Visualitzant els registres de Suricata a Grafana o Kibana

Print Friendly, PDF & Email

Després de veure com instal·lem Suricata i haver-lo deixat funcional, ara és moment de tractar les seves dades i visualitzar-les d'una manera més amigable, per a això ens donarem suport de Grafana com a visualitzador, encara que amb Kibana podràs realitzar-ho d'igual manera (o més senzilla). Tot això gràcies al que emmagatzemarem els LOGs de Suricata a Elasticsearch.

El procés és realment senzill, a la màquina que corre Suricata li instal·larem Filebeat per recollir el fitxer de log i enviar-lo a Elasticsearch directament, després d'això habilitarem el mòdul de suricata i el configurem. Un cop el tinguem llest, hauria de fer Elasticsearch començar a emmagatzemar aquests registres, i amb Grafana poder explotar-los, o amb Kibana, vagi.

Obrim el nostre Kibana, al menú esquerre anem a la icona de “SIEM” > “Add data with Beats” > “Suricata logs” i ens donarà tot el detall de què necessitem. És aquesta URL: http://IP_ELASTIC_SEARCH:5601/app/kibana#/home/tutorial/suricataLogs

Ens posicionem sobre la pestanya “DEB” (en el meu cas, ja que Suricata corre baix Debian Buster) i com veiem ve perfectament explicat.

Instal·lació de Filebeats:

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.7.0-amd64.deb dpkg -i filebeat-7.7.0-amd64.deb

Editem el fitxer de configuració de Filebeat (/etc/filebeat/filebeat.yml), indicarem el nom de l'índex a utilitzar a Elasticsearch, així com si tenim Kibana i volem importar els dashboards per defecte:

#================ Elasticsearch template setting ====================
...
setup.template.name: "suricata"
setup.template.pattern: "suricata-*"
setup.dashboards.index: "suricata-*"
setup.ilm.enabled: false
...
setup.kibana:
  host: "FQDN_O_DIRECCION_IP_KIBANA:5601"
...
#---------------------- Elasticsearch output ------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["FQDN_O_DIRECCION_IP_ELASTICSEARCH:9200"]
  index: "suricata-%{+yyyy. MM.dd}"
...

Habiliten el mòdul de Suricata, creem uns dashboards predeternubadis a Kibana de Suricata, arrenquem el dimoni de Filebeat i fem que s'iniciï de manera automàtica amb el sistema. 

filebeat modules enable suricata filebeat setup systemctl start filebeat systemctl enable filebeat.service systemctl status filebeat

I sense fer res més podrem anar als Dashboards de Kibana o a les seves visualitzacions i anar veient les dades que ens va recollint.

Si volem visualitzar-lo a Grafana, haurem de fer com sempre crear un Data Source apuntant a l'índex de Suricata del nostre Elasticsearch i podrem fer les gràfiques com ens interessi, amb simples consultes com ho faríem des del Discover del nostre Kibana, imaginació al poder!

I res, al de 5 minuts podràs fer Dashboards així de simplons i que et permeten visualitzar ràpidament què passa, quins equips accedeixen a quins, veure les connexions, etc.…

Posts recomanats

Mètriques de Ping amb Prometheus i Grafana
Llegir
Mètriques de Windows amb Prometheus i Grafana
Llegir
Regles i alertes amb ElastAlert 2
Llegir
Mètriques de FortiGate amb Prometheus i Grafana
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Un Podcast per a TI - Bitcoin i Blockchain

28 de January de 2021

Un Podcast per a TI - Un Health Check per a TI

8 de February de 2021