Elastic SIEM Part III - Winlogbeat pour monitorer des OS Windows

Beats logo

Nous avons précédement vu comment installer Elastic SIEM Partie I et comment récupérer les logs de Switchs Cisco (Partie II) je décrierai ici comment surveiller des machines Windows.

Pour se faire nous installerons le module Winlogbeat sur chaque station Windows que l'on souhaite surveiller.

Winlogbeat fonctionne comme un agent qui collecte les informations du Windows surlequel il est installé puis les envoi vers le serveur Elasticsearch.

Architecture Winlogbeat

SIEM | Winlogbeat schema with elasticsearch and kibana
Winlogbeat Architecture.

Installation de Winlogbeat (Windows)

J'installerai Winlogbeat sur chaque machine que je souhaite monitorer dans Elasticsearch.

Télécharger Winlogbeat

  • Se connecter sur le site officiel et télécharger le package zip :
https://www.elastic.co/downloads/beats/winlogbeat
  • Une fois téléchargé, décompresser l'archive dans C:\Program Files\winlogbeat :
Elasticsearch | Windows Explorer, C:\Program Files\winlogbeat
  • Éditer le fichier winlogbeat.yml et remplacer 192.168.1.200 par l'adresse du serveur Elasticsearch :
# =================================== Kibana ===================================

# Starting with Beats version 6.0.0, the dashboards are loaded via the Kibana API.
# This requires a Kibana endpoint configuration.
setup.kibana:

  # Kibana Host
  # Scheme and port can be left out and will be set to the default (http and 5601)
  # In case you specify and additional path, the scheme is required: http://localhost:5601/path
  # IPv6 addresses should always be defined as: https://[2001:db8::1]:5601
  host: "192.168.1.200:5601"

# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["192.168.1.200:9200"]

Installer Winlogbeat

  • Ouvrir une console PowerShell avec les droits administrateurs
Windows | Open Windows PowerShell with administrator rights
  • Aller dans le dossier C:\Program Files\winlogbeat :
PS C:\> cd "C:\Program Files\winlogbeat"
  • Vérifier le fichier winlogbeat.yml :
PS C:\> .\winlogbeat.exe test config -c .\winlogbeat.yml
  • Installer le service Winlogbeat :
PS C:\> powershell -executionpolicy UnRestricted -file .\install-service-winlogbeat.ps1
  • Configurer les éléments prédéfinies pour l'analyse, l'indexation, et la visualisation :
PS C:\> .\winlogbeat.exe setup -e
  • Démarrer le service Winlogbeat :
PS C:\> Start-Service winlogbeat

Kibana

Vérifier la présence des indices

Maintenant que nous avons des données dans nos indexes il est maintenant temps de créer un joli dashboard depuis kibana pour avoir une représentation graphique des logs envoyés par les serveurs.

  • Ouvrir Firefox et se connecter sur http://KIBANA_IP_SERVER:5601/
  • Depuis le menu principal aller dans Management > Stack Management :
Kibana | Main menu, Management, Stack Management
  • Depuis Stack Management aller dans Data > Index Management :
Kibana | Main menu, Management, Stack Management, Data, Index Management
  • Les indices devraient apparaitre :
Kibana | Indices

Dashboard

Il y a quelques dashboard prédéfinie pour winlogbeat nous allons voir comment utiliser l'un d'entre eux.

  • Ouvrir le menu principal et aller dans Kibana > Dashboard :
Kibana | Main Menu, Dashboard
  • Entrer Winlogbeat et choisir un Dashboard :
Kibana | Winlogbeat Dashboard
  • Exemple ici avec le dashboard Failed and Blocked Account :
Kibana | Winlogbeat Failed and Blocked Account Dashboard
Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Contact :