Dans la dernière partie, nous avons configuré notre collecte de logs sous Linux et Windows. Maintenant, nous passons à l’installation de notre SIEM – notre architecture de monitoring pour NeedSec prend forme !
Installez ElasticSearch
Commençons la configuration de notre SIEM par l'installation d'Elasticsearch. L’installation peut se faire directement sur une VM Linux. Vous pouvez suivre la documentation officielle pour installer Elasticsearch.
Une fois Elasticsearch installé, vous pourrez vérifier son installation à l’adresse de votre serveur dans votre navigateur. Vous pouvez aussi effectuer une requête curl comme ci-dessous :
curl http://192.168.1.114:9200
Des informations sur votre serveur s’afficheront :
{
"name" : "elkserv",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "dFcN43uRjgEZSDH6743NcESvQ",
"version" : {
"number" : "7.6.2",
"build_flavor" : "default",
"build_type" : "deb",
"build_hash" : "ef48eb3eezrfre676996e8aabd07ef6fb113f",
"build_date" : "2020-03-26T06:34:37.794943Z",
"build_snapshot" : false,
"lucene_version" : "8.4.0",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}Si la requête fonctionne sur votre serveur, Elasticsearch vous renverra les informations ci-dessus qui sont des informations concernant votre serveur, son nom, le nom du cluster, les numéros de version, etc.
Votre Elasticsearch est à présent opérationnel pour recevoir des données.
Installez Kibana
Après Elasticsearch, nous installerons Kibana. Pour ce faire, vous pouvez utiliser la documentation officielle.
Une fois Kibana installé, vous pourrez naviguer vers l’interface à l’adresse de votre serveur sur le port 5601 par défaut de Kibana. http://<elkserveur>:5601 .
Vous verrez des dashboards préconfigurés, ainsi que les sections “Discover”, “Canvas”, “Maps” et “Machine Learning”.
Très bien ! Passons à la configuration des fonctionnalités de sécurité pour l'utilisation du SIEM.
Activez les fonctionnalités de sécurité sur ELK
Maintenant que vous avez Elasticsearch et Kibana installés, il faut à présent configurer certains aspects d'ELK pour pouvoir accéder à toutes les fonctionnalités de sécurité du SIEM.
Par défaut, les fonctionnalités de détection ne sont pas activées sur les licences basiques. Nous allons dans un premier temps activer ses fonctionnalités pour accéder à l'ensemble des options.
Soyez bien attentif, car cette partie peut être un peu compliquée à mettre en place.
1 - Activer X-Pack security
Commençons par l’activation des fonctionnalités dans le fichier de configuration en ajoutant la ligne suivante dans le fichier /etc/elasticsearch.yml :
xpack.security.enabled: true
Ensuite, il va falloir configurer le chiffrement du trafic entre Kibana et Elasticsearch.
2 - Activer les users
Pour activer l'authentification sur Kibana, il faudra rentrer la commande suivante :
bin/elasticsearch-setup-passwords interactive
Puis il faudra éditer le fichier de configuration de Kibana /etc/kibana/kibana.yml pour établir votre nom d’utilisateur, votre mot de passe et votre clé de chiffrement :
elasticsearch.username: "kibana_system" elasticsearch.password: "kibanapassword"
xpack.security.encryptionKey: "something_at_least_32_characters"
3 - Créer ensuite une autorité de certificat pour votre cluster Elasticsearch
Pour ce faire, nous utiliserons l'outil elasticsearch-certutil.
bin/elasticsearch-certutil ca
Je vous conseille de laisser les configurations par défaut. Vous n'êtes pas obligé de configurer avec un mot de passe, toutefois cela est recommandé pour une mise en production.
4 - Générer un certificat et une clé privée
Entrez la commande suivante :
bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
5 - Générer ensuite un certificat pour le chiffrement HTTP
elasticsearch-certutil http
Puis, nous les copions pour les mettre dans le répertoire /etc/elasticsearch/.
6 - À présent, il faut configurer les certificats utilisés pour Kibana
Utilisons la commande suivante :
bin/elasticsearch-certutil http
Cette commande génère un fichier ZIP contenant des certificats et des clés à utiliser dans ElasticSearch et Kibana. Chaque dossier contient un readme qui explique comment utiliser les fichiers. Nous allons copier les fichiers dans les répertoires spécifiés dans chaque readme.
7 - Éditer votre fichier elasticsearch.yml
Utilisons les lignes suivantes :
xpack.security.enabled: true # This turns on SSL for the HTTP (Rest) interface xpack.security.http.ssl.enabled: true # This configures the keystore to use for SSL on HTTP xpack.security.http.ssl.keystore.path: "http.p12" #action.auto_create_index: .monitoring*,.watches,.triggered_watches,.watcher-history*,.ml * xpack.security.transport.ssl.enabled: true xpack.security.transport.ssl.verification_mode: certificate xpack.security.transport.ssl.keystore.path: config/certs/elastic-certificates.p12 xpack.security.transport.ssl.truststore.path: config/certs/elastic-certificates.p12
Vous pouvez maintenant redémarrer Elasticsearch avec la commande suivante :
systemctl restart elasticsearch
8 - Finalement, il faudra éditer le fichier de configuration de Kibana
Ce fichier s'appelle /etc/kibana.yml , nous y ajouterons les lignes suivantes :
elasticsearch.ssl.certificateAuthorities: [ "/usr/share/elasticsearch/kibana/elasticsearch-ca.pem" ] xpack.security.enabled: true xpack.security.encryptionKey: "fYw75SXcS3dezferfezfezfaD3sRTAxFdxLV" xpack.encryptedSavedObjects.encryptionKey: "fYw75SXcS3dezferfezfezfaD3sRTAxFdxLV"
Redémarrez ensuite Kibana.
Voici quelques pistes que je vous conseille en cas de problème :
vérifier les droits des fichiers ;
lire les logs ;
se référer à la documentation officielle pour les fonctions de sécurité ;
rebooter votre machine.
En résumé
La configuration du SIEM ELK commence par l'installation d'Elasticsearch ;
Après, il faut installer Kibana et configurer les deux outils pour accéder à toutes les fonctionnalités du SIEM.
Notre architecture de monitoring est maintenant installée ! Nous avons également vu comment activer les fonctionnalités de sécurité pour pouvoir utiliser notre SIEM. Dans le prochain chapitre, nous verrons comment charger des logs et journaux d'événement à l’aide de la suite Beats.
