Rilevare i Picchi di Rete Identificati dal WAF per la Piattaforma Elastic Stack

Ci sono molti casi interessanti che puoi trovare mentre indaghi sulle anomalie nei baseline del traffico, ad esempio, in FTP, SSH o HTTPS. Questa guida descrive come utilizzare il “Imperva WAF – Kibana Dashboard, Watcher e Machine Learning per ELK Stack” Content Pack per rilevare picchi anomali di attacchi identificati da WAF da un singolo IP a una singola applicazione web.

Scaricare il Content Pack per rilevare picchi di rete per l’Elastic Stack 

1. 1. Accedi alla Piattaforma SOC Prime con il tuo account associato al lavoro.
   2. Vai a Threat Detection Marketplace > Cominciamo.
   3. Seleziona Cerca dal pannello di navigazione.
   4. Nel campo Contenuto Cerca , digita “imperva waf”.
   5. Clicca su “Imperva WAF – Kibana Dashboard, Watcher e Machine Learning per ELK Stack Content Pack” per aprire la pagina dell’elemento del contenuto.
   6. Controlla le sezioni Dipendenze and Requisiti di origine del log per vedere se il tuo sistema soddisfa i requisiti per il deployment del contenuto.
   7. Clicca sul pulsante Scarica .

Nota: La disponibilità del contenuto di rilevazione dipende dal tuo attuale livello di abbonamento SOC Prime. Scopri di più su https://my.socprime.com/pricing/

Implementazione dei contenuti nella tua istanza Kibana 

Accedi a Kibana e importa il contenuto utilizzando i seguenti passaggi:

1. Crea un nuovo lavoro ML (Machine Learning) cliccando sul pulsante Crea nuovo lavoro nell’angolo in alto a destra della pagina.

   

2. Seleziona il pattern dell’indice richiesto o una ricerca salvata Imperva WAF logs.

   

3. Seleziona la tessera Avanzato dalla lista di wizard per creare un lavoro avanzato.

   

4. In the Modifica JSON scheda, incolla la configurazione JSON del Lavoro ML scaricato.
5. Clicca sul pulsante Successivo pulsante per passare la validazione.
   Nota: Nel caso tu abbia un modello di campo diverso, apporta le modifiche corrispondenti nel codice JSON.
6. Dopo una validazione riuscita, salva le modifiche per completare la creazione del lavoro cliccando sul pulsante Inizia . Qui, puoi specificare l’intervallo di tempo o impostare il lavoro su Ricerca in tempo reale. 
7. Come risultato, otterrai la visualizzazione dei picchi di rete o dell’attività anomala del traffico SSH che necessitano di investigazione.
   

Hai domande? Contattaci tramite la chat della Piattaforma SOC Prime o mettiti in contatto con noi su Discord.