Skip to content

Elastic Stackへのデータインポート

Jump to bottom
DustInDark edited this page May 20, 2022 · 2 revisions

Elastic Stackディストリビューションの開始

Hayabusaの結果はElasic Stackへ簡単にインポートすることができます。DFIR調査に特化した無料のElasitc Stack LinuxディストリビューションであるSOF-ELKの仕様をおすすめします。

まず SOF-ELKのVMWareイメージをhttp://for572.com/sof-elk-vmからダウンロードし解凍します。 ユーザ名とパスワードのデフォルトは以下のとおりです。

  • Username: elk_user
  • Password: forensics

VMを起動したら、以下のスクリーンのようなものが表示されます。

SOF-ELK Bootup

表示されたURLをウェブブラウザに入力してKibanaを開きます。例: http://172.16.62.130:5601/

Note: Kibanaの読み込みには時間を要します

以下のウェブページが表示されます。

SOF-ELK Kibana

CSV結果のインポート

一番上の左隅のサイドバーアイコンをクリックし、Integrationsを開いてください。

Integrations

サーチバーにcsvを入力してUpload a fileをクリックしてください。

CSV Upload

CSVファイルをアップロードした後、Override settingsをクリックして正しいタイムスタンプのフォーマットを指定します。

Override Settings

以下の通り、変更したらApplyをクリックします。

  1. Timestamp formatcustomに変更する。
  2. フォーマットをyyyy-MM-dd HH:mm:ss.SSS XXXに指定する。
  3. Time fieldTimestampに変更する。

Override Settings Config

左隅のImportをクリックします。

CSV Import

Importを押す前に、Advanced をクリックして以下の設定を投入してください。

  1. Index nameevtxlogs-hayabusaにします。
  2. Index settingsに、, "number_of_replicas": 0 を追加してインデックスのヘルスステータスが黄色にならないようにします。
  3. Mappingsの下にあるRuleTitleの type をtext から keyword に、EventID の type を long から keyword に変更します。
  4. Ingest pipelineの下にある removeセクションの下に, "field": "Timestamp"を追加します。タイムスタンプは@timestampとして表示されるため重複するフィールドは不要になります。インポートのエラーを回避するために以下の記載を削除します。 
     {
   "convert": {
     "field": "EventID",
     "type": "long",
     "ignore_missing": true
   }
 },

設定は以下の図のようになります。

Import Data Settings

インポート後、以下のようなImport completeの画面表示が得られます。

Import Finish

View index in Discover をクリックして結果を閲覧することができます。

解析結果

デフォルトのDiscoverの表示は以下のようになります。

Discover View

画面上部のヒストグラムを見ることでいつイベントが発生したか、イベントの頻度の概要を見ることができます。

画面左のサイドバーでフィールドにカーソルを合わせてプラスマークをクリックするとこで列に表示するフィールドを追加することができます。

Adding Columns

最初は以下のカラムを追加することをおすすめします。

Recommended Columns

Discoveryビューでは以下のように見えます。

Discover With Columns

KQLによるフィルタで、以下の例の通り、イベントやアラートを検索することができます。

  • Level: "critical": criticalのアラートのみを表示する。
  • Level: "critical" or Level: "high": high と critical のアラートを表示する。
  • NOT Level:info: informationalのイベントを表示しない。
  • *LatMov*: 感染の横展開に関連するアラートとイベントを表示する。
  • "Password Spray": "Password Spray"のような特定の攻撃のみを表示する。
  • "LID: 0x8724ead": ログオンIDが0x8724eadとなっている関連したイベントを全て表示する。

Hayabusaダッシュボード

シンプルなHayabusaダッシュボードを設定するためのJSONを提供します。ここをクリックすると設定のためのJSONファイルがダウンロードできます。

ダッシュボードのインポートのためには、左のサイドバーを開き、Managementの下にあるStack Managementをクリックします。

Stack Management

Saved Objectsを押した後に, 右上隅にあるImportをクリックして、ダウンロードしたHayabusaダッシュボードJSONファイルをインポートします。

Import Dashboard

以下のダッシュボードを利用することができます。

Hayabusa Dashboard-1

Hayabussa Dashboard-2

今後の展望

SOF-ELK用のHayabusa logstashパーサーとダッシュボードを作成予定です。この機能でHayabusaのCSVの結果ファイルをディレクトリにコピーするだけでログの取り込みができるようになる予定です。

謝辞

このドキュメントの多くは、@kzzzzo2さんのこちらのブログ記事から引用しました。

@kzzzzo2 さん、ありがとうございます!

Translated Importing Results Into Elastic Stack

Hayabusa

General

Preparation

Usage

Hayabusa Rules

Other


日本語版はこちら(Japanese Translation ver.)

Hayabusaについて

準備

使用方法

Hayabusaルール

その他

Clone this wiki locally