これは何?
2019年6月26日にELK7.2がリリースされました。
新機能の1つに、「SIEM」というものがあります。
使うためにはfilebeat, winlogbeat, auditbeat, packetbeatなどでログを流し込んであげましょう。
今は概要程度の内容です。そのうちしっかり書きます。
インストールとかは割愛します。
SIEM(しーむ)とは?
SIEMとはSecurity Information and Event Managementのこと。
和訳:セキュリティ情報イベント管理
何が見られる?
Hostsで見られるもの
Hostの数
ログイン認証した数
src/dstのIPアドレス(設定してないのでまだ見られない)
Host一覧
ログイン認証一覧
プロセス一覧
特定の端末を選択した状態で見られるもの
MACaddrとかIPaddrとかOSとか
イベント一覧(ページ一番下)
すっごーい!!