使用Zeek和ELK创建企业监视 一

最新推荐文章于 2024-07-09 09:17:22 发布
最新推荐文章于 2024-07-09 09:17:22 发布
阅读量1.7w 收藏 6
点赞数 1
分类专栏: 点火三周的Elastic Stack专栏 文章标签: Zeek ElasticSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013613428/article/details/110728269
版权
本文介绍了如何使用开源工具Zeek和ELK搭建企业级网络监控解决方案。Zeek作为一个网络监控框架,用于创建警报和事件,而ELK(Elasticsearch, Logstash, Kibana)则用于日志管理和分析。文章详细阐述了先决条件、网络架构、VMware安装步骤以及如何配置和验证Zeek的运行。在后续部分,作者将讨论如何将日志输入到Elasticsearch并构建分析仪表板。" 115361484,8729765,液相色谱异常峰解析与解决策略,"['液相色谱', '分析技术', '实验室', '化学分析']
摘要由CSDN通过智能技术生成

介绍

在本系列中,我将向您展示如何利用开源技术来构建自己的网络监视解决方案,使其足以部署在任何企业环境中!我们将使用的两种核心技术是Zeek(以前称为Bro)和ELK。

其中,Zeek是一个开放源代码的网络监视框架,该框架根据网络旁路监听的数据创建警报和事件,其本质是一个IDS。它在整个行业中都有使用,尤其是在网络异常领域,实际上,英国网络安全公司Darktrace使用Zeek作为其产品的关键组件。

该解决方案的计划是利用Zeek接入我们的网络,并将日志输入Elasticsearch,借助Elastic Security,我们可以对数据进行查询,使用Kibana构建一些漂亮的仪表板,甚至创建一些分析来自动执行某些检测。我们还将研究在某些设备上部署终端代理,并将这些日志也馈入ELK。

先决条件

为了跟进,您需要

  • 能够运行Zeek和ELK的服务器
    • 这里的例子是,我有一个运行ESXI的HP Proliant ML350e
    • 服务器至少需要2个空闲网络端口
    • 并且至少要有8GB内存和一个像样的处理器才能流畅运行
  • 具有端口镜像功能的网络交换机

 

网络架构

下图显示了我网络的粗略指南。该图中的关键点是网络上的旁路监听(TAP)和镜像连接(Mirror)。为了充分利用Zeek,您需要旁路监听(TAP)交换机上连接到路由器的端口,主要是从LAN到Internet的连接。这样,我们将捕获从家庭网络到互联网的所有流量,这些流量来自连接到Wi-Fi的iPhone和充当DNS服务器的PiHole之类的设备。

VMware安装程序

您首先应该检查服

最低0.47元/天 解锁文章
点火三周
关注
专栏目录
如何安装Elastic SIEM和Elastic Endpoint Security
点火三周的专栏
12-05 1万+
目录 网络设计 配置X-Pack 配置Elasticsearch SSL 配置Kibana SSL 配置Beats(Zeek)SSL 添加身份验证 向Elasticsearch添加数据 启用检测 安装Elastic EDR代理 安装证书 安装代理 结论 资源资源 最近几个月,Elastic Stack发生了很多变化,并发布了许多免费的安全工具。由Comodo和Elastic Endpoint Security发布的OpenEDR。因此,我认为现在是查看Elastic的更改并...
网络监控:将Zeek日志发送到ELK
热门推荐
点火三周的专栏
12-06 2万+
先决条件 这篇文章标志着“在家中创建企业监视”系列的第二部分,如果您错过了它,这是第一部分。在本文中,我们将研究如何使用Filebeat将Zeek日志发送到ELK Stack。开始之前,请注意以下几点: 我在与Zeek VM分开的自己的VM中运行ELK,但是如果需要,您可以在同一VM上运行它。 ELK在Ubuntu 18.04 VM上运行。 安装Elastic Stack 安装Elastic Stack非常简单,这里不再赘述。大家确保安装好Elasticsearch + Kibana即可,这里
网络安全从业人员必知的Zeek工具(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
07-09 1561
Zeek是一种开放源码的网络分析框架,最初由Vern Paxson于1995年开发。它能够高效地解析网络流量,提取丰富的上下文信息,并生成详细的日志文件供后续分析使用Zeek不仅仅是一个入侵检测系统(IDS),它更像是一个平台,允许用户编写脚本来扩展其功能,从而适应不同的安全需求。
带你走进ELK(一):基本介绍和架构图
xyb0926的博客
12-23 2137
ELK(一):基本介绍ELK是什么有什么用ELK的收集过程架构图 ELK是什么 ELK 其实并不是一款软件,而是一整套解决方案。 ELKElasticsearch、Logstash、Kibana三大开源框架首字母大写简称。 Elasticsearch是一个基于Lucene、分布式、通过Restful方式进行交互的近实时搜索平台框架。 Logstash是ELK的中央数据流引擎,用于从不同目标(文件...
如何在一台ESXi主机上搭建一整套VSAN集群的环境
11-21
如何在一台ESXi主机上搭建一整套VSAN集群的环境 在你的实验网络中,需要配置好一台域控制器,它同时也是DNS服务器,并事先在DNS服务器里面添加好静态的ESXi主机的DNS项。在我的实验环境中、DNS并开启SSH和ESXi SHELL以备之后在控制台输入命令行使用.
rdfp:Zeek的远程桌面客户端指纹脚本。 基于https:github.com0x4D31fatt
02-04
rdfp:Zeek的远程桌面客户端指纹脚本。 基于https:github.com0x4D31fatt
zeek使用
weixin_47288838的博客
12-11 1160
这种错误在许多系统中会发生,因为存在一个名为“checksum offloading”的功能,但这并不会影响我们的分析。这个命令会显示捕获文件中的每个数据包的详细信息,包括源IP地址、目标IP地址、源端口、目标端口等。通过这些信息,你可以分析网络通信中的各种情况,比如了解哪些主机在通信、它们之间交换的数据包类型以及通信的协议等。它可以显示网络数据包的详细信息,如源IP地址、目标IP地址、端口号、协议类型等,并允许用户在捕获数据包的同时应用一些过滤条件来选择特定的流量进行分析。命令来显示每个日志的内容。
Zeek-Network-Security-Monitor:Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制
05-22
Zeek网络安全监视器教程,除了所有必要的硬件和设置之外,还将介绍在网络上创建Zeek实例的基础知识,并最终提供一些示例,说明如何使用Zeek的功能对网络进行绝对控制。 第1课:设置 在本课程中,我们设置了基本的...
pfSense-pkg-zeek:用于pfSense路由器的Zeek(以前为Bro)网络安全监视器软件包
01-28
用于pfSense路由器/防火墙的Zeek网络安全监视器程序包 兼容性 该软件包已在pfSense 2.4.5-RELEASE(amd64)上进行了测试。 也许它不适用于较早版本的pfSense。 安装 通过下载生成的软件包 将程序包从本地计算机复制...
anomalous-dns:一组zeek脚本,提供了用于跟踪和关联异常DNS行为的模块
05-10
一组zeek脚本,提供了一个用于跟踪和关联异常DNS行为的模块。 通过连接持续时间和数量,请求和答案大小,DNS请求类型以及每个域的唯一查询来检测隧道和C&C。 基于A记录和ASN的快速通量网络的统计分类。 要求 ...
随记——ELK部署
weixin_49439135的博客
06-21 1658
下载安装包:elasticsearch、kibana、logstash、filebeat 注意版本要一致,这里用的是7.13.4。es安装目录中的plugins目录下新建目录ik,将下载的zip解压到新建目录下。kibana也不能使用root账户启动,使用上面es创建的账户即可。注意防火墙,测试环境可以关闭防火墙,生产可以选择放开相应端口。下载地址:(选择对应版本的分词器下载,直接下载zip即可)重启es,log中可以看到插件加载成功。
最强网络流量分析利器 Zeek 框架简介
jim_jb1973的专栏
12-14 4751
强大的网络流量分析工具 ZEEK
Wireshark与其他工具的整合
Kali与编程
12-18 1446
Wireshark、Nmap和Metasploit是综合渗透测试中常用的工具,可以用于捕获网络数据包、扫描主机和端口、攻击系统等。Wireshark的主窗口可以显示捕获到的数据包的详细信息,包括数据包的类型、源地址、目标地址、协议、时间戳等。与此同时,还有一些其他的网络分析工具,例如ELKZeek等,可以帮助分析师更好地理解和分析网络流量。Nmap是一个网络扫描工具,可以用于扫描网络中的主机、端口和服务等信息。Zeek的日志文件包含有丰富的信息,包括源地址、目标地址、协议、端口、时间戳、数据包大小等。
zeek学习笔记(一) —— 环境搭建
成长之路
08-14 1840
zeek环境搭建
Docker下ELK三部曲之三:K8S上的ELK和应用日志上报
程序员欣宸的博客
04-30 1万+
本章是《Docker下ELK三部曲》系列的终篇,前面章节已经详述了ELK环境的搭建以及如何制作自动上报日志的应用镜像,今天我们把ELK和web应用发布到K8S环境下,模拟多个后台server同时上报日志的场景; 原文地址:https://blog.csdn.net/boling_cavalry/article/details/80141800 前文链接 《Docker下ELK三部曲》前面两篇...
日志分析系列之平台实现
bloodzer0
03-04 1226
本系列故事纯属虚构,如有雷同实属巧合 平台实现前的说明 小B在给老板汇报了"统一日志分析平台"项目后,老板拍板立即开始做,争取下一次能及时发现攻击并且追踪攻击者。于是小B开始分析了市面上商业与开源的日志分析平台架构,大家都神似如下图: 知道了架构如何,接下来的关键就是每层之间选择什么样的产品了。关于如何选择,小B推荐了几个方面: 已有架构:避免基础能力的重复,使用目前IT基础框架中已有的东西。...
zeek 使用笔记
qq_28808697的博客
09-15 542
https://docs.zeek.org/en/master/scripts/base/frameworks/analyzer/main.zeek.html https://docs.zeek.org/en/master/script-reference/proto-analyzers.html#enum-Analyzer::ANALYZER_ICMP
zeek(bro) 脚本学习 三
lepton126的专栏
02-20 2489
参考https://blog.csdn.net/roshy/article/details/88827716 zeek(bro)读取pcap包后,缺省状态输出数个log文件,主要分以下几个类别: 诊断日志:capture_loss.log、loaded_scripts.log、stats.log、packet_filter.log 会话日志:conn.log 告警信息:weird.log ...
在网络监控中,Wireshark和Zeek如何配合使用
最新发布
07-16
Wireshark和Zeek在网络监控中通常作为互补工具使用,它们可以协同工作来提供深入的网络分析。 Wireshark是一个广泛使用的网络协议分析器,它允许用户捕获、查看和分析实时数据包,用于故障排除、安全审计以及网络性能测试。Wireshark以图形界面展示网络流量,对网络通信进行详细的逐包解析,适合于基本的网络抓包和快速定位问题。 相比之下,Zeek(前身为Bro)是一种专门设计用于网络取证和日志分析的工具,它通过脚本语言处理网络数据,可以进行更高级的统计分析、异常检测和威胁识别。Zeek能够生成结构化的日志,并支持定制规则集,帮助系统管理员发现潜在的安全威胁和非正常行为。 两者结合的方式通常是先由Wireshark收集原始网络数据,然后将这些数据传递给Zeek进行进一步的分析。例如,Wireshark可以捕获到的数据包,随后通过 Zeek 进行深度挖掘,提取有用信息并生成报告。这种配合有助于提高网络监控的效率和深度,尤其是对于需要长期监控和复杂分析的情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值