Jak wykry膰 phishing – feed CERT Polska w SIEM Elastic Stack.

Phishing to oszutwo, w kt贸rym przest臋pca podszywa si臋 pod inn膮 osob臋 lub instytucj臋 w celu wy艂udzenia poufnych informacji lub pieni臋dzy. Zesp贸艂 CERT Polska chroni nas przed niebezpiecznymi stronami publikuj膮c listy. Dost臋pne s膮 w wielu formatach. Je艣li znajdziesz z艂o艣liw膮 stron臋, mo偶esz zg艂osi膰 to do CSIRT NASK. W artykule wykorzystamy wymieniony feed w SIEM Elastic Stack i spr贸bujemy co艣 wykry膰 馃榿.

Czytaj dalej 鈥濲ak wykry膰 phishing – feed CERT Polska w SIEM Elastic Stack.鈥

Elasticsearch Runtime fields, albo analiza “polskiej szlachty” na podstawie danych z Facebook w Kibana

Elastic wprowadzi艂 mechanizm Runtime fields, a Facebook’owi przydarzy艂 si臋 wyciek. Jest to dobry pretekst, aby przetestowa膰 jedno i przyjrze膰 si臋 drugiemu 馃榿. Szczeg贸艂y o wycieku znajdziesz w artykule Niebezpiecznika.

Czytaj dalej 鈥濫lasticsearch Runtime fields, albo analiza “polskiej szlachty” na podstawie danych z Facebook w Kibana鈥

Jak postawi膰 klaster Elasticsearch? Fragment Kursu Elastic Stack

Najwi臋cej z聽Elasticsearch聽nauczy艂em si臋聽eksperymentuj膮c聽na聽klastrze. Nie potrzebujemy do tego聽farmy serwer贸w.聽Wystarczy nasz komputer i instalacja lokalnego klastra.

Czytaj dalej 鈥濲ak postawi膰 klaster Elasticsearch? Fragment Kursu Elastic Stack鈥

Analiza danych z Twitter dla leni w Elastic Stack (Xbox VS PlayStation)

Dane z Twitter mo偶na pozyska膰 na wiele sposob贸w, ale komu chce si臋 pisa膰 kod 馃槈. Szczeg贸lnie taki, kt贸ry b臋dzie dzia艂a艂 24/7. W Elastic Stack mo偶na w prosty spos贸b zbiera膰 i analizowa膰 dane z Twitter’a. Logstash ma gotowe wej艣cie do zbierania strumienia tweet’贸w. Kafka Connect omawiana w poprzednim artykule r贸wnie偶 ma tak膮 opcj臋, jednak Logstash mo偶e wysy艂a膰 dane do wielu 藕r贸de艂 (w tym do Apache Kafka) i jest prostszy w obs艂udze.

W artykule:

  • Zapis strumienia tweet贸w do Elasticsearch w Logstash’u
  • Wizualizacje w Kibana (Xbox vs PlayStation)
  • Usuni臋cie tag贸w HTML dla keyword’a mechanizmem normalizacji
Czytaj dalej 鈥濧naliza danych z Twitter dla leni w Elastic Stack (Xbox VS PlayStation)鈥

Elastic SIEM w pigu艂ce (cz臋艣膰 2)

Jest to kontynuacja poprzedniego wpisu. Tym razem przyjrzymy si臋 zak艂adce Detections w Elastic SIEM. Naszym celem jest automatyzacja wykrywania IOC wykorzystuj膮c sprawdzone regu艂y. Przypomnijmy: Zainstalowali艣my Elasticsearch + Kibana na jednej z maszyn. Monitorujemy maszyn臋 z Ubuntu (Auditbeat, Filebeat, Packetbeat) i Windows 10 (Winlogbeat), cho膰 w tym wpisie skupimy si臋 na tej drugiej.

Czytaj dalej 鈥濫lastic SIEM w pigu艂ce (cz臋艣膰 2)鈥

Elastic SIEM w pigu艂ce (cz臋艣膰 1)

艢rodowiska IT robi膮 si臋 coraz wi臋ksze, rozproszone i ci臋偶kie do zarz膮dzania. Wszystkie komponenty systemu trzeba zabezpieczy膰 i monitorowa膰 przed cyber zagro偶eniami. Potrzebna jest skalowalna platforma, kt贸ra potrafi magazynowa膰 i analizowa膰 logi, metryki oraz zdarzenia. Rozwi膮zania SIEM potrafi膮 kosztowa膰 niema艂e pieni膮dze. W tym wpisie przyjrzymy si臋 darmowemu rozwi膮zaniu dost臋pnego w Elastic Stack, czyli Elastic SIEM.

Czytaj dalej 鈥濫lastic SIEM w pigu艂ce (cz臋艣膰 1)鈥

Jak zacz膮膰 z Apache Spark i Cassandra

Apache Cassandra to specyficzna baza danych. Skaluje si臋 (uwaga) liniowo. Ma to swoj膮 cen臋: specyficzne modelowanie tabel, konfigurowalna sp贸jno艣膰 i ograniczona analityka. Apple wykonuje miliony operacji na sekund臋 na ponad 160 tys. instancjach Cassandry. Gromadzi przy tym ponad 100 PB danych. Ograniczon膮 analityk臋 mo偶na “wyleczy膰” wykorzystuj膮c Apache Spark i connector od DataStax i o tym jest ten wpis.

Czytaj dalej 鈥濲ak zacz膮膰 z Apache Spark i Cassandra鈥

Dlaczego Elasticsearch k艂amie? Jak dzia艂a Elasticsearch?

Elasticsearch zaskakuje nas swoimi mo偶liwo艣ciami i szybko艣ci膮 dzia艂ania, ale czy zwracane wyniki s膮 prawid艂owe? W tym wpisie dowiesz si臋 jak Elasticsearch dzia艂a pod mask膮 i dlaczego zwracane agregacje s膮 pewnego rodzaju przybli偶eniem.

Czytaj dalej 鈥濪laczego Elasticsearch k艂amie? Jak dzia艂a Elasticsearch?鈥