Cyber
Incidentes de ciberseguridad
Incidentes de ciberseguridad
  • Practica1.1 Retos de cifrado simetrico y asimetrico
  • Practica1.0 Busqueda de leaks
  • Practica1.2 Envio email cifrado con thunderbird
  • Practica1.3 Phising y otras estafas
  • opcional sakura_room
  • opcional WebOsint
  • Practica2.1 Generacion de elementos
  • Practica2.2.2 Entrenamiento con phising email
  • practica2.2 gophish
  • Practica 3 2 Volumenes en docker
  • Practica 3 3 Profundizacion Syslog ng
  • Practica 3 4 Port Knocking
  • Practica 3 5 Montaje SOC con ELK
  • Practica4_2 Investigacion defacement
  • Practica4_3 Splunk
  • Practica 4_1 Investigacion elastic
  • Slingshot
  • Wazuh
  • AWS
  • Opcional1.0 Phising
  • Practica 4_4 Splunk exploring spl
  • Practica4_4_1 Splunk Dashboards
  • wireshark
Powered by GitBook
On this page
  • NIVEL C
  • NIVEL B
  • NIVEL A
  • NIVEL A+
  • CONCLUSION

Practica 3 5 Montaje SOC con ELK

PreviousPractica 3 4 Port KnockingNextPractica4_2 Investigacion defacement

Last updated 1 year ago

Contenido

NIVEL C 2

NIVEL B 6

NIVEL A 7

NIVEL A+ 9

CONCLUSION 10

NIVEL C

Primero creamos la instancia dándole a lanzar instancia (botón naranja):

Luego seleccionamos t3.large:

Generamos las claves:

En la configuración de red de momento vamos a dejar que cualquier ip pueda conectarse pero lo correcto seria dejar solo tu ip.

Y elegimos el almacenamiento que va a ocupar en este caso 30gb:

Para asignar la ip elástica:

Para editar el firewall en el menú de la izquierda hay que buscar security groups y nos saldrá este menú:

Luego habría que clickar en editar reglas de entrada y crear las reglas que queramos.

Por ultimo vamos a conectarnos a nuestra instancia a través de ssh y especificando la clave generada:

NIVEL B

Vamos a comenzar descargándonos la imagen de elk:

Hay que acordarse de configurar el siguiente archivo para que no nos de problemas de memoria ram:

Aunque eso es soolo para cuando lo reinicies si lo quieres configurar “en caliente”

Una vez descargada la imagen corremos el contenedor con el siguiente comando:

Hay que acordarse de en el firewall abrir los tres puertos del elk:

Y por ultimo accedemos a la ip publica y al puerto de kibana 5601:

NIVEL A

Vamos a comenzar descargando docker-compose:

Luego creamos un archivo que se llame docker-compose.yml , con la siguiente configuración:

Y por ultimo creamos el elk con el docker-copmpose:

Ahora ejecutamos el docker y nos metemos dentro:

Ahora que sabemos que kibana esta funcionando solo falta probar metiendo datos de prueba en logstash directamente con el siguiente comando:

Luego metemos la cadena que queramos :

Por ultimo solo nos falta acceder a la siguiente url:

Y cuando estemos dentro hacemos una consulta de la siguiente manera:

NIVEL A+

En el buscador introducimos index , y le damos a index pattern:

Luego a Create index pattern.

Aquí le ponemos de nombre logstash* para que nos filtre por todos los sources que empiecen por logstash.

Y por ultimo le damos a las 3 rayas de la izquierda y le damos a discover:

CONCLUSION

Para finalizar esta practica me gustaría comentar que estos son los típicos conocimientos claves que vamos a aprender en este curso y que hacen que merezca la pena.Aprender una tecnología que puede ser crucial en tu dia a dia , y son este tipo de contenido en el que deberían centrarse los cursos de especialización y los grados de fp en general.Me gusto bastante el montar este soc y utilizar una herramienta tan actual como amazon web services (AWS)

http://3.216.105.222:5601/app/dev_tools#/console