使用ELK Stack为AWS日志创建SEIM仪表板

Question

我们正在收集ELK堆栈SEIM (Elasticsearch的开放区域)中的AWS日志，请有人告知需要持续监视和立即通知的日志或安全事件类型。我们正在使用Kibana进行可视化。

我们需要在主仪表板中保存哪些重要的东西(例如:有多少用户登录，哪个帐户主要使用)？

什么类型的事件需要提醒(例如:错误的密码尝试10X，S3桶写后办公时间)？

如何识别AWS帐户何时被黑客入侵或攻击者窃取数据？

谢谢

Answer 1

在开放发行版(在我们的日子里，公开搜索)，这需要你自己在警报部分完成。

解决您的问题的最简单的选择是使用原始Elasticsearch的免费版本，它在Kibana的安全应用程序中提供了一个检测引擎。

此检测引擎附带了许多AWS特定规则，这些规则正在检查例如被黑客攻击的帐户。

在第8版中，您可以在弹性安全->警报、-> (管理)规则、->导入弹性预置规则下发现这一点。

您可以通过AWS市场访问这个版本的Elasticsearch。