Grafik zur Integration von Swimlane und Elastic Stack, die die Datenorchestrierung von SOAR und SIEM für die Erkennung und Abwehr fortschrittlicher Bedrohungen hervorhebt.

Swimlane veröffentlicht elk-tls-docker zur Vereinfachung des Testens und der Bereitstellung des Elastic Stack

Benutzeravatar
Nick Tausek
4 Leseminute

 

Wir bei Swimlane lieben Automatisierung, entwickeln und teilen aber auch leidenschaftlich gern Open-Source-Software (OSS) für Sicherheitsteams. Wir freuen uns, Ihnen unser neues Open-Source-Projekt elk-tls-docker vorstellen zu können. Es vereinfacht das Testen und Bereitstellen des Elastic Stack durch die Automatisierung der Erstellung verschiedener Elastic-Open-Source-Softwarelösungen.

Elk-tls-docker unterstützt die Einrichtung und Erstellung eines Elastic Stacks mit selbstsignierten Zertifikaten oder Let's Encrypt-Zertifikaten (mittels SWAG). Dieses Projekt wurde entwickelt, um die integrierten Funktionen von Elastic Security, wie Erkennungen, Signale, Fälle, Elastic Endpoint und weitere, zu testen und zu nutzen.

Dieses Docker-Compose-Projekt erstellt die folgenden Elastic-Container basierend auf Version 7.9.2:

  • Elasticsearch
  • Logstash
  • Kibana
  • Packetbeat
  • Filebeat

Es gibt zwei verschiedene Betriebsmodi für elk-tls-docker. Der erste und gebräuchlichste ist der Standard-Entwicklungsmodus. Der zweite ist eine produktionsnahe Umgebung. Der Hauptunterschied zwischen den beiden Modi besteht darin, dass im Entwicklungsmodus selbstsignierte Zertifikate generiert werden, während im Produktionsmodus Zertifikate mit Let's Encrypt erstellt werden.

Entwicklungsumgebung

Standardmäßig unterstützt elk-tls-docker die Einrichtung einer Entwicklungsumgebung, um einige der großartigen Funktionen zu testen. Elastische Sicherheit. Als Erstes müssen Sie das Repository auf Ihr lokales System klonen oder kopieren:

git clone https://github.com/swimlane/elk-tls-docker.git elk-tls-docker cd elk-tls-docker

Sie benötigen das gesamte Repository, um elk-tls-docker verwenden zu können, da alle Dateien erforderlich sind.

Zusätzlich zum Repository benötigen Sie Docker und Docker Compose. Diese können Sie mit apt-get installieren. diese Anweisungen.

Sie müssen außerdem die bereitgestellten Dateien kopieren. .env-example Datei und erstellen Sie eine neue .env Datei.

Sobald Sie dies konfiguriert haben (oder die Standardeinstellungen verwendet haben), führen Sie den folgenden Befehl aus, um selbstsignierte Zertifikate zu generieren:

 docker-compose -f docker-compose.setup.yml run --rm certs

Führen Sie anschließend Folgendes aus, um Ihre Entwicklungsumgebung einzurichten:

 docker-compose up -d

Nachdem docker-compose alle benötigten Images heruntergeladen und die Container erstellt hat, können Sie Kibana über folgende Adresse aufrufen:

https://0.0.0.0:5601

Hinweis: Es kann einige Minuten dauern, aber sobald Kibana gestartet ist, werden Sie zur Anmeldeseite weitergeleitet, auf der Sie den bereitgestellten Benutzernamen und das Passwort eingeben. .env Datei

Das war's, Sie verfügen nun über eine Entwicklungsumgebung für Elastic Security!

Let's Encrypt und Pseudo-Produktionsumgebung

Sie können auch nutzen Let's Encrypt Zertifikate für eine produktionsähnliche Umgebung und den externen Zugriff auf Kibana, Elasticsearch oder andere Dienste sind erforderlich, es gibt jedoch noch einige weitere Voraussetzungen:

  • Ein registrierter Domainname
  • Die DNS-Einträge sind korrekt eingerichtet und verweisen auf Ihre Host-IP-Adresse.
    • Nameserver, die auf Ihre Hosting-Umgebung verweisen
    • Ein Eintrag, der auf die IP-Adresse Ihres Systems verweist.
    • CNAME-Eintrag für die Subdomain-Konfiguration erstellt
  • Ein Ubuntu- oder anderes Hostsystem, das Docker und Docker Compose ausführen kann.

Die Grundlagen bleiben gleich, aber es sind zusätzliche Schritte erforderlich. Glücklicherweise habe ich diese Prozesse dokumentiert. hier auf hohem Niveau und lieferten ein Beispiel Hier finden Sie eine Schritt-für-Schritt-Anleitung.. Die grundlegenden Schritte sind:

  1. Richten Sie DNS-Einträge ein, die auf die IP-Adresse Ihres Hosts verweisen.
    1. Nameserver, die auf Ihre Hosting-Umgebung verweisen
    2. Ein Eintrag, der auf die IP-Adresse Ihres Systems verweist
    3. CNAME-Eintrag für die Subdomain-Konfiguration erstellt
  2. Ändern Sie Ihre .env von:
    1. Angabe Ihres DOMÄNENNAMEN
    2. Angabe des SUBDOMAIN- oder SUBFOLDER-Werts
    3. STAGING auf „false“ setzen
  3. Führen Sie die folgenden Befehle nacheinander aus:
docker-compose -f docker-compose.setup.yml run --rm certs docker-compose -f docker-compose.production.yml up docker-compose down oder drücken Sie Strg + x/c docker-compose -f docker-compose.setup.yml run --rm certs # yes again docker-compose -f docker-compose.production.yml up -d # yes again

Das war's! Sie sollten nun extern unter https://{subdomain}.{domain.com} auf Ihre Kibana-Instanz zugreifen können.

Zusätzliche Einrichtung

Sobald Ihre Umgebung eingerichtet und betriebsbereit ist, können Sie optional weitere Konfigurationen vornehmen, um die großartigen Funktionen von Elastic Security voll auszuschöpfen:

  • Neuen Superuser erstellen: Standardmäßig verwendet elk-tls-docker den integrierten Benutzer elastisch und das von Ihnen in Ihrer .env-Datei festgelegte Passwort. Wenn Sie ein zusätzliches oder anderes Superuser-Konto erstellen möchten, können Sie die folgende Funktion nutzen: bereitgestelltes Python-Skript Dazu müssen Sie sicherstellen, dass _GASTGEBER Und _PASSWORT sind korrekt eingestellt und zusätzliche Informationen in der _KÖRPER wird auf Ihre Anforderungen eingestellt.

  • Indexzuordnung ändern: Bei der Verwendung von Elastic Security in Kibana werden die integrierten Berichte den Datenfeldern des Elastic Common Schema zugeordnet. Möglicherweise müssen Sie jedoch die Indexschlüsselzuordnungen der integrierten Erkennungen anpassen. Tests und weitere Recherchen haben ergeben, dass Sie die zugeordneten Indexfelder mithilfe von … ändern können. bereitgestelltes Skript.

  • Testdaten an Elasticsearch senden: Wenn Sie sofort mit dem Testen von elk-tls-docker beginnen möchten, können Sie Folgendes verwenden: bereitgestelltes Skript um Daten mithilfe eines weiteren Open-Source-Projekts von uns an Elasticsearch zu senden, das heißt soc-faker. Sie können so viele streamen, wie Sie möchten. gefälscht Sie können die Elastic Common Schema-Dokumente nach Ihren Wünschen anpassen. Ändern Sie dazu einfach das Skript und geben Sie die Anzahl der zu sendenden Dokumente sowie Ihre Zugangsdaten für Elasticsearch an.

  • Testdaten an Filebeat senden: Abschließend können Sie die korrekte Einrichtung von Elastic Filebeat testen, indem Sie Textdaten (oder eine Datei) über Sockets direkt an Filebeat senden. Diese werden dann von Logstash und schließlich von Elasticsearch verarbeitet. Weitere Informationen finden Sie unter Das bereitgestellte Skript finden Sie hier..

Vielen Dank für Ihr Interesse an elk-tls-docker! Wir hoffen, es hilft Ihnen, den Elastic Stack schnell einzurichten und mit dem Testen zu beginnen!

Animiertes GIF, das die Swimlane Turbine Playbook-Oberfläche mit erweiterter Panelfilterung und automatisierter Logiksuche zeigt.

Swimlane-Turbine in Aktion sehen

Vereinbaren Sie eine Live-Demonstration von Swimlane Turbine mit unseren Experten! Erfahren Sie, wie unsere KI-gestützte Sicherheitsautomatisierungsplattform Ihnen helfen kann, die komplexesten Probleme in Ihrer gesamten Sicherheitsorganisation zu lösen.

Demo anfordern

Tags

9. September 2024
6 Tipps zur Vereinfachung der Einführung von Sicherheitsautomatisierung
Mehr lesen
19. Januar 2023
Warum InComm Payments sich für Swimlane zur Vereinheitlichung seiner Technologiearchitektur entschieden hat
Mehr lesen
13. Mai 2021
Elastic und Swimlane arbeiten zusammen, um ein erweiterbares Framework für das moderne SOC bereitzustellen.
Mehr lesen

Fordern Sie eine Live-Demo an