Detectando picos de red identificados por WAF para la plataforma Elastic Stack

Hay muchos casos interesantes que puedes encontrar al investigar anomalías en las líneas base del tráfico, por ejemplo, en FTP, SSH o HTTPS. Esta guía describe cómo usar el «Imperva WAF – Panel de Kibana, Watchers y Aprendizaje Automático para el paquete de contenido ELK Stack» para detectar picos anormales de ataques identificados por WAF desde una única IP a una única aplicación web.

Descargando el paquete de contenido para detectar picos de red para el Elastic Stack 

1. 1. Inicie sesión en la plataforma SOC Prime con su cuenta asociada al trabajo.
   2. Ir a Mercado de Detección de Amenazas > Comenzar.
   3. Seleccionar Buscar del panel de navegación.
   4. En el campo de Contenido Buscar , escriba “imperva waf”.
   5. Haga clic en el «Imperva WAF – Panel de Kibana, Watchers y Aprendizaje Automático para el paquete de contenido de ELK Stack» para abrir la página del elemento de contenido.
   6. Verifique las secciones de Dependencias and Requisitos de Fuente de Registro para ver si su sistema cumple con los requisitos para la implementación del contenido.
   7. Haga clic en el botón Descargar .

Nota: La disponibilidad del contenido de detección depende de su nivel de suscripción actual en SOC Prime. Aprende más en https://my.socprime.com/pricing/

Implementación de contenido en su instancia de Kibana 

Inicie sesión en su Kibana e importe contenido usando los siguientes pasos:

1. Cree un nuevo trabajo de ML (Aprendizaje Automático) haciendo clic en el botón Crear nuevo trabajo en la esquina superior derecha de la página.

   

2. Seleccione el patrón de índice requerido o una búsqueda guardada de registros de Imperva WAF.

   

3. Seleccione el mosaico Avanzado de la lista de asistentes para crear un trabajo avanzado.

   

4. In the Edite la pestaña JSON , pegue la configuración JSON del trabajo de ML descargado.
5. Haga clic en el botón Siguiente botón para pasar la validación.
   Nota: En caso de que tenga una plantilla de campo diferente, haga los cambios correspondientes en el código JSON.
6. Después de una validación exitosa, guarde los cambios para completar la creación del trabajo haciendo clic en el botón Iniciar . Aquí, puede especificar el marco de tiempo o configurar el trabajo para Búsqueda en tiempo real. 
7. Como resultado, obtendrá la visualización de picos de red o actividad anormal de tráfico SSH que necesita investigación.
   

¿Tienes alguna pregunta? Contáctanos a través del chat de la plataforma SOC Prime o ponte en contacto con nosotros en Discord.