SIEMとしてのELKスタック-最初のステップ

Syslog-ngをELKと統合することに疑問があります。それは本当に必要ですか？

もちろん、そうではありません。syslog-ngは「ログ管理インフラストラクチャ」です。 ELKをSIEMとして展開すると、すべてのログをそこで管理できます。ログを取得する各サーバーにエージェントをインストールするだけです。公式のlogstashクライアントまたはsyslogをJSONに解析してElastic Searchサーバーに渡すその他のツールを使用できます。

ELKプラットフォームへの入力は、すべてのsyslogとシステムイベントであると想定しています。すべての相関、ルール、処理はELK環境内で行われます。私は正しいですか？

何でも渡すことができますが、そうです。

DBはElasticsearchと統合するためのより良い方法ですか？

私はそうは思いません。 Elasticはすべてのデータを取得してそれ自体を保存するため、他のDBと対話するには、DBを読み取り、JSONをElasticサーバーに送信するエージェントをデプロイする必要があります。

このガイドに従って、完全なELKを試してみることができます。 here

それが最新であるかどうかはわかりません（たとえば、Kibanaはリバースプロキシのためにnginxを必要としません。nodejsが組み込まれているので）、時間を大幅に節約できます。

ELKスタックをセットアップして、テクノロジーと可能性について詳しく学習しようとしています。 syslog-ngをELKと統合することに疑問があります。それは本当に必要ですか？

私は、他の多くの人とともに、syslogを共通の場所に統合し、そこからログを取り込みます。それは絶対に可能ですが、決して必要ではありません。

ELKプラットフォームへの入力は、すべてのsyslogとシステムイベントであると想定しています。すべての相関、ルール、処理はELK環境内で行われます。私は正しいですか？

それがELKの目的です。

でも、少し後戻りしたい。

SIEMソリューション

SIEMは通常、基本的なELKデプロイメント以上のものである必要があります。一般的に、基本的なSplunkの導入以上のものも必要です。人々がSplunkのEnterprise Securityアドオンに高額を支払うのには理由があります。 SIEMは冗談ではありません。特に、コンプライアンス要件について心配している場合はなおさらです。

本当に正真正銘のSIEMを探していますか、それとも単なるSMB SIEM-ish ELKですか？

ELKには、Splunkほど多くの事前構成されたアイテムはありませんが、スタックの学習に専念する方がより強力だと思います。

Elasticsearchを使用する本当の利点は、それが離散した非構造化データセットの検索に優れていることです。 Logstashを使用すると、すべてのイベントタイプに共通のフィールド名を設定するなど、イベント、ログ、データを変換できます。 [src] [ip]、[src] [port]。

幹部の首を回す最も近いものは、IPアドレスにジオタグを付け、すべてのネットワーク接続をマップに表示できることです。ネットワークをジオフェンスできない場合は、人々がどこからネットワークに接続しているかを知る必要があります。 Logstash構成でジオタグフィルターを使用すると、Elasticsearchに送信される各イベントに緯度、経度、国名、エリアコードなどをわずか4行のコードで追加できます。