香格里拉娱乐弹性应用程序
概述
香格里拉娱乐 App for Elastic是一种开箱即用的解决方案,可在Elastic中直接访问香格里拉娱乐业界领先的威胁情报数据。此外,香格里拉娱乐应用程序显著补充了Elastic SIEM应用程序的功能,尽管它不依赖于 SEIM应用程序.使用弹性客户 麋鹿 (ElasticSearch、LogStash、Kibana)用于安全事件响应和威胁搜索的堆栈可以使用新应用程序来增强其操作和分析的价值。
使用此应用程序的弹性用户将受益于:
- 提高了对DNS事件的可见性,并能够主动标记有风险的域名
- 使用香格里拉娱乐分析进行精确定位的威胁搜寻活动
- 弹性指数中领域智能的实时丰富
- Kibana UI内部的临时域调查
- 在Elastic中标记香格里拉娱乐 Iris中标记的域
部署香格里拉娱乐应用程序
先决条件
弹性版本
该应用程序已在以下弹性版本中成功验证:
- 弹性7.5.2
香格里拉娱乐 API密钥
您需要香格里拉娱乐 Enterprise API用户名和API密钥才能完成应用程序设置。香格里拉娱乐通常通过为组织中的主要联系人创建帐户来提供获取API凭据的访问权限。
您的API帐户必须有权访问以下列出的API终结点:
- Iris调查
- Iris Enrich
如果无法访问这些终结点,则无法配置应用程序。如果您需要获得新的API密钥来评估应用程序,请通过电子邮件联系香格里拉娱乐: [email protected] 香格里拉娱乐将协助您。
下载香格里拉娱乐应用程序
香格里拉娱乐应用程序有多个组件,每个组件的最新版本都可以从以下位置下载:
- github https://github.com/香格里拉娱乐/elastic-integration
- Docker Hub https://hub.docker.com/r/domaintools/elastic_integration
弹性通用模式(ECS)
香格里拉娱乐应用程序利用 弹性通用模式(ECS) 为了可扩展性。ECS是一个开源规范,在Elastic用户社区的支持下开发。ECS定义了一组在Elasticsearch中存储事件数据时使用的通用字段,如日志和指标。
目前,该应用程序不支持自定义数据模型。
日志来源
香格里拉娱乐应用程序从代理日志、DNS日志或包含域名的类似数据源中提取域名。为了实现这一点,首先需要识别包含URL(网络链接)或主机名的数据源,这些URL或主机名表示从您的网络到公共互联网的通信。在大多数情况下,web代理日志提供了对这些域的最佳可见性。然后可以自定义LogStash配置,以监控香格里拉娱乐应用程序中的特定日志源。
香格里拉娱乐还建议您查看特定版本的发行说明,以了解引入的更改。如果您当前使用的是旧版本的香格里拉娱乐应用程序并打算升级,则需要先卸载当前安装的组件。
请联系香格里拉娱乐支持部门,以获取安装/升级应用程序的帮助。
部署场景
香格里拉娱乐应用程序支持以下部署模型,以满足最常见的企业设置。该应用程序最好安装在docker容器中进行隔离。
您可以找到其他 参考文献 在docker上运行Elastic。
安装步骤
- 安装后端服务
- 开发人员友好的注释记录在香格里拉娱乐的存储库中 https://hub.docker.com/r/domaintools/elastic_integration
- 运行服务容器的主机上所需的应用程序:
- Docker
- Docker编写
- 在主机上,您希望安装该服务
/bin/bash-c“$(curl fsSLhttps://github.com/香格里拉娱乐/elastic-integration/raw/main/install.sh)”
- 您需要确保后端服务的.env文件指向正确的elasticsearch主机,并具有正确的凭据。您可以在下面确定的LOC中进行更改
https://github.com/香格里拉娱乐/elastic-integration/blob/main/.env.example#L2 - 记下服务URL(主机IP地址和端口)
- 服务URL是您正在安装此服务的实例的IP地址。您是使用公共IP还是私有IP将取决于您的Kibana和Elastic实例是否可以在私有IP上访问此实例。
- 默认端口:8000
- 如果您有另一个使用8000的服务,那么您可以在中指定所需的端口 https://github.com/香格里拉娱乐/elastic-integration/blob/main/docker-compose.customer.yml#L7
- 记下端口
- 安装Kibana插件
- 以Kibana用户身份在Kibana主机上
- 假设kibana插件二进制文件安装在/usr/share/kibana/bin/kibana-plugin
/usr/share/kibana/bin/kibana插件安装https://github.com/香格里拉娱乐/elastic-integration/raw/main/domaintools7.5.2-1.0.6.zip
- 您需要确保Kibana插件通过配置后端服务时标识的服务URL和端口指向后端服务主机(见上文)
- 这可以通过导航到香格里拉娱乐应用程序→设置→配置应用程序来完成
- 应用程序默认为http://localhost:8000 . 更改为您的环境特定值。
- 配置Logstash
Logstash需要配置用于丰富DNS事件的日志源。下面是几个关于如何配置Logstash的示例
配置步骤
- 配置API
- 在Kibana中,转到香格里拉娱乐应用程序->设置->配置API
- 输入您的API用户名和密钥
- 测试连接
- 配置丰富功能
- 在Kibana中,转到香格里拉娱乐应用程序->设置->配置应用程序
- 如果您尚未配置LogStash,请在继续操作之前进行配置。
- 查看默认设置,并更改浓缩计划
- 调整香格里拉娱乐分数、新域名和引导枢轴的阈值。为了您的方便,该应用程序已经填充了默认值。这些值用于在仪表板中标记风险域。
- 配置允许列表
- 在Kibana中,转到香格里拉娱乐应用程序->设置->配置允许列表
- 在SLD中添加最多100个域的连接列表。TLD格式(例如domaintools.com)
关键应用功能
威胁英特尔仪表板
此仪表板旨在帮助组织快速了解其网络上观察到的域所带来的风险。仪表板还有助于指导团队在其SOC工作流程中有效地利用香格里拉娱乐数据,并通过深入挖掘揭示潜在事件。
该仪表板由香格里拉娱乐 Risk Score提供支持,这是一种专有的评分算法,可以在域被武器化之前主动识别可能以恶意意图注册的域。该技术基于应用于香格里拉娱乐无与伦比的域名功能和基础设施特征覆盖范围的机器学习算法。
域名配置文件
Domain Profile页面允许Elastic用户对Kibana内部可观察到的单个域进行即席查找。在Iris Guided Pivots(连接的基础设施)的附加上下文中,向用户呈现了一组广泛的Iris智能数据
重新情报),这可以进一步推进你的调查。
最后,该应用程序还会从您的环境中发现与查询的域匹配的任何历史事件。
在应用程序中维护受信任的域
用户现在可以在香格里拉娱乐应用程序中维护受信任域的列表。在威胁英特尔仪表板中检测潜在恶意域时,此列表中的所有域都会被抑制。
