Visualizando los registros de Suricata en Grafana o Kibana

Inprimatzeko Lagunkoa, PDF eta Email

Después de ver cómo instalamos Suricata y haberlo dejado funcional, ahora es momento de tratar sus datos y visualizarlos de una manera más amigable, para ello nos apoyaremos de Grafana como visualizador, aunque con Kibana podrás realizarlo de igual manera (o más sencilla). Todo ello gracias a que almacenaremos los LOGs de Suricata en Elasticsearch.

El proceso es realmente sencillo, en la máquina que corre Suricata le instalaremos Filebeat para recolectar el fichero de log y enviarselo a Elasticsearch directamente, tras ello habilitaremos el módulo de suricata y lo configuramos. Una vez lo tengamos listo, debería nuestro Elasticsearch empezar a almacenar estos registros, y con Grafana poder explotarlos, o con Kibana, vaya.

Abrimos nuestro Kibana, en el menú izquierdo vamos al icono de “SIEM” > “Add data with Beats” > “Suricata logs” y nos dará todo el detalle de qué necesitamos. Es esta URL: http://IP_ELASTIC_SEARCH:5601/app/kibana#/home/tutorial/suricataLogs

Nos posicionamos sobre la pestaña “DEB” (en mi caso, ya que Suricata corre bajo Debian Buster) y como vemos viene perfectamente explicadito.

Instalación de Filebeats:

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.7.0-amd64.deb
dpkg -i filebeat-7.7.0-amd64.deb

Editamos el fichero de configuración de Filebeat (/etc/filebeat/filebeat.yml), indicaremos el nombre del índice a utilizar en Elasticsearch, así como si tenemos Kibana y queremos importar los dashboards por defecto:

#================ Elasticsearch txantiloiaren ezarpena ====================
...
setup.template.name: "suricata"
setup.template.pattern: "suricata-*"
setup.dashboards.index: "suricata-*"
setup.ilm.enabled: false
...
setup.kibana:
  host: "FQDN_O_IP_HELBIDEA_KIBANA:5601"
...
#---------------------- Elasticsearch irteera ------------------------
output.elasticsearch:
  # Konexioa egiteko ostatuen arraya.
  hosts: ["FQDN_O_IP_HELBIDEA_ELASTICSEARCH:9200"]
  indizea: "suricata-%{+yyyy.MM.dd}"
...

Suricata modulua gaitzen dugu, Kibana-ko Suricata dashboard batzuk sortzen ditugu, Filebeat daemon-a martxan jartzen dugu eta sistemarekin automatikoki abiarazteko konfiguratzen dugu. 

filebeat modules enable suricata
filebeat setup
systemctl start filebeat
systemctl enable filebeat.service
systemctl status filebeat

Eta ezer gehiago egin beharrik gabe Kibana Dashboards-era edo bere bistaratzeetara joan gaitezke eta datuak ikusi guretzat jasotzen ari direnak.

Grafana-n bistaratzea nahi badugu, deberemos como siempre crear un Data Source apuntando al índice de Suricata de nuestro Elasticsearch y podremos hacer las gráficas como nos interese, con simples consultas como lo haríamos desde el Discover de nuestro Kibana, imaginación al poder!

Eta ezer, al de 5 minutos podrás hacer Dashboards así de simplones y que te permiten visualizar rápidamente qué pasa, qué equipos acceden a cuales, ver las conexiones, eta abar…

Izenburuko mezuak

Windows-eko metrikak Prometheus eta Grafana-rekin
Irakurri
FortiGate-eko metrikak Prometheus eta Grafana-rekin
Irakurri
Ping-eko metrikak Prometheus eta Grafana-rekin
Irakurri
Arauak eta alerta ElastAlert-rekin 2
Irakurri

Egilea

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, ez zalantzarik izan nirekin harremanetan jartzeko, ahal duzun guztietan laguntzen saiatuko naiz, partekatu ahal dudan guztietan ;) . Dokumentuez gozatu!!!

Un Podcast para TI - Bitcoin y Blockchain

28 de January de 2021

Un Podcast para TI - TIrako Osasun Egiaztapena

8 otsailaren 2021