2024 年 9 月 9 日
セキュリティ自動化の導入を簡素化する6つのヒント
続きを読む
Swimlaneでは自動化を重視するだけでなく、セキュリティチームを支援するオープンソースソフトウェア(OSS)の構築と共有にも力を入れています。Elastic Stackのテストとデプロイを容易にし、Elasticのオープンソースソフトウェアソリューションの作成を自動化する新しいオープンソースプロジェクト「elk-tls-docker」をリリースしました。.
Elk-tls-dockerは、自己署名証明書またはLet's Encrypt証明書(SWAGを使用)を使用してElastic Stackのセットアップと作成を支援します。このプロジェクトは、Elastic Securityの組み込み機能(検出、シグナル、ケース、Elastic Endpointなど)をテストおよび使用できるように構築されています。.
この docker-compose プロジェクトは、バージョン 7.9.2 に基づいて次の Elastic コンテナを作成します。
- エラスティックサーチ
- ログスタッシュ
- キバナ
- パケットビート
- ファイルビート
elk-tls-docker には2つの異なる実行モードがあります。1つは最も一般的な標準開発モードです。もう1つは擬似本番環境です。これら2つのモードの主な違いは、開発モードでは自己署名証明書が生成され、「本番」モードではLet's Encryptを使用して証明書が生成される点です。.
開発環境
デフォルトでは、elk-tls-dockerは開発環境のセットアップを支援し、いくつかの素晴らしい機能をテストします。 エラスティックセキュリティ. 最初に行う必要があるのは、リポジトリをローカル システムに複製またはコピーすることです。
git クローン https://github.com/swimlane/elk-tls-docker.git elk-tls-docker cd elk-tls-docker
すべてのファイルが必要なので、elk-tls-docker を使用するにはリポジトリ全体が必要になります。.
リポジトリに加えて、DockerとDocker Composeもインストールされていることを確認する必要があります。apt-getを使用してインストールし、以下の手順に従ってください。 これらの指示.
また、提供された .env-例 ファイルを作成して新しい .env ファイル。.
設定が完了したら(またはデフォルト設定が完了したら)、次のコマンドを実行して自己署名証明書を生成します。
docker-compose -f docker-compose.setup.yml 実行 --rm 証明書
次に、以下を実行して開発環境をセットアップします。
docker-compose up -d
docker-compose が必要なイメージをすべてダウンロードし、コンテナをビルドしたら、次の URL にアクセスして Kibana にアクセスできます。
数分かかる場合がありますが、Kibanaが起動するとログインページに移動し、指定されたユーザー名とパスワードを入力します。 .env ファイル
これで、Elastic Security の開発環境が完成しました。
Lets Encryptと擬似本番環境
活用することもできます レッツ・エンクリプト 本番環境のような環境向けの証明書を使用して Kibana、Elasticsearch、またはその他のサービスに外部からアクセスすることもできますが、さらにいくつかの要件があります。
- 登録されたドメイン名
- DNSレコードが正しく設定され、ホストIPを指している
- ホスティング環境を指すネームサーバー
- システムのIPアドレスを示すレコード
- サブドメイン設定用に作成されたCNAMEレコード
- DockerとDocker Composeを実行できるUbuntuまたはその他のホストシステム
基本的な部分は同じですが、追加の手順が必要です。幸いなことに、これらのプロセスを文書化しています。 ここはハイレベル そして例を挙げた ウォークスルーはこちら. 基本的な手順は次のとおりです。
- ホストIPを指すようにDNSレコードを設定する
- ホスティング環境を指すネームサーバー
- システムのIPアドレスを示すレコード
- サブドメイン設定用に作成されたCNAMEレコード
- 変更する .env による:
- ドメイン名の指定
- SUBDOMAINまたはSUBFOLDERの値を指定する
- STAGINGをfalseに設定する
- 以下のコマンドを順番に実行します。
docker-compose -f docker-compose.setup.yml run --rm certs docker-compose -f docker-compose.production.yml up docker-compose down または ctrl + x/c docker-compose -f docker-compose.setup.yml run --rm certs # yes をもう一度実行 docker-compose -f docker-compose.production.yml up -d # yes をもう一度実行
これで完了です!これで、https://{subdomain}.{domain.com} で Kibana インスタンスに外部からアクセスできるようになります。
追加設定
環境をセットアップして実行したら、Elastic Security の優れた機能を最大限に活用するために、追加のオプション構成をいくつか実行することができます。
-
新しいスーパーユーザーの作成: デフォルトでは、elk-tls-dockerは組み込みユーザーを使用します 弾力性のある .envファイルに設定したパスワードを入力してください。追加のスーパーユーザーアカウントや別のスーパーユーザーアカウントを作成したい場合は、 提供されたPythonスクリプト そうするためには、 _ホスト そして _パスワード 正しく設定され、 _体 要件に合わせて設定されます。.
-
インデックス マッピングの変更: Kibana内でElastic Securityを利用する場合、組み込みレポートはElastic Common Schemaのデータフィールドにマッピングされますが、組み込みの検出インデックスキーのマッピングを変更する必要がある場合があります。テストやその他の調査に基づき、以下の方法でインデックスマッピングされたフィールドを変更できます。 提供されたスクリプト.
-
テストデータをElasticsearchに送信します。 elk-tls-dockerのテストをすぐに開始したい場合は、 提供されたスクリプト Elasticsearchにデータを送信するには、別のオープンソースプロジェクトである ソーシャルフェイカー. ストリーミングできるのは 偽物 必要に応じて Elastic Common Schema ドキュメントを送信するには、送信するドキュメントの数と Elasticsearch への資格情報を使用してスクリプトを変更するだけです。.
-
テストデータをFilebeatに送信します。 最後に、Elastic Filebeatが正しく設定されているかを確認するには、テキストデータ(またはファイル)をソケット経由でFilebeatに直接送信し、Logstashで処理して最終的にElasticsearchで処理します。 ここにスクリプトを提供.
elk-tls-docker をご利用いただきありがとうございます。Elastic Stack をすぐにセットアップしてテストを開始できるよう、お役に立てれば幸いです。
スイムレーンタービンの動作を見る
専門家によるSwimlane Turbineのライブデモをご予約ください。AI対応のセキュリティ自動化プラットフォームが、セキュリティ組織全体の最も困難な課題の解決にどのように役立つかをご覧ください。.
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español