Χρήση του SIEM (ELK Wazuh use case)

Abstract

Το cyber threat hunting είναι η διαδικασία της προληπτικής και επαναληπτικής αναζήτησης μέσω δικτύων για τον εντοπισμό και την απομόνωση προωθούμενων απειλών που αποφεύγουν τις υπάρχουσες ρυθμίσεις ασφαλείας. Για την ανάλυση των logs χρησιμοποιείται το Elasticsearch, το οποίο είναι μια κατανεμημένη και ανοιχτού κώδικα μηχανή ανάλυσης για όλους τους τύπους δεδομένων. Επιπροσθέτως γίνεται χρήση του Wazuh plugin, μια δωρεάν, ανοιχτού κώδικα και έτοιμη για επιχειρήσεις λύση παρακολούθησης ασφάλειας για ανίχνευση απειλών, παρακολούθηση ακεραιότητας, απόκριση συμβάντων και συμμόρφωση. Υλοποιήθηκαν οι ενέργειες εγκατάσταση Wazuh server και agents, τα σενάρια ελέγχου ύποπτων αρχείων μέσω VirusTotal, επίβλεψη USB συσκευών αποθήκευσης και επίβλεψη Docker.