将Bro IDS与ELK 套件集成在一起—第1部分

来源:https://logz.io/blog/bro-elk-part-1/

本系列介绍如何将ELK套件与Bro集成在一起进行网络分析和监视。第1部分将解释如何建立集成框架,第2部分将展示如何使用kibana分析和可视化示例数据。

网络攻击不断增加已不是秘密。勒索软件,DDoS,数据泄露——你能够说出来的攻击。各组织争相采用各种协议和安全策略,以增强自身抵御这些攻击的能力,日志记录和监控在这些尝试中扮演了关键角色。

已经开发了大量的解决方案和工具来帮助保护IT体系结构的不同层,从基础结构级别开始,到应用程序级别。本系列着重于探索一个这样的工具——Bro,与ELK套件的集成。


将Bro IDS与ELK 套件集成在一起—第1部分_第1张图片


一、Bro是什么?

Bro由最初的开发人员Vern Paxson和伯克利的一个研究小组共同开发,是一个功能丰富、功能强大的开源网络安全监视器,可以实时跟踪网络流量。

Bro将使您立即了解所有网络活动,包括文件类型、部署的软件和网络设备,就像任何网络入侵检测系统(NIDS)一样。但它的强大之处在于它的策略脚本和分析程序,这些脚本和分析程序允许用户分析数据、识别模式并采取基于事件的操作。此外,Bro很好地利用外部工具(如Critical Stack)帮助从监控数据中获得更多的见解。

正如人们所期望的那样,Bro日志记录了所有的事情。取决于您如何使用Bro,您可能会将日志记录到50多个不同的日志文件。稍后我将深入介绍Bro的日志记录特性,但即使是用于监视小型环境的Bro部署也会生成大量日志数据。

通过允许用户将Bro将日志集中到一个位置,并提供分析和可视化工具,ELK套件就可以提供帮助。在本系列的第一部分中,我们将探索如何将Bro日志与ELK套件连接起来。在第二部分中,我们将提供一些技巧和最佳实践来分析数据。

二、设置Bro

如果你已经设置好了,Bro,可以直接跳到下一节。如果没有,下面是在Ubuntu 16.04服务器上安装Bro的说明。整个过程大约需要15-20分钟。

(1)准备您的环境

开始更新你的系统:

(2)Bro有很多依赖项需要安装:

(3)安装Bro

我们现在准备安装从源代码安装Bro。

首先,克隆来自GitHub的Bro仓库:

访问目录并运行Bro的配置:


是时候构建程序了(这需要很长时间,所以你可能想去喝杯咖啡):

一旦构建过程完成,安装Bro:

Bro安装在/usr/local/bro目录中,完成安装过程的最后一步是将/usr/local/bro/bin目录导出到您的$PATH中:

(4)配置Bro

Bro有一些配置文件,都位于/usr/local/bro/etc目录下。首先需要对node.cfg文件进行调整,node.cfg文件用于配置要监视的服务器。

默认情况下,Bro被配置为在独立模式下操作,这应该足以用于本地安装。尽管如此,请查看文件中的Bro部分,并确保该接口与服务器的公共接口相匹配(在Linux上,您可以运行ifconfig来验证)。

将Bro IDS与ELK 套件集成在一起—第1部分_第2张图片

接下来,在networks.cfg文件中配置要监视的服务器的IP网络。

打开文件:

删除现有条目,并输入服务器的公共和私有IP空间(在Linux上,使用IP addr show检查网络地址)。

您的文件应该是这样的:


日志和邮件配置在broctl.cfg文件中。在这里,我们所要做的就是输入一个有效的电子邮件地址来接收来自Bro的通知:

(5)运行bro

最后,使用以下命令运行Bro(也用于随后应用配置更改):

要确保所有程序都按照预期运行,请使用:

将Bro IDS与ELK 套件集成在一起—第1部分_第3张图片

三、Bro日志101

如上所述,Bro的一个最强大的特性是其日志功能。Bro记录一切。

您可以查看这里提供的一些日志文件。在实现与外部插件(例如 Critical Stack)的集成后,还可能创建其他日志。

默认情况下,所有Bro日志都被写入/usr/local/bro/logs/current(在Linux上),并每天进行轮换。看一看:

将Bro IDS与ELK 套件集成在一起—第1部分_第4张图片

仔细看一看样本日志:


将Bro IDS与ELK 套件集成在一起—第1部分_第5张图片

每个Bro日志都在文件顶部包含一些定义——文件中的不同字段及其类型的列表。请注意日志文件的结构——字段由一个tab(\t)字符分隔,您将在本文后面看到它如何影响Logstash的处理。

四、将日志运送至ELK

要将日志发送到ELK堆栈中,我们将使用Filebeat跟踪日志文件,并通过Logstash将它们发送到本地Elasticsearch实例中。对于Logz.io用户,我还将解释如何将日志从Filebeat直接发送到Logz.io。

重要!我们将只关注一个Bro日志文件,conn.log文件。要收集所有日志文件,需要配置多个管道。

(1)配置Filebeat

假设你已经安装了Filebeat,打开你的Filebeat配置文件:

在Filebeat配置文件中,定义到日志文件和输出目的地的路径。

下面的示例定义了Bro的conn.log文件的一个勘探者,该文件包含网络TCP/UDP/ICMP连接上的数据。要跟踪其他日志,您需要以类似的方式为每个文件添加一个勘探者。输出是一个本地Logstash实例。

将Bro IDS与ELK 套件集成在一起—第1部分_第6张图片

(2)配置Logstash

接下来,我们需要配置Logstash。我将在本节末尾提供完整的示例,但让我们逐个介绍不同的部分。

1、输入

输入部分非常简单。我们将使用beats输入插件,并相应地定义主机和端口:

将Bro IDS与ELK 套件集成在一起—第1部分_第7张图片

2、过滤器

由于不同的Bro日志文件的结构,所以过滤器部分更加复杂。

我们将从使用if语句开始,告诉Logstash删除日志文件顶部的注释:

接下来,我们将使用Logstash CSV过滤器插件来处理数据。我们将首先使用if语句将后续的过滤器配置应用到“bro-conn”日志类型(如上面的Filebeat配置文件中定义的那样)。

将Bro IDS与ELK 套件集成在一起—第1部分_第8张图片

columns选项允许我们将每个列头定义为一个字段。CSV过滤器插件使用逗号作为默认分隔符,但在本例中,我们使用separator选项来定义标签作为分隔符。

接下来,我们将使用date filter插件和内置的Unix模式将提供的ts字段定义为时间戳字段:


为了用地理信息丰富我们的ip,我们将使用geoip过滤器插件:

我们将使用的最后一个过滤器插件是mutate插件,用于重命名字段(Elasticsearch存在字段名称中的句点问题)和定义字段类型:

将Bro IDS与ELK 套件集成在一起—第1部分_第9张图片

3、输出

和输入一样,这个部分也很简单:

将Bro IDS与ELK 套件集成在一起—第1部分_第10张图片


4、完整的配置文件

下面是完整的配置文件,用于从Filebeat输入Bro conn日志,对其进行处理并发送到Elasticsearch中进行索引:

将Bro IDS与ELK 套件集成在一起—第1部分_第11张图片

五、启动数据管道

既然我们已经把所有的部分都准备好了,现在是启动管道的时候了。

开始Logstash:

开始Filebeat:

一段时间后,如果您的配置文件中没有错误,将创建一个新的Logstash索引,其模式可以在Kibana中定义:


将Bro IDS与ELK 套件集成在一起—第1部分_第12张图片


输入索引模式,选择timestamp字段,并创建新的索引模式。

打开Kibana中的Discover页面,您应该会看到显示的Bro conn.log消息。在左边,将显示Logstash处理的所有可用分析字段的列表:


将Bro IDS与ELK 套件集成在一起—第1部分_第13张图片

总结

恭喜!您的Bro日志在Elasticsearch中被索引,可以在Kibana进行分析和可视化。这将直接引导我们进入本系列文章的下一部分,该部分将解释如何分析Bro日志数据。

为了重申上面强调的内容,这里的工作流程将通过运输一种类型的Bro日志(conn.log)的步骤。您将需要构建多个管道来运送其他日志类型。另外,就Bro的能力而言,日志只是冰山一角。高级用户将希望更深入地使用它支持的分析程序和策略脚本。

你可能感兴趣的:(将Bro IDS与ELK 套件集成在一起—第1部分)