Elastic Stackプラットフォーム向けWAFで識別されたネットワークスパイクの検出

交通ベースラインの異常を調査する際に見つけることができる興味深い事例がたくさんあります。たとえば、FTP、SSH、またはHTTPSで。このガイドでは、I「Imperva WAF – Kibana Dashboard, Watchers and Machine Learning for ELK Stack」コンテンツパックを使用して、単一のIPから単一のウェブアプリケーションへの異常な攻撃のスパイクをWAFが特定する方法を説明します。

Elastic Stack用のネットワークスパイク検出コンテンツパックをダウンロードする 

1. 1. にログインしてください SOC Primeプラットフォーム 職場関連のアカウントで。
   2. へ移動し 脅威検出マーケットプレイス > 開始.
   3. 選択 検索 ナビゲーションパネルから。
   4. の中に コンテンツ 検索 フィールドで、 「imperva waf」と入力します。
   5. 「Imperva WAF – Kibana Dashboard, Watchers and Machine Learning for ELK Stack Content Pack」をクリックして、コンテンツアイテムページを開きます。
   6. を確認してください 依存関係 and ログソース要件 セクションで、システムがコンテンツ展開の要件を満たしているかどうかを確認します。
   7. をクリックしてください ダウンロード ボタン。

注： 検出コンテンツの可用性は、現在のSOC Primeサブスクリプションティアに依存します。詳細は https://my.socprime.com/pricing/ をご覧ください。

Kibanaインスタンスへのコンテンツ展開 

Kibanaにログインし、次のステップを使用してコンテンツをインポートします：

1. ページの右上隅にある 新しいジョブを作成 ボタンをクリックして、新しいML（機械学習）ジョブを作成します。

   

2. 必要なインデックスパターンまたは保存された検索を選択します Imperva WAFログ。

   

3. を選択します 高度な タイルをウィザードのリストから選択して、高度なジョブを作成します。

   

4. In the JSONを編集 タブに、ダウンロードしたMLジョブのJSON構成を貼り付けます。
5. をクリックしてください 次へ ボタンを押して検証を通過します。
   注： 異なるフィールドテンプレートを持っている場合は、JSONコードで対応する変更を行ってください。
6. 検証が成功した後、 開始 ボタンをクリックしてジョブの作成を完了し、変更を保存します。ここで、時間枠を指定するか、ジョブを リアルタイム検索に設定できます。 
7. その結果として、調査が必要なネットワークスパイクや異常なSSHトラフィック活動の可視化を取得します。
   

質問はありますか？SOC Primeプラットフォームチャットを通じてお問い合わせいただくか、 Discordでご連絡ください.