Erkennung von Netzwerkschwankungen, die durch WAF für die Elastic Stack Plattform identifiziert wurden

Es gibt viele interessante Fälle, die Sie beim Untersuchen von Anomalien in den Verkehrsbasislinien finden können, zum Beispiel in FTP, SSH oder HTTPS. Diese Anleitung beschreibt, wie Sie das „IImperva WAF – Kibana Dashboard, Watchers und Machine Learning für ELK Stack“ Content Pack verwenden, um abnormale Anstiege von Angriffen zu erkennen, die von WAF von einer einzelnen IP zu einer einzelnen Webanwendung identifiziert werden.

Content Pack zum Erkennen von Netzwerkanstiegen für den Elastic Stack herunterladen.

1. 1. Melden Sie sich bei der SOC Prime Plattform mit Ihrem arbeitsbezogenen Konto an.
   2. Gehen Sie zu Threat Detection Marketplace > Erste Schritte.
   3. Wählen Sie Suchen aus dem Navigationsbereich.
   4. Im Inhalt Suchen Feld, geben Sie „imperva waf“ ein.
   5. Klicken Sie auf das „Imperva WAF – Kibana Dashboard, Watchers und Machine Learning für ELK Stack Content Pack“, um die Inhaltsseite zu öffnen.
   6. Überprüfen Sie die Abhängigkeiten and Log-Quellen-Anforderungen Abschnitte, um zu sehen, ob Ihr System die Anforderungen für die Inhaltsbereitstellung erfüllt.
   7. Klicken Sie auf die Herunterladen Schaltfläche.

Hinweis: Die Verfügbarkeit der Erkennungsinhalte hängt von Ihrem aktuellen SOC Prime Abonnementlevel ab. Erfahren Sie mehr unter https://my.socprime.com/pricing/

Bereitstellen von Inhalten in Ihrer Kibana-Instanz

Melden Sie sich bei Ihrem Kibana an und importieren Sie Inhalte mit den folgenden Schritten:

1. Erstellen Sie einen neuen ML (Machine Learning) Job, indem Sie auf die Neue Aufgabe erstellen Schaltfläche in der oberen rechten Ecke der Seite klicken.

   

2. Wählen Sie das erforderliche Index-Muster oder eine gespeicherte Suche Imperva WAF-Protokolle.

   

3. Wählen Sie das Erweiterte Kachel aus der Liste der Assistenten, um einen erweiterten Job zu erstellen.

   

4. In the Bearbeiten Sie das JSON Tab, fügen Sie die JSON-Konfiguration des heruntergeladenen ML-Jobs ein.
5. Klicken Sie auf die Weiter Schaltfläche, um die Validierung zu bestehen.
   Hinweis: Falls Sie ein anderes Feldtemplate haben, nehmen Sie bitte die entsprechenden Änderungen im JSON-Code vor.
6. Nach erfolgreicher Validierung speichern Sie die Änderungen, um die Erstellung des Jobs durch Klicken auf die Starten Schaltfläche abzuschließen. Hier können Sie den Zeitrahmen festlegen oder den Job auf Echtzeitsuchesetzen.
7. Als Ergebnis erhalten Sie die Visualisierung von Netzwerkanstiegen oder abnormaler SSH-Datenverkehrsaktivität, die untersucht werden muss.
   

Haben Sie Fragen? Kontaktieren Sie uns über den SOC Prime Plattform-Chat oder setzen Sie sich mit uns auf Discord in Verbindung..