Belajar sambil berlatih: Keamanan Yang Murah – Elastis Awal – Memasang dan Memberikan Keamanan Dasar ke Winlogbeat

  • Whatsapp
Belajar sambil berlatih: Keamanan Yang Murah - Elastis Awal - Memasang dan Memberikan Keamanan Dasar ke Winlogbeat
Belajar sambil berlatih Keamanan Yang Murah Elastis Awal

News.nextcloud.asia

Dalam posting kedelapan dan terakhir dalam seri ini, kami menginstal, mengkonfigurasi, dan menyediakan keamanan dasar untuk Winlogbeat.

Posting pertama, kami menginstal Elasticsearch. Di pos kedua kami menginstal Kibana. Ini diikuti oleh pos ketiga di mana kami menyediakan keamanan dasar untuk Elastic dan Kibana. Di pos keempat, kami memasang, mengonfigurasi, dan mengamankan Metricbeat dan pos kelima, kami memasang, mengonfigurasi, dan mengamankan Auditbeat. Posting keenam, kami menginstal, mengonfigurasi, dan menyediakan keamanan dasar untuk Filebeat. Di pos ketujuh, kami menginstal, mengonfigurasi, dan menyediakan keamanan dasar untuk Packetbeat.

Sama seperti postingan sebelumnya, kita bisa memulainya dari “Tambahkan Data

Winlogbeat Tambah Data

Dari halaman login, saya mengunduh WINDOWS ZIP 64-BIT mengajukan.

C:UsersSecurityNik>certutil -f -URLCache "https://artifacts.elastic.co/downloads/beats/winlogbeat/winlogbeat-7.9.1-windows-x86_64.zip" winlogbeat-7.9.2.zip
****  Online  ****
CertUtil: -URLCache command completed successfully.

Pastikan file telah berhasil diunduh.

C:UsersSecurityNik>dir winlogbeat-7.9.2.zip
 Volume in drive C is OS
 Volume Serial Number is D436-4013

 Directory of C:UsersSecurityNik

2020-09-11  07:47 PM        19,156,840 winlogbeat-7.9.2.zip
               1 File(s)     19,156,840 bytes
               0 Dir(s)  31,707,971,584 bytes free

Perluas file “winlogbeat-7.9.0” ke direktori saat ini dan verifikasi file di dalam arsip.

PS C:UsersSecurityNik> Expand-Archive -LiteralPath .winlogbeat-7.9.2.zip -DestinationPath .

PS C:UsersSecurityNik> dir .winlogbeat-7.9.2-windows-x86_64


    Directory: C:UsersSecurityNikwinlogbeat-7.9.2-windows-x86_64                                                                                                                                                                                                                                      Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
d-----        2020-09-11   8:14 PM                kibana
d-----        2020-09-11   8:14 PM                module
-a----        2020-09-01   8:12 PM             41 .build_hash.txt
-a----        2020-09-01   8:10 PM         194542 fields.yml
-a----        2020-09-01   8:12 PM            897 install-service-winlogbeat.ps1
-a----        2020-09-01   6:50 PM          13675 LICENSE.txt
-a----        2020-09-01   6:51 PM        8440372 NOTICE.txt
-a----        2020-09-01   8:12 PM            832 README.md
-a----        2020-09-01   8:12 PM            254 uninstall-service-winlogbeat.ps1
-a----        2020-09-01   8:12 PM       62381056 winlogbeat.exe
-a----        2020-09-01   8:10 PM          54147 winlogbeat.reference.yml
-a----        2020-09-01   8:10 PM           8778 winlogbeat.yml

Dengan file tersebut diekstrak dan karena kami juga menyediakan beberapa keamanan dasar, kami perlu menyalin sertifikat Otoritas Sertifikasi (CA) “SecurityNik-CA.pem” ke sistem ini di folder yang sama dengan file konfigurasi lainnya. Karena ini bukan otentikasi timbal balik di mana server juga harus mengotentikasi klien, kita harus melakukannya dengan baik di sini. Jika kita melihat direktori Winlogbeat lagi, kita melihat sertifikat dan Sysmon.exe. Saya menambahkan Sysmon untuk mendapatkan tingkat logging ekstra yang disediakan Sysmon. Pada dasarnya, jika Anda memantau lingkungan Windows Anda dan tidak menggunakan Sysmon, maka saya rasa Anda istimewa.

PS C:UsersSecurityNik> dir .winlogbeat-7.9.2-windows-x86_64


    Directory: C:UsersSecurityNikwinlogbeat-7.9.2-windows-x86_64


Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
...
-a----        2020-08-14   3:29 PM           1200 SecurityNik-CA.pem
-a----        2020-08-14   2:17 PM        4282224 Sysmon.exe
...

Mari kita instal Sysmon terlebih dahulu di host.

C:winlogbeat-7.9.2-windows-x86_64>sysmon -accepteula -i


System Monitor v11.11 - System activity monitor
Copyright (C) 2014-2020 Mark Russinovich and Thomas Garnier
Sysinternals - www.sysinternals.com

Sysmon installed.
SysmonDrv installed.
Starting SysmonDrv.
SysmonDrv started.
Starting Sysmon..
Sysmon started.

Dengan Sysmon sekarang terinstal, selanjutnya kita memodifikasi file konfigurasi Winlogbeat. Di bawah ini mewakili perubahan di lingkungan saya

PS C:UsersSecurityNik> type C:winlogbeat-7.9.2winlogbeat.yml | more
....
#================== Kibana =========================
host: "https://10.0.0.1:5601"


# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["https://10.0.0.1:9200"]

  # Protocol - either `http` (default) or `https`.
  protocol: "https"

  # Authentication credentials - either API key or username/password.
  #api_key: "id:api_key"
  username: "elastic"
  password: "WelcomeToSecurityNikElastic"


# ================================= Processors =================================
processors:
  - add_host_metadata:
      when.not.contains.tags: forwarded
      # Added by Nik
      geo:
        name: home-ON
        continent_name: North America
        geo.country_name: Canada
        country_iso_code: CA
        region_name: Ontario
        region_iso_code: Ontario
        city_name: GTA


# SSL Configuration enabled by Nik
ssl.enabled: true
output.elasticsearch.hosts: ["https://10.0.0.1:9200"]
output.elasticsearch.ssl.certificate_authorities: ["C:\winlogbeat-7.9.2\SecurityNik-CA.pem"]

setup.kibana.ssl.enabled: true
setup.kibana.ssl.certificate_authorities: ["C:\winlogbeat-7.9.2\SecurityNik-CA.pem"]

Ganti nama dan salin folder winlogbeat ke nama yang lebih sederhana dan salin ke root drive c:.

C:Userssecuritynik>xcopy /S /I /E .winlogbeat-7.9.2 c:winlogbeat-7.9.2
.winlogbeat-7.9.2.build_hash.txt
.winlogbeat-7.9.2fields.yml
.winlogbeat-7.9.2install-service-winlogbeat.ps1
.winlogbeat-7.9.2LICENSE.txt
.winlogbeat-7.9.2NOTICE.txt
.winlogbeat-7.9.2README.md
.winlogbeat-7.9.2SecurityNik-CA.pem
.winlogbeat-7.9.2Sysmon.exe
.winlogbeat-7.9.2uninstall-service-winlogbeat.ps1
.winlogbeat-7.9.2winlogbeat.exe
.winlogbeat-7.9.2winlogbeat.reference.yml
.winlogbeat-7.9.2winlogbeat.yml
.winlogbeat-7.9.2kibana7dashboard1c54730-fee6-11e9-8405-516218e3d268.json
.winlogbeat-7.9.2kibana7dashboard71f720f0-ff18-11e9-8405-516218e3d268.json
.winlogbeat-7.9.2kibana7dashboard8223bed0-b9e9-11e9-b6a2-c9b4015c4baf.json
.winlogbeat-7.9.2kibana7dashboardbb858830-f412-11e9-8405-516218e3d268.json
.winlogbeat-7.9.2kibana7dashboardPowershell-Overview-Dashboard.json
.winlogbeat-7.9.2kibana7dashboardWinlogbeat-overview.json
.winlogbeat-7.9.2modulepowershellconfigwinlogbeat-powershell.js
.winlogbeat-7.9.2modulesecurityconfigwinlogbeat-security.js
.winlogbeat-7.9.2modulesysmonconfigwinlogbeat-sysmon.js
21 File(s) copied

Dengan file yang sekarang disalin, mari kita uji konfigurasi kita.

C:winlogbeat-7.9.2>winlogbeat.exe test config
Config OK

Konfigurasi terlihat “Oke“.

Sekarang untuk menguji bahwa segala sesuatu yang lain baik untuk pergi.

C:winlogbeat-7.9.2>winlogbeat.exe test config
Config OKC:winlogbeat-7.9.1>winlogbeat test output --e
2020-09-11T18:52:42.260-0700    INFO    instance/beat.go:640    Home path: [C:winlogbeat-7.9.2] Config path: [C:winlogbeat-7.9.1] Data path: [C:winlogbeat-7.9.2data] Logs path: [C:winlogbeat-7.9.2logs]
2020-09-11T18:52:42.267-0700    INFO    instance/beat.go:648    Beat ID: 6d3822d8-a900-4c46-b040-ae41659b2745
2020-09-11T18:52:42.284-0700    INFO    [index-management]      idxmgmt/std.go:184      Set output.elasticsearch.index to 'winlogbeat-7.9.2' as ILM is enabled.
2020-09-11T18:52:42.317-0700    INFO    eslegclient/connection.go:99    elasticsearch url: https://10.0.0.1:9200
elasticsearch: https://10.0.0.1:9200...
  parse url... OK
  connection...
    parse host... OK
    dns lookup... OK
    addresses: 192.12020-09-11T18:52:42.332-0700        INFO    [add_cloud_metadata]    add_cloud_metadata/add_cloud_metadata.go:89             add_cloud_metadata: hosting provider type not detected.
68.0.4
    dial up... OK
  TLS...
    security: server's certificate chain verification is enabled
    handshake... OK
    TLS version: TLSv1.3
    dial up... OK
2020-09-11T18:52:42.450-0700    INFO    [esclientleg]   eslegclient/connection.go:314   Attempting to connect to Elasticsearch version 7.9.0
2020-09-11T18:52:42.489-0700    INFO    [license]       licenser/es_callback.go:51      Elasticsearch license: Basic
  talk to server... OK
  version: 7.9.2

Selanjutnya kita install layanan Winlogbeat.

PS C:winlogbeat-7.9.2> .install-service-winlogbeat.ps1

Status   Name               DisplayName
------   ----               -----------
Stopped  winlogbeat         winlogbeat

Di atas kami melihat layanan telah diinstal tetapi statusnya mengatakan “Berhenti“. Mari kita mulai layanan itu dan verifikasi bahwa itu berjalan.

PS C:winlogbeat-7.9.2> Start-Service winlogbeat
PS C:winlogbeat-7.9.2> Get-Service winlogbeat

Status   Name               DisplayName
------   ----               -----------
Running  winlogbeat         winlogbeat

Kelihatan bagus. Sekarang mari beralih kembali ke UI Kibana dan memverifikasi bahwa data masuk.

Bagus, kami memiliki data yang masuk.

Melihat aplikasi Keamanan.

Semua terlihat bagus.

Nah itu saja untuk seri ini. Sebagai rekap. Dalam seri delapan bagian ini, kami menginstal, mengonfigurasi, dan menyediakan keamanan dasar untuk Elasticsearch, Kibana, Metricbeat, Auditbeat, Filebeat, Packetbeat, dan Winlogbeat.

Postingan dalam seri ini:

Keamanan Dengan Harga Murah – Elastic Stack Awal – Menginstal Elastic 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastic Stack Awal – Menginstal Kibana 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastic Stack Awal – Menyediakan Keamanan Dasar untuk komunikasi Elastic dan Kibana 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastis Awal – Memasang dan Memberikan Keamanan Dasar ke Metricbeat – Elastic Stack 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastis Awal – Menginstal dan Memberikan Keamanan Dasar ke Auditbeat – Elastic Stack 7.9 di Ubuntu 20.04
Keamanan Dengan Harga Murah – Elastis Awal – Memasang dan Memberikan Keamanan Dasar ke Filebeat – Elastic Stack 7.9 di Ubuntu 20.04
Elastis Awal – Menginstal, Mengonfigurasi, dan Memberikan Keamanan Dasar ke Packetbeat
Keamanan Dengan Harga Murah – Elastis Awal – Memasang dan Memberikan Keamanan Dasar ke Winlogbeat

Referensi:

https://www.elastic.co/downloads/beats/winlogbeat
https://www.howtogeek.com/670314/how-to-Zip-and-unzip-files-using-powershell/

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.