--- title: INT-9-Криворученко_Савелий-Практика_9 tags: Module 2 description: Use `{%hackmd theme-dark %}` syntax to include this theme. --- <style> html, body, .ui-content { background-color: #333; color: #ddd; } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .markdown-body h5, .markdown-body h6 { color: #ddd; } .markdown-body h1, .markdown-body h2 { border-bottom-color: #ffffff69; } .markdown-body h1 .octicon-link, .markdown-body h2 .octicon-link, .markdown-body h3 .octicon-link, .markdown-body h4 .octicon-link, .markdown-body h5 .octicon-link, .markdown-body h6 .octicon-link { color: #fff; } .markdown-body img { background-color: transparent; } .ui-toc-dropdown .nav>.active:focus>a, .ui-toc-dropdown .nav>.active:hover>a, .ui-toc-dropdown .nav>.active>a { color: white; border-left: 2px solid white; } .expand-toggle:hover, .expand-toggle:focus, .back-to-top:hover, .back-to-top:focus, .go-to-bottom:hover, .go-to-bottom:focus { color: white; } .ui-toc-dropdown { background-color: #333; } .ui-toc-label.btn { background-color: #191919; color: white; } .ui-toc-dropdown .nav>li>a:focus, .ui-toc-dropdown .nav>li>a:hover { color: white; border-left: 1px solid white; } .markdown-body blockquote { color: #bcbcbc; } .markdown-body table tr { background-color: #5f5f5f; } .markdown-body table tr:nth-child(2n) { background-color: #4f4f4f; } .markdown-body code, .markdown-body tt { color: #eee; background-color: rgba(230, 230, 230, 0.36); } a, .open-files-container li.selected a { color: #5EB7E0; } </style> # Module_2_INT-9-Криворученко_Савелий-Практика_9 ``` Задачи: ``` - [ ] VM1 - Развенуть решение ELК на Linux host - [ ] VM2 - Развернуть стенд с windows + sysmon. Настроить логирование Sysmon - [ ] VM2 - Подключить WinlogBeat модуль по сбору событий на VM2 к ELK на VM1 - [ ] VM2 - Сэмулировать перехват хэшей паролей на VM2 c ипользованием mimikadze - [ ] VM1 - Кибана настроить Дэшборды с построением визуализации группировки событий по MSGID с журналов VM2: security, sysmon - [ ] VM1 – в Kibana настроить фильтр событий дампа паролей из шага 4, используя wildcard. --- *KVM — технология, обеспечивающая виртуализацию в среде Linux. Это программное решение является бесплатным и распространяется с открытым исходным кодом.* --- |VM1 - Развенуть решение ELК на Linux host | |---| |Стенд| |---| || |Elasticsearch| |---| |Выполним команду для проверки корректной установки| || |Подробности:| |В первую очередь я внес ключи elasticsearch, а нет: 1. Настроил впн, 2. Перерырыл документацию по установке 3. Докачал нехватающие модули команд, такие как WGet. После чего добавил ключи. И открыл порты для работы с elk:5044 port & 5601. На этом мое веселье не закончилось, вылазили разные ошибки, удивительно, как много ОП она требует.| |Kibana| |Задача отобразить - В браузере ввести строку| | |Подробности:| |При настройке kibana, произвел ее установку, А также внес токен на сайте командой:| |/usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana| |После чего внес 6 зн. верификационный код, командой:| |/usr/share/kibana/bin/kibana-verification-code| |Logstash |Команда для проверки корректной установки и настройки: || |Подробности:| |Я произвел установку, автозапуск, после чего прописал правила:| |input.conf| || |filter.conf| || |output.conf| || ``` ``` |VM2 - Развернуть стенд с windows + sysmon. Настроить логирование Sysmon| |---| |Стенд| |---| || |Скачал Sysmon & Sysmon_config| || |Установил Sysmon| || ``` После я столкнулся с сетевой проблемой, я хочу узнать как ее решить, потому что голову переломал: Так как ELK заблокирован в РФ, я скачивал все по nat поставив vpn на хост машину, при изменении сети мост. Elk блокирует доступ, потому что идет подключение по другому ip. При изменении config. ELK все равно kibana блокирует доступ, потому что Ключи авторизации выданы на другой ip. Как я пробовал это решить: 1. Ставил на vm ubuntu vpn и производил установку ELK, но все равно мне не выдавались или ключи, или при создании токена ловил 403 ошибку. 2. сделал два сетевых адаптера(сетевой мост, nat), скачивал по nat. Настраивал на мост. При установке выскакивала ошибка 403. 2.1 Те же самые операции с двойным vpn ```