これは何?
2019年6月26日にELK7.2
がリリースされました。
新機能の1つに、「SIEM」というものがあります。
使うためにはfilebeat
, winlogbeat
, auditbeat
, packetbeat
などでログを流し込んであげましょう。
今は概要程度の内容です。そのうちしっかり書きます。
インストールとかは割愛します。
SIEM(しーむ)とは?
SIEMとはSecurity Information and Event Management
のこと。
和訳:セキュリティ情報イベント管理
何が見られる?
Hostsで見られるもの
Hostの数
ログイン認証した数
src/dstのIPアドレス(設定してないのでまだ見られない)
Host一覧
ログイン認証一覧
プロセス一覧
特定の端末を選択した状態で見られるもの
MACaddrとかIPaddrとかOSとか
イベント一覧(ページ一番下)
すっごーい!!