Hayabusaの結果はElasic Stackへ簡単にインポートすることができます。DFIR調査に特化した無料のElasitc Stack LinuxディストリビューションであるSOF-ELKの仕様をおすすめします。
まず SOF-ELKのVMWareイメージをhttp://for572.com/sof-elk-vmからダウンロードし解凍します。 ユーザ名とパスワードのデフォルトは以下のとおりです。
- Username:
elk_user
- Password:
forensics
VMを起動したら、以下のスクリーンのようなものが表示されます。
表示されたURLをウェブブラウザに入力してKibanaを開きます。例: http://172.16.62.130:5601/
Note: Kibanaの読み込みには時間を要します
以下のウェブページが表示されます。
一番上の左隅のサイドバーアイコンをクリックし、Integrations
を開いてください。
サーチバーにcsv
を入力してUpload a file
をクリックしてください。
CSVファイルをアップロードした後、Override settings
をクリックして正しいタイムスタンプのフォーマットを指定します。
以下の通り、変更したらApply
をクリックします。
Timestamp format
をcustom
に変更する。- フォーマットを
yyyy-MM-dd HH:mm:ss.SSS XXX
に指定する。 Time field
をTimestamp
に変更する。
左隅のImport
をクリックします。
Import
を押す前に、Advanced
をクリックして以下の設定を投入してください。
Index name
をevtxlogs-hayabusa
にします。Index settings
に、, "number_of_replicas": 0
を追加してインデックスのヘルスステータスが黄色にならないようにします。Mappings
の下にあるRuleTitle
の type をtext
からkeyword
に、EventID
の type をlong
からkeyword
に変更します。Ingest pipeline
の下にあるremove
セクションの下に, "field": "Timestamp"
を追加します。タイムスタンプは@timestamp
として表示されるため重複するフィールドは不要になります。インポートのエラーを回避するために以下の記載を削除します。{ "convert": { "field": "EventID", "type": "long", "ignore_missing": true } },
設定は以下の図のようになります。
インポート後、以下のようなImport completeの画面表示が得られます。
View index in Discover
をクリックして結果を閲覧することができます。
デフォルトのDiscoverの表示は以下のようになります。
画面上部のヒストグラムを見ることでいつイベントが発生したか、イベントの頻度の概要を見ることができます。
画面左のサイドバーでフィールドにカーソルを合わせてプラスマークをクリックするとこで列に表示するフィールドを追加することができます。
最初は以下のカラムを追加することをおすすめします。
Discoveryビューでは以下のように見えます。
KQLによるフィルタで、以下の例の通り、イベントやアラートを検索することができます。
Level: "critical"
: criticalのアラートのみを表示する。Level: "critical" or Level: "high"
: high と critical のアラートを表示する。NOT Level:info
: informationalのイベントを表示しない。*LatMov*
: 感染の横展開に関連するアラートとイベントを表示する。"Password Spray"
: "Password Spray"のような特定の攻撃のみを表示する。"LID: 0x8724ead"
: ログオンIDが0x8724eadとなっている関連したイベントを全て表示する。
シンプルなHayabusaダッシュボードを設定するためのJSONを提供します。ここをクリックすると設定のためのJSONファイルがダウンロードできます。
ダッシュボードのインポートのためには、左のサイドバーを開き、Management
の下にあるStack Management
をクリックします。
Saved Objects
を押した後に, 右上隅にあるImport
をクリックして、ダウンロードしたHayabusaダッシュボードJSONファイルをインポートします。
以下のダッシュボードを利用することができます。
SOF-ELK用のHayabusa logstashパーサーとダッシュボードを作成予定です。この機能でHayabusaのCSVの結果ファイルをディレクトリにコピーするだけでログの取り込みができるようになる予定です。
このドキュメントの多くは、@kzzzzo2さんのこちらのブログ記事から引用しました。
@kzzzzo2 さん、ありがとうございます!