Detectando Picos de Rede Identificados por WAF para a Plataforma Elastic Stack

SIEM & EDR

Setembro 11, 2023

2 min de leitura

Detectando Picos de Rede Identificados por WAF para a Plataforma Elastic Stack

Alex Verbniak
Alex Verbniak Engenheiro de Segurança Sênior

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Tabela de Conteúdos

Inscreva-se no Resumo Semanal

Exclusivo para usuários SOC Prime

Newsletter Icon

Existem muitos casos interessantes que você pode encontrar enquanto investiga anomalias nas referências de tráfego, por exemplo, em FTP, SSH ou HTTPS. Este guia descreve como usar o “Imperva WAF – Kibana Dashboard, Watchers e Machine Learning para ELK Stack” Content Pack para detectar picos anormais de ataques identificados pelo WAF de um único IP para uma única aplicação web.

Baixando Content Pack para Detectar Picos de Rede para o Elastic Stack 

    1. Faça login no SOC Prime Platform com sua conta associada ao trabalho.
    2. Vá para Threat Detection Marketplace > Comece agora.
    3. Selecione Buscar no painel de navegação.
    4. No campo Conteúdo Buscar , digite “imperva waf”.Baixe o "Imperva WAF - para ELK Stack" Content Pack
    5. Clique no “Imperva WAF – Kibana Dashboard, Watchers e Machine Learning para ELK Stack Content Pack” para abrir a página do item de conteúdo.
    6. Verifique as Dependências and Requisitos da Fonte de Log secções para ver se o seu sistema atende aos requisitos para a implantação do conteúdo.
    7. Clique no botão de Download .
Baixe o "Imperva WAF - para ELK Stack" Content Pack

Nota: A disponibilidade do conteúdo de detecção depende do seu nível atual de assinatura no SOC Prime. Saiba mais em https://my.socprime.com/pricing/

Implantando Conteúdo na sua Instância Kibana 

Faça login no seu Kibana e importe o conteúdo usando os seguintes passos:

  1. Crie um novo trabalho de ML (Machine Learning) clicando no botão Criar novo trabalho no canto superior direito da página.

    Crie um novo trabalho no Kibana

  2. Selecione o padrão de índice necessário ou uma pesquisa salva logs do Imperva WAF.

    Selecione o padrão de índice necessário ou uma pesquisa salva logs do Imperva WAF.

  3. Selecione o tile Avançado da lista de assistentes para criar um trabalho avançado.
    Selecione o tile Avançado da lista de assistentes para criar um trabalho avançado.

  4. In the Edite a aba JSON , cole a configuração JSON do trabalho de ML baixado.Na aba Editar JSON, cole a configuração JSON do trabalho ML baixado
  5. Clique no Próximo botão para passar na validação.Crie um trabalho avançado no Kibana
    Nota: Caso você tenha um modelo de campo diferente, faça as alterações correspondentes no código JSON.
  6. Após a validação bem-sucedida, salve as alterações para concluir a criação do trabalho clicando no botão de Iniciar . Aqui, você pode especificar o período de tempo ou configurar o trabalho para Pesquisa em tempo realEspecifique o período de tempo ou configure o trabalho para Pesquisa em tempo real.
  7. Como resultado, você obterá a visualização de picos de rede ou atividade anormal de tráfego SSH que precisam de investigação.
    Obtenha a visualização de picos de rede ou atividade anormal de tráfego SSH

Tem alguma dúvida? Entre em contato conosco via chat da SOC Prime Platform ou através do Discord.

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Cadastre-se Gratuitamente Agendar uma Reunião

More SIEM & EDR Articles

Inteligência de Ameaças com IA 17 min de leitura SIEM & EDR Inteligência de Ameaças com IA by Veronika Zahorulko Guia Prático para Converter IOCs em Consultas SIEM com Uncoder AI 6 min de leitura SIEM & EDR Guia Prático para Converter IOCs em Consultas SIEM com Uncoder AI by Alla Yurchenko Cibersegurança Independente de Fornecedor: Adaptando-se ao Futuro da Detecção de Ameaças 7 min de leitura SIEM & EDR Cibersegurança Independente de Fornecedor: Adaptando-se ao Futuro da Detecção de Ameaças by Eugene Tkachenko