Un SIEM ou Gestion de l'information des événements de sécurité est une solution de sécurité permettant de centraliser des journaux et des événements de nombreux périphériques différents d'un réseau informatique dans le but de les traiter et de générer des alertes dans le cas ou des événements anormaux se produiraient.
Nous vérons ici comment déployer la solution Elasticsearch. Qui a l'avantage d'être en grande partie gratuite.
Elasticsearch est un moteur de recherche et d'analyse distribué pour tout type de données.
Kibana est un outil de visualisation et de gestion des données pour Elasticsearch. Kibana sera utilisé pour rechercher, visualiser, et interagir avec les données stockées dans Elasticsearch.
Depuis un système Debian nous avons le choix de l'installer depuis les paquets ou via le gestionnaire de paquets apt. Nous verrons ici les deux méthodes.
root@host:~# wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.12.0-amd64.deb https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.12.0-amd64.deb.sha512 -P /tmp/
root@host:~# dpkg -i /tmp/elasticsearch-7.12.0-amd64.deb
root@host:~# wget https://artifacts.elastic.co/downloads/kibana/kibana-7.12.0-amd64.deb https://artifacts.elastic.co/downloads/kibana/kibana-7.12.0-amd64.deb.sha512 -P /tmp/
root@host:~# dpkg -i /tmp/kibana-7.12.0-amd64.deb
root@host:~# wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
root@host:~# apt update && apt-get install apt-transport-https
root@host:~# echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-7.x.list
root@host:~# apt update && apt-get install elasticsearch
root@host:~# apt update && apt-get install kibana
network.host: 0.0.0.0 discovery.type: single-node discovery.seed_hosts: ["0.0.0.0"]
node.name: std
root@host:~# systemctl start elasticsearch.service
root@host:~# curl http://127.0.0.1:9200
{ "name" : "std", "cluster_name" : "elasticsearch", "cluster_uuid" : "StdgreaTBanDKphU4S0ceg", "version" : { "number" : "7.12.0", "build_flavor" : "default", "build_type" : "deb", "build_hash" : "ff17057114c2199c9c1bbecc727003a907c0db7a", "build_date" : "2021-02-15T13:44:09.394032Z", "build_snapshot" : false, "lucene_version" : "8.7.0", "minimum_wire_compatibility_version" : "6.8.0", "minimum_index_compatibility_version" : "6.0.0-beta1" }, "tagline" : "You Know, for Search" }
server.host: "0.0.0.0"
root@host:~# systemctl start kibana.service
root@host:~# curl -XGET 'http://localhost:9200/_cluster/health'
{"cluster_name":"elasticsearch","status":"yellow","timed_out":false,"number_of_nodes":1,"number_of_data_nodes":1,"active_primary_shards":18,"active_shards":18,"relocating_shards":0,"initializing_shards":0,"unassigned_shards":4,"delayed_unassigned_shards":0,"number_of_pending_tasks":0,"number_of_in_flight_fetch":0,"task_max_waiting_in_queue_millis":0,"active_shards_percent_as_number":81.81818181818183}
Pour que les services Elasticsearch et Kibana se lancent automatiquement au démarrage, nous avons besoin de procéder à quelques paramétrages supplémentaires.
TimeoutStartSec=300
root@host:~# systemctl enable elasticsearch.service
root@host:~# systemctl enable kibana.service
root@host:~# tail /var/log/elasticsearch/elasticsearch.log
root@host:~# tail /var/log/kibana/kibana.log
Contact :