Ⅰ 安全洋蔥控制台(SOC)
一、安全洋蔥控制台(SOC)
一旦你運行了so-allow和允許你的IP地址,你就可以用你的web瀏覽器連接到安全洋蔥控制台(SOC)。我們推薦chromium 或基於chromium 的瀏覽器,如谷歌Chrome。其他瀏覽器可能也能工作,但基於chrome的瀏覽器提供了最好的兼容性。
根據您在安裝程序中選擇的選項,連接到您的安全洋蔥安裝的IP地址或主機名。然後使用您在安裝程序中指定的電子郵件地址和密碼登錄。
登錄後,你會在左側看到一些分析工具的鏈接,比如Alerts、Hunt、PCAP、Kibana、CyberChef、Playbook、TheHive和ATT&CK Navigator。雖然警報、Hunt和PCAP是SOC本身的原生工具,但是其餘的工具都是外部的,並且會產生單獨的瀏覽器標簽。
SOC使您能夠訪問各種工具,它們都可以很好地相互補充。例如,這里有一個潛在的工作流:
(1)檢查Grafana,確保你的系統是健康的。
(2)進入警報頁面並查看未確認的警報。
(3)一旦發現了需要調查的警告,可能需要擴展搜索並查找與源和目標IP地址相關的其他日誌,因此pivot可以搜索更多信息。如果這些附加日誌中的任何一個看起來很有趣,那麼您可能希望轉向PCAP,以查看該流的完整包捕獲。
(4)向Thehive發送警報,並記錄上一步發現的任何IOC指標。
(5)去fleet和執行那些IOCs跨所有osquery端點更廣泛的搜索。
(6)使用CyberChef進一步分析和解碼其他主機工件。
(7)開發一個在playbook,將自動向前告警IOC和更新您的覆蓋率ATT&CK導航器。
(8)最後,返回thehive和文件的整個調查和結束案件。
二、告警
安全洋蔥控制台(SOC)讓您訪問我們新的告警界面。這個界面給你一個告警的概述,安全洋蔥正在生成,並允許你快速深入細節,pivot到hunt或PCAP,並逐步升級警報到thehive。
2.1 切換toggle
頁面頂部必須有確認和升級切換:
(1)啟用確認切換將只顯示之前已被分析師確認的警報。
(2)啟用升級切換將只顯示之前由分析師升級到thehive的警報。
2.2查詢欄
查詢欄默認為按名稱分組,模塊按rule.name和event.mole對警報進行分組。如果您想將您當前的告警查詢發送到Hunt,您可以點擊查詢欄右邊的十字瞄準圖標。
在查詢欄下,您會注意到彩色的氣泡,它們表示查詢的各個組件和要分組的欄位。如果您想刪除部分查詢,您可以單擊相應的氣泡刪除它並運行新的搜索。
您可以單擊下拉框選擇其他查詢,這些查詢將按其他欄位分組。
2.3時間選擇器
默認情況下,Alerts搜索最近24小時。如果您想要搜索一個不同的時間段,您可以在屏幕的右上角更改它。
2.4數據表
頁面的其餘部分是一個數據表,從分組視圖開始,可以切換到詳細視圖。這兩種視圖有一些共同的功能:
(1)單擊表標頭可以按升序或降序排序。
(2)單擊bell圖標確認一個警報。然後,通過選擇頁面頂部的確認切換按鈕,就可以看到該警報。在確認視圖中,單擊鈴鐺圖標將刪除確認。
(3)單擊藍色感嘆號圖標將警報升級到hive並創建一個case。這個案例可以在蜂巢界面中看到。如果您需要在警告頁面中找到原來的升級警報,您可以啟用升級切換(它也將自動啟用確認切換)。
(4)單擊表中的一個值將顯示該值的操作菜單。左邊的正負放大鏡圖標允許您(分別)在查詢中包括或排除這些值。如果存在,向下箭頭圖標允許您鑽取該值(下一節將詳細介紹該值)。groupby圖標允許將特定欄位作為groupby添加到查詢中。在狩獵中,十字準星圖標開始了新的價值搜索。動作菜單右側末端的G和VT(分別)查找谷歌和VirusTotal上的值。
(5)您可以在右下角調整每頁的行設置,並使用左右箭頭圖標在表格中分頁。
分組的視圖
默認情況下,警報是根據查詢欄中選擇的任何條件進行分組的。單擊欄位值,然後單擊向下箭頭圖標,允許您向下鑽取該值,該值將切換到詳細視圖。
詳細視圖
如果單擊分組視圖中的一個值,然後單擊快速工具條上的向下箭頭圖標,它將向下鑽取到詳細視圖。這將顯示所有搜索結果,並允許您根據需要鑽取單個搜索結果。單擊表標頭可以按升序或降序排序。從每一行的左邊開始,有一個箭頭,它將展開結果以顯示其所有欄位。箭頭的右邊是時間戳欄位。接下來,將顯示幾個標准欄位:rule.name、event.severity_label、source.ip、source.port、destination.ip和destination.port。根據您正在查看的數據類型,可能還會有一些其他特定於數據的欄位。
當您單擊向下箭頭以展開Events表中的一行時,它將顯示該事件的所有單獨欄位。欄位名稱顯示在左側,欄位值顯示在右側。在查看欄位名稱時,左側有一個圖標,它將把該欄位添加到查詢的groupby部分。您可以單擊右邊的值彈出動作菜單,以優化搜索或轉向其他頁面。
三、狩獵
安全洋蔥控制台(SOC)讓您訪問我們的新狩獵介面。該界面允許您在Elasticsearch中搜索所有數據,並對疊加、下鑽、數據擴展和數據縮減進行了高度優化。
3.1自動狩獵
頁面的頂部有一個自動搜索的開關,默認是啟用的。啟用後,當您更改過濾器、分組或日期范圍時,Hunt將自動提交您的查詢。
3.2查詢欄
最簡單的入門方法是單擊query下拉框並選擇預定義的查詢之一。這些預定義的查詢涵蓋了您在安全洋蔥部署中可能看到的大多數主要數據類型:來自Suricata的NIDS警報、來自Wazuh的HIDS警報、來自Zeek或Suricata的協議元數據日誌、端點日誌和防火牆日誌。下拉列表中的每個條目都將顯示實際的查詢,然後是查詢功能的描述。
3.3時間選擇器
默認情況下,Hunt搜索最近24小時。如果您想要搜索一個不同的時間段,您可以在屏幕的右上角更改它。您可以使用默認的相對時間或單擊時鍾圖標更改為絕對時間。
3.4可視化
輸出的第一部分包含「最多發生可視化」、「時間軸可視化」和「最少發生可視化」。柱狀圖是可單擊的,因此您可以單擊一個值來更新您的搜索條件。聚合默認為10個值,所以最多出現在前10個值,最少出現在後10個值(長尾)。聚合值的數量由Group Metrics部分中的獲取限制設置控制。
3.5組指標
輸出的中間部分是Group Metrics部分,它是一個數據表,允許您堆疊(聚合)任意欄位。組指標由搜索欄中的groupby參數控制。單擊表標頭可以按升序或降序排序。
單擊Group Metrics表中的一個值,將彈出針對該值的操作菜單。左邊的正負放大鏡圖標允許您(分別)在查詢中包括或排除這些值。第三個放大鏡僅對值本身啟動一個新的查詢。動作菜單右側末端的G和VT(分別)查找谷歌和VirusTotal上的值。
Group Metrics表的默認取值限制是10。如果需要查看前10個以上的數據,可以增加獲取限制,然後使用左右箭頭圖標對輸出進行分頁,或者增加每頁的行設置。
3.6事件
輸出的第三部分也是最後一部分是一個數據表,其中包含所有搜索結果,並允許您根據需要鑽取單個搜索結果。單擊表標頭可以按升序或降序排序。從每一行的左邊開始,有一個箭頭,它將展開結果以顯示其所有欄位。箭頭的右邊是時間戳欄位。接下來,將顯示幾個標准欄位:source.ip、source.port、destination.ip、destination.port、log.id.uid(Zeek唯一標識符),network.community_id(社區ID),和event.dataset。根據您正在查看的數據類型,可能還會有一些其他特定於數據的欄位。
單擊Events表中的一個值將顯示該值的操作菜單。左邊的正負放大鏡圖標允許您(分別)在查詢中包括或排除這些值。第三個放大鏡僅對值本身啟動一個新的查詢。第四個圖標將帶您進入流的pcap。第五個圖標(bell)為該事件創建一個警報。動作菜單右側末端的G和VT(分別)查找谷歌和VirusTotal上的值。
Events表的默認取值限制是100。如果需要查看超過100個事件,可以增加獲取限制,然後使用左右箭頭圖標對輸出進行分頁,或者增加每頁的行設置。
當您單擊向下箭頭以展開Events表中的一行時,它將顯示該事件的所有單獨欄位。欄位名稱顯示在左側,欄位值顯示在右側。在查看欄位名稱時,左側有一個圖標,它將把該欄位添加到查詢的groupby部分。您可以單擊右邊的值彈出動作菜單,以優化搜索或轉向其他頁面。
3.7統計數據
頁面的左下角顯示了關於當前查詢的統計信息,包括後端數據獲取的速度和總往返時間。
3.8OQL
洋蔥查詢語言(OQL)以標準的Lucene查詢語法開始,然後允許你添加可選的片段來控制Hunt對查詢結果做什麼。groupby段告訴Hunt按(聚合)特定欄位分組。因此,例如,如果希望按目的地IP地址進行分組,可以將| groupby destination- IP添加到搜索中(假設它還沒有groupby語句)。groupby段支持多個聚合,因此您可以添加需要分組的更多欄位,並用空格分隔這些欄位。例如,要按目的地IP地址和目的地埠進行分組,可以使用| groupby destination.IP destinaion.port。