Detectando Picos de Rede Identificados por WAF para a Plataforma Elastic Stack

Existem muitos casos interessantes que você pode encontrar enquanto investiga anomalias nas referências de tráfego, por exemplo, em FTP, SSH ou HTTPS. Este guia descreve como usar o “Imperva WAF – Kibana Dashboard, Watchers e Machine Learning para ELK Stack” Content Pack para detectar picos anormais de ataques identificados pelo WAF de um único IP para uma única aplicação web.

Baixando Content Pack para Detectar Picos de Rede para o Elastic Stack 

1. 1. Faça login no SOC Prime Platform com sua conta associada ao trabalho.
   2. Vá para Threat Detection Marketplace > Comece agora.
   3. Selecione Buscar no painel de navegação.
   4. No campo Conteúdo Buscar , digite “imperva waf”.
   5. Clique no “Imperva WAF – Kibana Dashboard, Watchers e Machine Learning para ELK Stack Content Pack” para abrir a página do item de conteúdo.
   6. Verifique as Dependências and Requisitos da Fonte de Log secções para ver se o seu sistema atende aos requisitos para a implantação do conteúdo.
   7. Clique no botão de Download .

Nota: A disponibilidade do conteúdo de detecção depende do seu nível atual de assinatura no SOC Prime. Saiba mais em https://my.socprime.com/pricing/

Implantando Conteúdo na sua Instância Kibana 

Faça login no seu Kibana e importe o conteúdo usando os seguintes passos:

1. Crie um novo trabalho de ML (Machine Learning) clicando no botão Criar novo trabalho no canto superior direito da página.

   

2. Selecione o padrão de índice necessário ou uma pesquisa salva logs do Imperva WAF.

   

3. Selecione o tile Avançado da lista de assistentes para criar um trabalho avançado.

   

4. In the Edite a aba JSON , cole a configuração JSON do trabalho de ML baixado.
5. Clique no Próximo botão para passar na validação.
   Nota: Caso você tenha um modelo de campo diferente, faça as alterações correspondentes no código JSON.
6. Após a validação bem-sucedida, salve as alterações para concluir a criação do trabalho clicando no botão de Iniciar . Aqui, você pode especificar o período de tempo ou configurar o trabalho para Pesquisa em tempo real. 
7. Como resultado, você obterá a visualização de picos de rede ou atividade anormal de tráfego SSH que precisam de investigação.
   

Tem alguma dúvida? Entre em contato conosco via chat da SOC Prime Platform ou através do Discord.