介绍
在本系列中,我将向您展示如何利用开源技术来构建自己的网络监视解决方案,使其足以部署在任何企业环境中!我们将使用的两种核心技术是Zeek(以前称为Bro)和ELK。
其中,Zeek是一个开放源代码的网络监视框架,该框架根据网络旁路监听的数据创建警报和事件,其本质是一个IDS。它在整个行业中都有使用,尤其是在网络异常领域,实际上,英国网络安全公司Darktrace使用Zeek作为其产品的关键组件。
该解决方案的计划是利用Zeek接入我们的网络,并将日志输入Elasticsearch,借助Elastic Security,我们可以对数据进行查询,使用Kibana构建一些漂亮的仪表板,甚至创建一些分析来自动执行某些检测。我们还将研究在某些设备上部署终端代理,并将这些日志也馈入ELK。
先决条件
为了跟进,您需要
- 能够运行Zeek和ELK的服务器
- 这里的例子是,我有一个运行ESXI的HP Proliant ML350e
- 服务器至少需要2个空闲网络端口
- 并且至少要有8GB内存和一个像样的处理器才能流畅运行
- 具有端口镜像功能的网络交换机
网络架构
下图显示了我网络的粗略指南。该图中的关键点是网络上的旁路监听(TAP)和镜像连接(Mirror)。为了充分利用Zeek,您需要旁路监听(TAP)交换机上连接到路由器的端口,主要是从LAN到Internet的连接。这样,我们将捕获从家庭网络到互联网的所有流量,这些流量来自连接到Wi-Fi的iPhone和充当DNS服务器的PiHole之类的设备。
VMware安装程序
您首先应该检查服