使用 Elasticsearch SIEM 设置审计事件

发布日期:2026-07-10 00:26:03   来源 : 杭州电子商务研究院    作者 :Aaron Rosenmund    浏览量 :6
Aaron Rosenmund 杭州电子商务研究院 发布日期:2026-07-10 00:26:03  
6

Elasticsearch SIEM 中的 Auditbeat 简介

您对全新的 Elasticsearch SIEM 设置感到兴奋,但又不知道从哪些数据入手? Kibana 中 SIEM 部分的登录页面就是您的最佳选择。

请注意这两个类别:

  • 举办活动
  • 网络事件

这些都是相当不言自明的,但其想法是,利用这种 SIEM 功能,您可以弥合主机和网络之间的连接,以揭示恶意活动的突发属性,并比单独查看数据更有效地构建攻击链。

有关 Elasticsearch SIEM 的更多信息以及使用不同节拍来提取其他 Elasticsearch SIEM 指南中额外兼容的事件,请参见此处。在本指南中,您将安装、配置和提取主机数据部分中最突出的类别 Auditbeats 中的日志。您可以在此处找到有关 Elasticsearch SIEM 的更多信息以及使用不同节拍来提取其他 Elasticsearch SIEM 指南中额外兼容的事件。

技术

产品 版本 关联
Filebeat 7.3.2 下载

概述

Elasticsearch 的 Auditbeat 模块是一个加载到端点、Linux、MacOS 或 Windows 上的代理,它使用不同的模块向 Elasticsearch SIEM 提供事件。

概览页面上显示了与 Elasticsearch SIEM 兼容的事件,但并非所有模块和数据集都适用于所有端点操作系统。

以下是概述:

模块 兼容操作系统
已审核 仅限 Linux
文件完整性 Windows、Linux、MacOS
系统 - 主机 Windows、Linux、MacOS
系统-流程 Windows、Linux、MacOS
系统 - 登录 仅限 Linux
系统 - 封装 仅限 Linux
系统 - 插座 仅限 Linux
系统 - 用户 仅限 Linux

从 Elasticsearch 收集信息并决定要监控的内容

要从以前的 Elasticsearch SIEM 安装中收集信息,您将需要在服务各自的 YAML 配置文件中找到 Elasticsearch 和 Kibana 服务的公开 IP。

假设 elastic 实例设置为公开 192.168.218.139,并且防火墙设置规则以允许 Elasticsearch (9200) 和 Kibana (5601) 进行外部监听,如elasticsearch 设置指南中所示,这些也将是本指南中用于 Auditbeat 配置的端点设置。

在 Windows 上安装、配置和运行 Auditbeat

在 Windows 上下载 Auditbeat

虽然并非所有功能都支持 Windows 和 MacOS,但文件完整性、进程和主机监控功能非常重要。要开始在 Windows 上使用审计节拍,首先在您选择的浏览器中导航到 Auditbeat下载页面,然后从列表中选择正确的发行版。

对于本指南,我在 64 位 Windows 10 系统上安装 Auditbeats,并选择相应的包进行下载。

确保还下载了sha文件以进行完整性检查,然后打开 Powershell,导航到两个文件的下载位置。

另一个命令行是invoke-webrequest。https ://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-7.3.2-windows-x86_64.zip

打开 Powershell 并导航到下载位置,对下载的 zip 文件进行哈希处理,然后从sha完整性文件中打印内容并确保两个值匹配后再继续。

      cd c:/Users/Globo-Control/Downloads/

(get-file -algorythim SHA512  auditbeat).hash

get-content  auditbeat.sha
    

结果应该是打印两个匹配的哈希值,看起来像这样:

安装

从 Elasticsearch 下载经过验证的安装媒体后,就可以安装 Auditbeat 客户端了。

打开 Windows 资源管理器,转到包含 Auditbeat zip 文件的位置,右键单击该文件,然后选择全部提取。

选择提取档案内容的位置并单击提取。

然后验证文件夹和文件是否成功提取到所需位置。

您可以通过从提升的命令提示符运行提供的ps1文件来将 Auditbeat 安装为服务。它将设置自动启动服务并使用默认的auditbeat.yml配置文件。注意:安装服务 Powershell 模块以供以后使用。

为 Windows 配置 Auditbeat

在运行之前,你需要让 Auditbeat 知道将数据发送到哪里。在本例中,它是之前设置的 Elasticsearch SIEM。

使用 Powershell ISE 的以管理员​​身份运行选项打开位于解压文件夹中的auditbeat.yml文件。这里选择 Powershell ISE 是因为它将以易于阅读和编辑的格式显示 yaml 文本,同时提供 Powershell 控制台来运行命令,以验证配置是否正确实施。

打开 Powershell ISE 后,选择文件菜单按钮,然后打开。导航到解压的 Auditbeat 文件夹位置,并将文件类型选择器更改为任何文件。现在您应该看到auditbeat.yml文件可供选择。

现在文件已打开,您需要向下滚动直到看到Kibana部分,该部分将注释掉默认值并如下所示:

接下来,继续滚动到配置文件的输出部分,到第一个名为Elasticsearch的子标题。

与 Kibana 部分配置类似,您需要删除#注释字符,并将localhost:9200值替换为 Elasticsearch 节点的监听地址的值。在本例中,它将是192.168.218.139:9200

注意:此配置与 kibana 配置不同,因为它不需要 https:// 前缀。

现在保存配置,但不要关闭 Powershell ISE 窗口。

运行 Auditbeat

在 Powershell ISE 窗口底部,运行以下命令更改到解压的 Auditbeat 目录并运行安装程序。

      PS> cd C:\auditbeat-7.3.2-windows-x86_64

PS> .\auditbeat.exe -e -c .\auditbeat.yml setup
    

一旦运行,Auditbeat 程序将运行检查配置和环境,并联系配置为创建索引和索引模板、模式、策略的 Elasticsearch 和 Kibana 节点,并上传预建的仪表板。

设置成功完成后,就可以首次运行 Auditbeats 了。不仅从命令行运行 Auditbeats 可执行文件,而且使用-e选项运行它,始终是良好的故障排除做法,该选项告诉程序输出到标准输出,让您可以查看活动并在出现问题时进行故障排除。

一旦您对 Auditbeats 程序的配置和稳定性感到满意,您就可以将其添加为随系统启动自动运行的服务。

使用以下命令运行 Auditbeats:

      PS> .\auditbeat.exe -e
    

在运行时,您可以看到与 Elasticsearch 和 Kibana 的成功连接,但是一旦初始化,您还可以看到发送到 Elasticsearch SIEM 的事件指标的 JSON 输出,其中控制台打印输出的底部显示[监

以上内容来自杭州电子商务研究院推送
关注
关于我们
热门推荐
合作伙伴
免责声明:本站部分资讯来源于网络,如有侵权请及时联系客服,我们将尽快处理
Copyright © 2025-2027 ToB产业网址导航 公安备案 浙公网安备33010602013138号 浙ICP备16025413号-9
支持 反馈 关注 数据