
chmod -R 770 /etc/kibana/certs

接下来,在文件 /etc/kibana/kibana.yml 中,在 Elasticsearch 和 Kibana 之间添加SSL设置。

/etc/kibana/kibana.yml

# The URLs of the Elasticsearch instances to use for all your queries.
elasticsearch.hosts: ["https://192.168.0.4:9200"]
elasticsearch.ssl.certificateAuthorities: ["/etc/kibana/certs/ca/ca.crt"]
elasticsearch.ssl.certificate: "/etc/kibana/certs/kibana.crt"
elasticsearch.ssl.key: "/etc/kibana/certs/kibana.key"

然后在同一文件中,在 Kibana 和浏览器之间添加配置。

# These settings enable SSL for outgoing requests from the Kibana server to the browser.
server.ssl.enabled: true
server.ssl.certificate: "/etc/kibana/certs/kibana.crt"
server.ssl.key: "/etc/kibana/certs/kibana.key"

然后,重新启动 Kibana。

service kibana restart

配置 Beats (Zeek) SSL

下一步,我们需要为运行 Zeek 和 Beats 的主机配置 SSL。 如果你没有运行 Zeek 或其他使用 Filebeats 模块的产品,例如 Suricata,Windows Event Log 等,则可以跳过此步骤。

首先将证书复制到运行 Zeek 的主机上,然后使用正确的权限创建证书目录。 您需要同时复制 Zeek 证书和 CA 证书。

mkdir /etc/filebeat/certs/ca -p
cp ca/ca.crt /etc/filebeat/certs/ca
cp zeek/zeek.crt /etc/filebeat/certs
cp zeek/zeek.key /etc/filebeat/certs
chmod 770 -R /etc/filebeat/certs

接下来,我们需要将更改添加到 /etc/filebeat/filebeat.yml。

首先,我们的 Elasticsearch 配置设置。

# Elastic Output
output.elasticsearch.hosts: ['192.168.0.4:9200']
output.elasticsearch.protocol: https
output.elasticsearch.ssl.certificate: "/etc/filebeat/certs/zeek.crt"
output.elasticsearch.ssl.key: "/etc/filebeat/certs/zeek.key"
output.elasticsearch.ssl.certificate_authorities: ["/etc/filebeat/certs/ca/ca.crt"]

然后是我们的 Kibana 配置设置。

setup.kibana:
  host: "https://192.168.0.4:5601"
  ssl.enabled: true
  ssl.certificate_authorities: ["/etc/filebeat/certs/ca/ca.crt"]
  ssl.certificate: "/etc/filebeat/certs/zeek.crt"
  ssl.key: "/etc/filebeat/certs/zeek.key"

然后重新启动 Filebeat。

service filebeat restart

现在,你可以通过运行以下命令来检查 FileBeats 是否可以连接到 Elasticsearch。 一切都应该返回“OK”。

filebeat test output

添加身份验证

我们还需要向 Elasticsearch 添加身份验证。 这很容易做到。 首先通过编辑 /etc/elasticsearch/elasticsearch.yml 启用安全

/etc/elasticsearch/elasticsearch.yml

# X-Pack Setting
xpack.security.enabled: true

设置完上面,我们必须重新启动 Elasticsearch:

service elasticsearch restart

接下来,我们需要为所有内置的 Elasticsearch 角色和用户生成密码。 Elasticsearch 附带了一个工具来执行此操作。 运行以下命令以生成这些密码并将其保存在安全的地方(密码管理器)。 

/usr/share/elasticsearch/bin/elasticsearch-setup-passwords interactive

为了方便,我将把所有的账号的密码都设置为 password。

我们可以通过另外一个机器来访问 ubuntu 机器 https://ubuntu.9200。当 Chrome 浏览器上出现如下的画面时:

我们在当前的页面打入如下的字符串:

thissisunsafe

我们就可以看到:

我们把用户名及密码 elastic/password 输入进去即可:

针对 Kibana,我们需要修改 /etc/kibana/kibana.yml 文件,并把相应的用户名及密码填入:

 /etc/kibana/kibana.yml

elasticsearch.username: "kibana_system"
elasticsearch.password: "password"

修改完后,我们必须重新启动 Kibana:

service kibana restart

我们也可以按照同样的方法来启动 Kibana https://ubuntu:5601。

接下来,将新创建的 Elasticsearch 凭证添加到我们的 Filebeat 配置文件中:

/etc/filebeat/filebeat.yml
# Elastic Credentials
output.elasticsearch.username: "elastic"
output.elasticsearch.password: "Your_Elastic_Pass_Here"

我们需要重新启动 Filebeat:

service filebeat restart

一旦 Elasticsearch 配置 https 成功,我们在命令行中可以通过如下的方式来对它进行访问:

我们可以把上面的 cURL 命令拷贝下来,并粘贴到如下的命令中,替换其中的一部分:

curl --cacert ~/ubuntu/certs/ca.crt  --user elastic:password -XDELETE https://192.168.0.4:9200/twitter

在上面,我们使用 --cacert 来定义证书的位置;使用 --user 来定义用户名及密码。上面的命将删除一个叫做 twitter 的索引。

安装证书 - Mac OS

在上面我显示了如何打入 thisisunsafe 进入一个含有危险的网站。在实际的使用中,我们觉得还是不爽,我们可以使用如下的方式来安装证书。在下面的章节中,我们也会讲 Windows 下的证书安装。

按照上面的方法把证书拖动到桌面,并保存下来。在桌面上,我们将看到一个叫做 kibana.cer 文件。点击右键:

选择 Keychain Access 打开 kibana.cer 文件:

上面显示我们的证书已经被信任。我们再次访问 Kibana:

从上面可以看出来,该网站已经被信任,而不是之前显示的那样。这样我们再也不用打入 thisisunsafe 了。

添加 Zeek 数据到 Elasticsearch

我们可以通过 Filebeat 把 Zeek 的日志信息导入到 Elasticsearch 中去。首先,我们必须启动 zeek 模块。我们打开 Kibana 的界面:

里面有详细的步骤介绍如何配置 Filebeat。首先,我们需要使用如下的命令来启动 zeek 模块:

sudo filebeat modules enable zeek
$ sudo filebeat modules enable zeek
Enabled zeek

完成后,我们需要配置 Zeek 将 Zeek 日志转换为 JSON 格式。 首先,停止 Zeek 的运行。然后将 @load policy / tuning / json-logs.zeek 行编辑到文件 /opt/zeek/share/zeek/site/local.zeek

保存好文件,并重新启动 zeek:

zeekctl deploy

现在检查日志是否为 JSON 格式。 即使你不熟悉 JSON,日志的格式也应该与以前明显不同。

tail -f /opt/zeek/logs/current/dns.log

然后编辑配置文件 /etc/filebeat/modules.d/zeek.yml。 我们需要指定 Zeek 创建的每个单独的日志文件,或者至少指定我们希望 Elasticsearch 提取的日志文件。 对于 /opt/zeek/logs/ 文件夹中的每个日志文件,必须定义 “current” 日志的路径以及以前的任何日志,如下所示。

dns:
   enabled: true
   var.paths: [ "/opt/zeek/logs/current/dns.log", "/opt/zeek/logs/*.dns.json" ]

如果 opt 文件夹中有一些默认日志文件(例如 capture_loss.log),你不希望 Elasticsearch 提取这些文件,则只需将 “enabled” 字段设置为 false。 重要的是,将在 /opt/zeek/logs中没有日志文件的所有日志源设置为 enabled: false,否则会收到错误消息。 此外,请务必注意间距,因为 YML 文件对空格敏感。在我的 current 目录中我们可以看到如下的文件:

root@liuxgu:/opt/zeek/logs/current# ls
capture_loss.log  http.log            ntp.log            ssh.log     weird.log
conn.log          known_services.log  packet_filter.log  stats.log
dhcp.log          loaded_scripts.log  reporter.log       stderr.log
dns.log           notice.log          software.log       stdout.log

那么我们的  /etc/filebeat/modules.d/zeek.yml 最终格式为:

json

完成后,你应该可以很好地启动 Filebeat 并启动该服务。

sudo filebeat setup
sudo service filebeat restart

我们将在  Kibana 中看到如下的信息:

点击上面的 Zeek Overview 按钮, 我们将看到 Zeek 的信息:

如果你转到 SIEM 应用程序中的网络仪表板,则应该看到使用 Zeek!数据填充的不同仪表板! 这里的仪表板很好地概述了从网络中收集的一些数据。

启动检测

一旦完成上述所有步骤,并将数据提取到 Elasticsearch 中,你可能会注意到仍然无法创建检测。

点击上面的 View document。这是我们最后要完成的步骤。 编辑你的 Kibana 配置件 /etc/kibana/kibana.yml,然后添加 xpack.encryptedSavedObjects.encryptionKey。 我相信这可以是任何32个字符串。

xpack.security.enabled: true
# xpack.fleet.agents.tlsCheckDisabled: true
xpack.encryptedSavedObjects.encryptionKey: "something_at_least_32_characters"

在 Kibana 中,它提供了一个方便的工具让我们生产上面的随机字符串:

bin/kibana-encryption-keys generate

重新启动 Kibana:

service kibana restart

经过上面的设置后,我们终于可以创建检测规则了:

安装 Endpoint agent

现在,我们准备安装 Elastic endpoint。首先,通过单击侧面菜单上管理标签下的链接,导航到 “Fleet” 仪表板。

如果我们现在将代理安装到 Windows 主机上,则会收到一个错误消息,即我们的自签名证书来自不受信任的来源,并且代理安装将失败。因此,我们需要做的是将我们的 CA 证书添加为 Windows 主机上的受信任证书。

安装证书 - Windows

首先在 Windows 搜索栏中搜索 “本地安全策略”。 然后转到 安全设置 > 公钥策略 > 证书路径验证设置

然后,选中“定义这些策略设置”,然后选中 “允许使用用户信任的根CA来验证证书” 和 “允许用户信任对等信任证书” 选项(如果尚未选中)。

最后,选中 “第三方根CA 和企业根CA”。单击 “应用”,然后单击 “确定”。

接下来在 Windows 搜索栏中搜索 certlm.msc。由于 agent 在  SYSTEM 用户下进行运行的,所以,我们必须把证书安装于 Local Machine。

然后转到 “受信任的根证书颁发机构” > “证书”,右键单击空白处的任意位置,然后选择 “所有任务” > “导入

然后简单地按照向导操作,并选择我们之前创建的 ca.crt。

安装证书 - Linux

我们可以把证书拷贝到如下的目录中:

sudo cp ca.crt /usr/local/share/ca-certificates

然后,我们使用如下的方法来进行更新:

sudo update-ca-certificates

sudo update-ca-certificates
Updating certificates in /etc/ssl/certs...
1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...
 
Adding debian:ca.pem
done.
done.

安装 endpoint agent

现在,我们准备安 Elastic agent。 从 Fleet Dashboard 复制安装命令,并在该代理所在的 Windows 主机上使用 PowerShell 运行它。由于 Elastic Stack 是运行于另外一个机器上的,我们需要对它做一些配置。我们可以参考文章 “Elastic:Elastic Security 入门”。这里就不再详述了。

在我们安装 ingest agent 的时候,我们需要按照如下的方式来进行安装:

如上所示,我们使用 “Windows PowerShell” 管理员来运行 agent,从而它具有 SYSTEM 用户权限。

 我们也可以使用如下命令来进行安装 ingest agent 而不用安装上面的证书:

在上面,我们使用 -a 来定义证书的路径。一旦 enroll 成功,我们就可以看到:

我们可以看到状态变为 Healthy。

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐