Auditbeat con Elasticsearch 8.x - Parte 2: Alertas de Auditbeat por correo electrónico con Logstash

Auditbeat with Elasticsearch 8.x - Part 2: Email Auditbeat Alerts with Logstash

Introducción

Código en Github: Elasticsearch y Beats

Este tutorial es una continuación de Auditbeat con Elasticsearch Parte 1: Instalar y proteger.

En este tutorial, configuraremos alertas en Kibana y usaremos Logstash para enviarle alertas por correo electrónico.

Requisitos

Recursos de Auditbeat con Elasticsearch Parte 1: Instalar y proteger.

Pasos

Paso 1 - Definir las reglas [01:05]

Primero, confirme que dispone de información sobre la actividad del sistema o de los usuarios en su sistema, o cualquier otro registro de interés que le permita crear alertas y reglas.

Paso 2: Configurar Kibana [08:16]

Ve a Kibana en el Gestión de pilas > Reglas y conectores. Si ves Crea tu primera regla, entonces omite este paso. Si ves Se requiere configuración adicional, luego continúe con este paso.

Kibana Alert Setup Configuración de alertas de Kibana

Vaya a la ventana del shell de su servidor Kibana y escriba:

/usr/share/kibana/bin/kibana-keystore add xpack.encryptedSavedObjects.encryptionKey

Cuando se le solicite, pegue un secreto que tenga al menos 32 caracteres de longitud.

Luego reinicia kibana:

systemctl restart kibana

Visita Kibana nuevamente en tu navegador y visita Gestión de pilas > Reglas y conectores. Ahora deberías poder crear tu primera regla.

Kibana Alert First Rule Primera regla de alerta de Kibana

Paso 3 - Regla de configuración [11:40]

Crearemos una regla simple para detectar cualquier intento fallido de inicio de sesión ssh.

Haga clic en Crear regla y luego rellena los campos iniciales:

Name: failed login Check every: 1 minute Notify: On check intervals

Para el Tipo de regla, seleccionar Consulta de Elasticsearch > KQL o Lucene como se muestra en esta imagen:

Creating rule type Creación de un tipo de regla

Luego define tu consulta como se muestra en esta imagen:

Creating rule query Creación de una consulta de reglas

El define tu consulta es event.dataset: "login" and event.outcome: "failure" Set the umbral y ventana de tiempo a IS ABOVE = 1, FOR THE LAST = 1 minute

Para probar la regla, inicie sesión en su servidor/máquina SSH e introduzca una contraseña incorrecta para que se active la regla. Presione ahorrar.

Paso 4 - Preparar mensaje de alerta por correo electrónico - Crear conector de registro del servidor [14:40]

Queremos enviar las alertas a una ubicación diferente para que Logstash pueda enviar alertas por correo electrónico en nuestro nombre.

Haga clic en Conectores y elige Registros del servidor.

Kibana Alert Server Log Registro del servidor de alertas de Kibana

Haga clic Crear un conector y escribe algo significativo para Nombre del conector en la ventana emergente.

Establezca el Nivel A cualquier cosa que refleje lo que consideras que es la alerta. Puedes usarlo como una forma útil de indicarle a Logstash cómo filtrar y transformar los mensajes.

Si lo desea, edite el Mensaje. El Mensaje El campo es lo que se enviará por correo electrónico.

Prensa ahorrar.

Después de unos minutos, vaya a su servidor Kibana y confirme que los mensajes aparecen en /var/log/kibana.log.

Paso 5: Enviar correos electrónicos con Logstash [18:41]

Vaya a su servidor Kibana e instale Logstash con este comando:

sudo apt-get install -y logstash

Descargue este archivo logstash:Archivo Logstash para alertas por correo electrónico

Puedes colocar este archivo donde quieras. Por ahora, asumiremos que lo colocaste en /root/logstash.conf.

En la etapa de salida, complete los valores apropiados para la conexión de correo electrónico.

Para ejecutar logstash y comenzar a enviar correos electrónicos a medida que ocurren, escriba este comando:

/usr/share/logstash/bin/logstash -f /root/logstash.conf

Paso 6 - Configurar otra regla [24:18]

Crearemos otra regla para detectar si hay cambios de paquetes en alguno de los servidores.