Kami telah membuat kemajuan yang signifikan sejauh ini, mari kita terus membangunnya.
Posting pertama, kami menginstal Elasticsearch. Di pos kedua kami menginstal Kibana. Ini diikuti oleh pos ketiga di mana kami menyediakan keamanan dasar untuk Elastic dan Kibana. Di pos keempat, kami memasang, mengonfigurasi, dan mengamankan Metricbeat dan pos kelima, kami memasang, mengonfigurasi, dan mengamankan Auditbeat. Posting keenam, kami menginstal, mengonfigurasi, dan menyediakan keamanan dasar untuk Filebeat.
Sekali lagi, menjaga semuanya tetap sederhana dan menggunakan manajer paket.
[email protected]:~# apt-get install packetbeat Reading package lists... Done Building dependency tree Reading state information... Done The following NEW packages will be installed: packetbeat 0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded. Need to get 26.2 MB of archives. After this operation, 90.9 MB of additional disk space will be used. Get:1 https://artifacts.elastic.co/packages/7.x/apt stable/main amd64 packetbeat amd64 7.9.2 [26.2 MB] Fetched 26.2 MB in 1s (22.1 MB/s) Selecting previously unselected package packetbeat. (Reading database ... 176062 files and directories currently installed.) Preparing to unpack .../packetbeat_7.9.2_amd64.deb ... Unpacking packetbeat (7.9.2) ... Setting up packetbeat (7.9.2) ... Processing triggers for systemd (245.4-4ubuntu3.2) ...
Selanjutnya kita konfigurasikan “paketbeat.yml“.
[email protected]:~# cd /etc/packetbeat/ [email protected]:/etc/packetbeat# cp packetbeat.yml packetbeat.yml.ORIGINAL
Berikut adalah perubahan yang saya buat pada “paketbeat.yml” berkas.
[email protected]:~# cat /etc/packetbeat/packetbeat.yml | grep --perl-regexp "ssh|[22]|^s+host|^s+protocol|^s+username|^s+password" - type: ssh ports: [22] host: "https://10.0.0.1:5601" hosts: ["10.0.0.1:9200"] protocol: "https" username: "elastic" password: "WelcomeToSecurityNikElastic"
Seperti yang kami lakukan di posting sebelumnya, kami mengambil 8 baris terakhir dari “metricbeat.yml” dan masukkan ke dalam “paketbeat.yml“
[email protected]:~# tail --lines 8 /etc/metricbeat/metricbeat.yml >> /etc/packetbeat/packetbeat.yml [email protected]:~# tail --lines 8 /etc/auditbeat/auditbeat.yml
# SSL Configuration enabled by Nik ssl.enabled: true output.elasticsearch.hosts: ["https://10.0.0.1:9200"] output.elasticsearch.ssl.certificate_authorities: ["/etc/kibana/SecurityNik-CA.pem"] setup.kibana.ssl.enabled: true setup.kibana.ssl.certificate_authorities: ["/etc/kibana/SecurityNik-CA.pem"]
Menguji konfigurasi Packetbeat.
[email protected]:~# packetbeat test config Config OK
Melihat antarmuka yang dapat saya tangkap.
[email protected]:~# packetbeat devices 0: enp0s25 (No description available) (10.0.0.1 fe80::224:e8ff:fef0:f679) 1: any (Pseudo-device that captures on all interfaces) (Not assigned ip address) 2: lo (No description available) (127.0.0.1 ::1) 3: nflog (Linux netfilter log (NFLOG) interface) (Not assigned ip address) 4: nfqueue (Linux netfilter queue (NFQUEUE) interface) (Not assigned ip address)
Saya juga mengubah antarmuka yang sedang didengarkan Filebeat untuk mewakili apa yang kami lakukan dalam seri ini. Ini lebih terkait dengan posting sebelumnya di Filebeat.
[email protected]:~# cat /etc/filebeat/modules.d/netflow.yml # Module: netflow # Docs: https://www.elastic.co/guide/en/beats/filebeat/7.8/filebeat-module-netflow.html - module: netflow log: enabled: true var: netflow_host: 10.0.0.1 netflow_port: 2055
Muat dasbor Packetbeat di Kibana dan indeks yang sesuai.
[email protected]:~# packetbeat setup Overwriting ILM policy is disabled. Set `setup.ilm.overwrite:true` for enabling. Index setup finished. Loading dashboards (Kibana must be running and reachable) Loaded dashboards
Mengaktifkan dan memulai layanan Packetbeat.
[email protected]:~# systemctl enable --now packetbeat.service Synchronizing state of packetbeat.service with SysV service script with /lib/systemd/systemd-sysv-install. Executing: /lib/systemd/systemd-sysv-install enable packetbeat Created symlink /etc/systemd/system/multi-user.target.wants/packetbeat.service → /lib/systemd/system/packetbeat.service. [email protected]:~# systemctl status packetbeat.service ● packetbeat.service - Packetbeat analyzes network traffic and sends the data to Elasticsearch. Loaded: loaded (/lib/systemd/system/packetbeat.service; enabled; vendor preset: enabled) Active: active (running) since Fri 2020-08-14 12:56:30 EDT; 9s ago Docs: https://www.elastic.co/products/beats/packetbeat Main PID: 34364 (packetbeat) Tasks: 10 (limit: 4563) Memory: 45.4M CGroup: /system.slice/packetbeat.service └─34364 /usr/share/packetbeat/bin/packetbeat -environment systemd -c /etc/packetbeat/packetbeat.yml -path.home /usr/share/packetbeat -path.config /etc/packet>
Melihat data Packetbeat.
Sepertinya kami memiliki beberapa data dari Packetbeat.
Nah itu saja untuk postingan kali ini. Sampai jumpa di Winlogbeat berikutnya, di mana kami juga menyelesaikan seri ini..
Postingan dalam seri ini:
Keamanan Dengan Harga Murah – Elastic Stack Awal – Menginstal Elastic 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastic Stack Awal – Menginstal Kibana 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastic Stack Awal – Menyediakan Keamanan Dasar untuk komunikasi Elastic dan Kibana 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastis Awal – Memasang dan Memberikan Keamanan Dasar ke Metricbeat – Elastic Stack 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastis Awal – Menginstal dan Memberikan Keamanan Dasar ke Auditbeat – Elastic Stack 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastis Awal – Menginstal dan Memberikan Keamanan Dasar ke Filebeat – Elastic Stack 7.9 di Ubuntu 20.04
Elastis Awal – Menginstal, Mengonfigurasi, dan Memberikan Keamanan Dasar ke Packetbeat
Keamanan Dengan Harga Murah – Elastis Awal – Memasang dan Memberikan Keamanan Dasar ke Winlogbeat
Referensi:
https://www.elastic.co/beats/
https://www.elastic.co/downloads/beats/packetbeat