• 8 heures
  • Difficile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 14/08/2024

Installez ELK

Dans la dernière partie, nous avons configuré notre collecte de logs sous Linux et Windows. Maintenant, nous passons à l’installation de notre SIEM – notre architecture de monitoring pour NeedSec prend forme !

Installez ElasticSearch

Commençons la configuration de notre SIEM par l'installation d'Elasticsearch. L’installation peut se faire directement sur une VM Linux. Vous pouvez suivre la documentation officielle pour installer Elasticsearch

Une fois Elasticsearch installé, vous pourrez vérifier son installation à l’adresse de votre serveur dans votre navigateur. Vous pouvez aussi effectuer une requête curl comme ci-dessous :

curl http://192.168.1.114:9200

Des informations sur votre serveur s’afficheront :

{
"name" : "elkserv",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "dFcN43uRjgEZSDH6743NcESvQ",
"version" : {
"number" : "7.6.2",
"build_flavor" : "default",
"build_type" : "deb",
"build_hash" : "ef48eb3eezrfre676996e8aabd07ef6fb113f",
"build_date" : "2020-03-26T06:34:37.794943Z",
"build_snapshot" : false,
"lucene_version" : "8.4.0",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}

Si la requête fonctionne sur votre serveur, Elasticsearch vous renverra les informations ci-dessus qui sont des informations concernant votre serveur, son nom, le nom du cluster, les numéros de version, etc.

Votre Elasticsearch est à présent opérationnel pour recevoir des données.

Installez Kibana

Après Elasticsearch, nous installerons Kibana. Pour ce faire, vous pouvez utiliser la documentation officielle.

Une fois Kibana installé, vous pourrez naviguer vers l’interface à l’adresse de votre serveur sur le port 5601 par défaut de Kibana.  http://<elkserveur>:5601  .

Votre interface d'accueil de Kibana ressemblera à ça
Votre interface d'accueil de Kibana ressemblera à ça

Vous verrez des dashboards préconfigurés, ainsi que les sections “Discover”, “Canvas”, “Maps” et “Machine Learning”.

Très bien ! Passons à la configuration des fonctionnalités de sécurité pour l'utilisation du SIEM.

Activez les fonctionnalités de sécurité sur ELK

Maintenant que vous avez Elasticsearch et Kibana installés, il faut à présent configurer certains aspects d'ELK pour pouvoir accéder à toutes les fonctionnalités de sécurité du SIEM.

Par défaut, les fonctionnalités de détection ne sont pas activées sur les licences basiques. Nous allons dans un premier temps activer ses fonctionnalités pour accéder à l'ensemble des options.

Soyez bien attentif, car cette partie peut être un peu compliquée à mettre en place.

1 - Activer X-Pack security 

Commençons par l’activation des fonctionnalités dans le fichier de configuration en ajoutant la ligne suivante dans le fichier  /etc/elasticsearch.yml  :

xpack.security.enabled: true

Ensuite, il va falloir configurer le chiffrement du trafic entre Kibana et Elasticsearch.

2 - Activer les users 

Pour activer l'authentification sur Kibana, il faudra rentrer la commande suivante :

bin/elasticsearch-setup-passwords interactive

Puis il faudra éditer le fichier de configuration de Kibana  /etc/kibana/kibana.yml  pour établir votre nom d’utilisateur, votre mot de passe et votre clé de chiffrement :

elasticsearch.username: "kibana_system"
elasticsearch.password: "kibanapassword"
xpack.security.encryptionKey: "something_at_least_32_characters"

3 - Créer ensuite une autorité de certificat pour votre cluster Elasticsearch 

Pour ce faire, nous utiliserons l'outil  elasticsearch-certutil.

bin/elasticsearch-certutil ca

Je vous conseille de laisser les configurations par défaut. Vous n'êtes pas obligé de configurer avec un mot de passe, toutefois cela est recommandé pour une mise en production.

4 - Générer un certificat et une clé privée 

Entrez la commande suivante :

bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

5 - Générer ensuite un certificat pour le chiffrement HTTP

elasticsearch-certutil http 

Puis, nous les copions pour les mettre dans le répertoire  /etc/elasticsearch/.

6 - À présent, il faut configurer les certificats utilisés pour Kibana

Utilisons la commande suivante :

bin/elasticsearch-certutil http

Cette commande génère un fichier ZIP contenant des certificats et des clés à utiliser dans ElasticSearch et Kibana. Chaque dossier contient un  readme   qui explique comment utiliser les fichiers. Nous allons copier les fichiers dans les répertoires spécifiés dans chaque  readme.

7 - Éditer votre fichier  elasticsearch.yml  

Utilisons les lignes suivantes :

xpack.security.enabled: true

# This turns on SSL for the HTTP (Rest) interface
xpack.security.http.ssl.enabled: true

# This configures the keystore to use for SSL on HTTP
xpack.security.http.ssl.keystore.path: "http.p12"

#action.auto_create_index: 
.monitoring*,.watches,.triggered_watches,.watcher-history*,.ml
*

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: 
config/certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: 
config/certs/elastic-certificates.p12

Vous pouvez maintenant redémarrer Elasticsearch avec la commande suivante :

systemctl restart elasticsearch

8 - Finalement, il faudra éditer le fichier de configuration de Kibana

Ce fichier s'appelle  /etc/kibana.yml  , nous y ajouterons les lignes suivantes :

elasticsearch.ssl.certificateAuthorities: [ 
"/usr/share/elasticsearch/kibana/elasticsearch-ca.pem" ]

xpack.security.enabled: true
xpack.security.encryptionKey: 
"fYw75SXcS3dezferfezfezfaD3sRTAxFdxLV"
xpack.encryptedSavedObjects.encryptionKey: 
"fYw75SXcS3dezferfezfezfaD3sRTAxFdxLV"

Redémarrez ensuite Kibana.

Voici quelques pistes que je vous conseille en cas de problème :

  • vérifier les droits des fichiers ;

  • lire les logs ;

  • se référer à la documentation officielle pour les fonctions de sécurité ;

  • rebooter votre machine.

En résumé

  • La configuration du SIEM ELK commence par l'installation d'Elasticsearch ;

  • Après, il faut installer Kibana et configurer les deux outils pour accéder à toutes les fonctionnalités du SIEM.

Notre architecture de monitoring est maintenant installée ! Nous avons également vu comment activer les fonctionnalités de sécurité pour pouvoir utiliser notre SIEM. Dans le prochain chapitre, nous verrons comment charger des logs et journaux d'événement à l’aide de la suite Beats.

Exemple de certificat de réussite
Exemple de certificat de réussite