INT-9-Омаров_Джамалутин

###### tags: `INT` # INT-9-Омаров_Джамалутин *Выполнил Омаров Джамалутин* ## Особенности работы инженеров ПТ Порядок выполнения работы: Установка `Elasticsearch` Установка `Kibana` - веб-интерфейс Установка `Logstash` - конвейер обработки событий `Logstash` состоит из трех этапов: входные -> фильтры -> выходы. Входные данные генерируют события, фильтры изменяют их, а выходные данные отправляют. В `Kibana` необходимо добавить `Fleet`, чтобы использовать его для централизованного управления. На `Fleet` мы добавляем интеграцию `Elastic Agent` для добавления мониторинга журналов, метрик и других типов данных на узел. Установка модуля `Winlogbeat` на Windows+Sysmon. На Win хосте можно изменить конфигурацию (output. ...) и настроить отправку событий на `Elasticsearch`, либо на `Logstash`. Так как будет развернут обработчик событий, необходимо раскомментировать и изменить output.logstash. События будут отправляться на `Logstash`, обрабатываться там, и выходные данные будет получаться на `Elastic Agent` в интерфейсе `Kibana`. Утилита `mimikatz` - используем ее для дампа хеша паролей. Возникнет событие обращения к `lsass.exe` Ранее настроенная конфигурация `Winlogbeat` подхватит данное событие из `sysmon` и отправит на `Logstash` и тд... Добавляем дэшборд с группировкой данных событий. Аналогия с `MaxPatrol 10` Далее группируем события по MSGID и настроим фильтр для удобства. ### Подготовка и настройка. 1. VPN Elasticsearch - это популярное решение для организации полнотекстового поиска с открытым исходным кодом, на основе библиотеки Apache Lucene. Установил VPN для успешной установки Elasticsearch. ![](https://i.imgur.com/R3I43Xa.png) Установим Java. ![](https://i.imgur.com/paRlUCA.png) 2. Установка Elasticsearch. ![](https://i.imgur.com/vxcXEFc.png) Служба установлена. ![](https://i.imgur.com/erX6yhu.png) Проверка работоспособности успешна. При установке был сгенерирован пароль от суперпользователя elastic, который я вписал. ![](https://i.imgur.com/WDUQCxv.png) 3. Kibana. Для взаимодействиями с индексами Elasticsearch удобно использовать Kibana. Также он откроет нам веб-интерфейс. ![](https://i.imgur.com/QXUBhhi.png) Служба запущена. ![](https://i.imgur.com/GpZ4BJg.png) Сгенерировали токен доступа. ![](https://i.imgur.com/N1GBCdJ.png) Получен доступ к веб-интерфейсу. Необходимо вставить сгенерированный токен доступа. ![](https://i.imgur.com/vnb1foc.png) Вставим токен доступа, сразу видим адрес и порт сервера. ![](https://i.imgur.com/o0eVuBt.png) Далее просят код верификации. ![](https://i.imgur.com/9k4gBKg.png) Мы его сгенерируем. ![](https://i.imgur.com/2la0pKY.png) И вставим. ![](https://i.imgur.com/0oI7I2q.png) Вводим логин и пароль, указанный ранее. Мы его не меняли, поэтому он остался таким же. ![](https://i.imgur.com/b9LKeLO.png) Пропустили настройки, залогинились. ![](https://i.imgur.com/BdJch1w.png) 4. Fleet Необходимо добавить Fleet. Чтобы использовать Fleet для централизованного управления, Fleet Server должен быть запущен и доступен для ваших хостов. ![](https://i.imgur.com/ub2h8Pj.png) Указали URL-адрес узла, который эластичные агенты будут использовать для подключения к Fleet Server. ![](https://i.imgur.com/udr8mry.png) Переходим на вкладку `Agent` и следуйте инструкциям в продукте, чтобы добавить сервер Fleet. ![](https://i.imgur.com/csP2tiP.png) 5. Elastic Agent Теперь добавим интерграцию Elastic Agent. Elastic Agent — это единый унифицированный способ добавления мониторинга журналов, метрик и других типов данных на узел. ![](https://i.imgur.com/qNzaIuK.png) Необходимо установить и зарегистрировать Elastic Agent. ![](https://i.imgur.com/deCWI1y.png) Добавим на хост. ![](https://i.imgur.com/nkN5uKP.png) 6. Logstash Также установил Logstash. ![](https://i.imgur.com/7SQsBi9.png) Много раз переустанавливал elastic, ставил на разные машины linux. Порт 5044 был недоступен. Я думаю возникла проблема с сопоставлением конфигураций. Я разобрался в том, что конфигурировать сервисы может через `.yml` файлы. Но добиться открытия порта 5044 не удалось. Даже после изменения конфигурации с указанием данного порта и рестарта сервисов, порт 5044 не был доступен. ![](https://i.imgur.com/Amb2dmZ.png) ### Windows + Sysmon `Sysmon` скачиваем на официальной сайте Microsoft. Просто следуем инструкции, далее необходимо подтянуть конфигурацию, которая будет содержать правило на ID 10. `Sysmon` я установил, покажу правило ID 10. Это ProcessAccess. ![](https://i.imgur.com/u45H3oK.png) А вот сам журнал. ![](https://i.imgur.com/sj535vp.png) Развернул Winlogbeat, нашел файл конфигурации `.yml` ![](https://i.imgur.com/TZVpvLI.png) Для нас тут 2 варианта. Либо связать его с elasticsearch по ip, либо с logstash по ip. Порт 5044 не доступен, поэтому есть смысл связывать с elasticsearch. На данном этапе работы возникли трудности, не получается связать Winlogbeat на Win7 и elasticsearch на Ubuntu. Машины находятся в одной сети, но безуспешно. Далее я решил поставить все на Win10, результат тот же, видимо ошибся в конфигурировании и окончательно запутался. Дамп хеша паролей не сложная штука, когда у тебя есть необходимые доступы и ты находишься в одной сети. Но отправить события на elasticsearch выполнить не смог.