Erkennung von Netzwerkschwankungen, die durch WAF für die Elastic Stack Plattform identifiziert wurden

Alex Verbniak Senior Security Engineer

Add to my AI research

Es gibt viele interessante Fälle, die Sie beim Untersuchen von Anomalien in den Verkehrsbasislinien finden können, zum Beispiel in FTP, SSH oder HTTPS. Diese Anleitung beschreibt, wie Sie das „IImperva WAF – Kibana Dashboard, Watchers und Machine Learning für ELK Stack“ Content Pack verwenden, um abnormale Anstiege von Angriffen zu erkennen, die von WAF von einer einzelnen IP zu einer einzelnen Webanwendung identifiziert werden.

Content Pack zum Erkennen von Netzwerkanstiegen für den Elastic Stack herunterladen.

1. Melden Sie sich bei der SOC Prime Plattform mit Ihrem arbeitsbezogenen Konto an.
2. Gehen Sie zu Threat Detection Marketplace > Erste Schritte.
3. Wählen Sie Suchen aus dem Navigationsbereich.
4. Im Inhalt Suchen Feld, geben Sie „imperva waf“ ein.
5. Klicken Sie auf das „Imperva WAF – Kibana Dashboard, Watchers und Machine Learning für ELK Stack Content Pack“, um die Inhaltsseite zu öffnen.
6. Überprüfen Sie die Abhängigkeiten and Log-Quellen-Anforderungen Abschnitte, um zu sehen, ob Ihr System die Anforderungen für die Inhaltsbereitstellung erfüllt.
7. Klicken Sie auf die Herunterladen Schaltfläche.

„Imperva WAF - für ELK Stack“ Content Pack herunterladen

Hinweis: Die Verfügbarkeit der Erkennungsinhalte hängt von Ihrem aktuellen SOC Prime Abonnementlevel ab. Erfahren Sie mehr unter https://my.socprime.com/pricing/

Bereitstellen von Inhalten in Ihrer Kibana-Instanz

Melden Sie sich bei Ihrem Kibana an und importieren Sie Inhalte mit den folgenden Schritten:

Erstellen Sie einen neuen ML (Machine Learning) Job, indem Sie auf die Neue Aufgabe erstellen Schaltfläche in der oberen rechten Ecke der Seite klicken.
Wählen Sie das erforderliche Index-Muster oder eine gespeicherte Suche Imperva WAF-Protokolle.
Wählen Sie das Erweiterte Kachel aus der Liste der Assistenten, um einen erweiterten Job zu erstellen.
In the Bearbeiten Sie das JSON Tab, fügen Sie die JSON-Konfiguration des heruntergeladenen ML-Jobs ein.
Klicken Sie auf die Weiter Schaltfläche, um die Validierung zu bestehen.
Hinweis: Falls Sie ein anderes Feldtemplate haben, nehmen Sie bitte die entsprechenden Änderungen im JSON-Code vor.
Nach erfolgreicher Validierung speichern Sie die Änderungen, um die Erstellung des Jobs durch Klicken auf die Starten Schaltfläche abzuschließen. Hier können Sie den Zeitrahmen festlegen oder den Job auf Echtzeitsuchesetzen.
Als Ergebnis erhalten Sie die Visualisierung von Netzwerkanstiegen oder abnormaler SSH-Datenverkehrsaktivität, die untersucht werden muss.

Haben Sie Fragen? Kontaktieren Sie uns über den SOC Prime Plattform-Chat oder setzen Sie sich mit uns auf Discord in Verbindung..

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten Ein Treffen buchen

More SIEM & EDR Articles

Juni 18/2025 13 min zu lesen SIEM & EDR AI Threat Intelligence by Veronika Zahorulko

Okt. 31/2024 5 min zu lesen SIEM & EDR Praktischer Leitfaden zur Umwandlung von IOCs in SIEM-Abfragen mit Uncoder AI by Alla Yurchenko

Sep. 24/2024 6 min zu lesen SIEM & EDR Herstellerunabhängige Cybersicherheit: Anpassung an die Zukunft der Bedrohungserkennung by Eugene Tkachenko