Створення користувацького дешборду Wazuh

Джерело

Чому варто налаштовувати дешборд?

Грамотно спроєктований дешборд не просто відображає дані – він спрощує процес ухвалення рішень. Завдяки індивідуальним візуалізаціям команди безпеки можуть:

• Зосередитися на критичних сповіщеннях: виділяти загрози високого пріоритету та аномалії.
• Пришвидшити час реагування: забезпечити швидкий доступ до даних, що потребують негайних дій.
• Оптимізувати робочі процеси: зменшити інформаційний шум і забезпечити чіткий огляд ключових метрик.

Необхідні умови

Перш ніж зануритися в кастомізацію, потрібно переконатися, що в наявності:

• Функціональне середовище Wazuh.
• Журнали, що надходять з різних джерел, таких як Linux, macOS, Windows або інструменти мережевого моніторингу, такі як Suricata.

Планування дешборду

Перш ніж перейти до роботи, потрібно визначити ключові показники ефективності (KPI). Деякі корисні метрики включають:

• Статус агента: Кількість підключених/відключених агентів.
• Тенденції загроз: Частота і типи сповіщень з плином часу.
• Аналітика за джерелом: Спеціальні подання для журналів o365, SSH або Suricata.

Нижче наведено 3 користувацьких дешборди

1. Дешборд високопріоритетних і критичних сповіщень

Цей дешборд фокусується на оповіщеннях високої та критичної важливості, які потребують негайної уваги. Він містить наступні візуалізовані елементи для забезпечення комплексного моніторингу:

• EPS Count (індикатор): Цей індикатор візуалізує середню кількість подій в секунду (EPS). Він надає огляд активності журналу в режимі реального часу, допомагаючи визначити базову продуктивність і потенційні аномалії.
• Top 3 Agents by Log Count (кругова діаграма): Виділяючи три найкращі агенти з найбільшою кількістю логів, ця діаграма допомагає визначити потенційні джерела незвичної активності під час стрибків EPS.
• Event – Location (Стовпчаста гістограма): Ця візуалізація класифікує події за місцем розташування, пропонуючи цінний контекст для розслідування сплесків EPS і відстеження активності в конкретному регіоні.
• Disconnected & Active Agents (метрика): Швидкий статус підрахунку відключених та активних агентів, що допомагає в оперативному моніторингу та забезпеченні покриття системи.
• High Events та Critical Events (таблиця даних): Відображає оповіщення з рівнями правил, класифікованими як високопріоритетні (10-12) і критичні (13-15). Ця таблиця гарантує, що жодне критичне оповіщення не буде пропущено, а аналітики безпеки зможуть швидко визначити найбільш серйозні проблеми.
• Successful Login: Non-Native (Critical) і O365 Successful Login: Non-Native (Critical) (таблиця даних): Ці таблиці даних позначають невластиві входи. Вони необхідні для виявлення несанкціонованого доступу через SSH і O365, допомагаючи оперативно виявляти сценарії компрометації облікових записів.
• Вкладка Discover: Ця вкладка надає можливість зануритися глибше в конкретні оповіщення, полегшуючи цілеспрямовані розслідування і дозволяючи точно фільтрувати дані для детального аналізу.

2. Дешборд подій SSH

Цей дешборд зосереджений на моніторингу подій, пов’язаних з SSH, щоб підвищити безпеку і виявити потенційні спроби несанкціонованого доступу. Він містить наступні візуалізовані елементи для забезпечення комплексного нагляду за SSH-активністю:

• Login Attempts: Non-native GeoLocation (кругова діаграма): Виявляє спроби входу з чужих геолокацій, підкреслюючи потенційні загрози.
• Successful Login: Non-Native (Critical) (таблиця даних): Перераховує події успішного входу в систему з чужих геолокацій, допомагаючи швидко виявити компрометацію облікових записів.
• Login Attempts: Top 10 Usernames (кругова діаграма): Відображає найбільш часто атаковані імена користувачів, допомагаючи виявити спроби брутфорс-атак.
• Top IPs of Successful Logins (гістограма): Виділяє IP-адреси, відповідальні за успішні входи, надаючи інформацію про потенційно підозрілі джерела.
• SSH Alerts (таблиця даних): Консолідує всі сповіщення, пов’язані з діяльністю по SSH, для централізованого моніторингу та ефективного реагування на інциденти.

3. Виявлення компрометації O365

Цей дешборд призначений для виявлення та розслідування потенційних компрометацій в середовищах O365. Він містить наступні візуалізовані елементи, щоб надати чітке уявлення про дії та оповіщення:

• Event Timeline (вертикальна гістограма): Відображає ключові операції O365, такі як UserLoggedIn, ModifyFolderPermissions і FileAccessed, на часовій шкалі, щоб спростити аналіз дій після компрометації.
• O365 Triggered Alerts (таблиця даних): Перелічує всі сповіщення, що спрацювали, для централізованого та ефективного моніторингу підозрілих дій.
• Failed & Success Logon Details (таблиця даних): Захоплює деталі невдалих і успішних спроб входу, допомагаючи ідентифікувати несанкціонований доступ.
• Вкладка Discover: Підсвічує такі важливі поля, як DeviceProperties.Value та ExtendedProperties.Value, які необхідні для розслідування несанкціонованого доступу, здійсненого за допомогою таких агентів, як Raccoon і Axios.

Таким чином, можна створювати власні дешборди відповідно до потрібних сценаріїв використання.