Détection des pics de réseau identifiés par WAF pour la plateforme Elastic Stack

Il y a beaucoup de cas intéressants que vous pouvez trouver en enquêtant sur des anomalies dans les bases de référence du trafic, par exemple, dans FTP, SSH ou HTTPS. Ce guide décrit comment utiliser le « Imperva WAF – Kibana Dashboard, Watchers and Machine Learning for ELK Stack » Content Pack pour détecter les pics anormaux d’attaques identifiées par le WAF depuis une seule IP vers une seule application web.

Téléchargement du Content Pack pour détecter les pics de réseau pour la Elastic Stack 

1. 1. Connectez-vous au SOC Prime Platform avec votre compte associé au travail.
   2. Allez sur Threat Detection Marketplace > Commencer.
   3. Sélectionner Rechercher depuis le panneau de navigation.
   4. Dans le champ Contenu, Rechercher saisissez « imperva waf ». Cliquez sur « Imperva WAF – Kibana Dashboard, Watchers and Machine Learning for ELK Stack Content Pack » pour ouvrir la page de l’élément de contenu.
   5. Click the “Imperva WAF – Kibana Dashboard, Watchers and Machine Learning for ELK Stack Content Pack” to open the content item page.
   6. Vérifiez les sections Dépendances and Exigences de la source de journaux pour voir si votre système répond aux exigences pour le déploiement du contenu.
   7. Cliquez sur le bouton Télécharger. button.

Remarque : La disponibilité du contenu de détection dépend de votre niveau d’abonnement actuel à SOC Prime. En savoir plus sur https://my.socprime.com/pricing/

Déploiement de contenu dans votre instance Kibana 

Connectez-vous à votre Kibana et importez le contenu en utilisant les étapes suivantes :

1. Créez un nouveau travail ML (Machine Learning) en cliquant sur le bouton Créer un nouveau travail dans le coin supérieur droit de la page.

   

2. Sélectionnez le modèle d’index requis ou une recherche sauvegardée journaux Imperva WAF.

   

3. Sélectionnez la tuile Avancé de la liste des assistants pour créer un travail avancé.

   

4. In the Modifier JSON onglet, collez la configuration JSON du travail ML téléchargé.
5. Cliquez sur le bouton Suivant pour passer la validation.
   Remarque : Si vous avez un modèle de champ différent, veuillez apporter les modifications correspondantes dans le code JSON.
6. Après une validation réussie, enregistrez les modifications pour compléter la création du travail en cliquant sur le bouton Démarrer. Ici, vous pouvez spécifier la période ou définir le travail sur Recherche en temps réel. 
7. En conséquence, vous obtiendrez la visualisation des pics de réseau ou de l’activité SSH anormale qui nécessitent une enquête.
   

Vous avez des questions ? Contactez-nous via le chat de la SOC Prime Platform ou contactez-nous sur Discord.