Practica 3 5 Montaje SOC con ELK

Contenido

NIVEL C 2

NIVEL B 6

NIVEL A 7

NIVEL A+ 9

CONCLUSION 10

NIVEL C

Primero creamos la instancia dándole a lanzar instancia (botón naranja):

Luego seleccionamos t3.large:

Generamos las claves:

En la configuración de red de momento vamos a dejar que cualquier ip pueda conectarse pero lo correcto seria dejar solo tu ip.

Y elegimos el almacenamiento que va a ocupar en este caso 30gb:

Para asignar la ip elástica:

Para editar el firewall en el menú de la izquierda hay que buscar security groups y nos saldrá este menú:

Luego habría que clickar en editar reglas de entrada y crear las reglas que queramos.

Por ultimo vamos a conectarnos a nuestra instancia a través de ssh y especificando la clave generada:

NIVEL B

Vamos a comenzar descargándonos la imagen de elk:

Hay que acordarse de configurar el siguiente archivo para que no nos de problemas de memoria ram:

Aunque eso es soolo para cuando lo reinicies si lo quieres configurar “en caliente”

Una vez descargada la imagen corremos el contenedor con el siguiente comando:

Hay que acordarse de en el firewall abrir los tres puertos del elk:

Y por ultimo accedemos a la ip publica y al puerto de kibana 5601:

NIVEL A

Vamos a comenzar descargando docker-compose:

Luego creamos un archivo que se llame docker-compose.yml , con la siguiente configuración:

Y por ultimo creamos el elk con el docker-copmpose:

Ahora ejecutamos el docker y nos metemos dentro:

Ahora que sabemos que kibana esta funcionando solo falta probar metiendo datos de prueba en logstash directamente con el siguiente comando:

Luego metemos la cadena que queramos :

Por ultimo solo nos falta acceder a la siguiente url:

http://3.216.105.222:5601/app/dev_tools#/console

Y cuando estemos dentro hacemos una consulta de la siguiente manera:

NIVEL A+

En el buscador introducimos index , y le damos a index pattern:

Luego a Create index pattern.

Aquí le ponemos de nombre logstash* para que nos filtre por todos los sources que empiecen por logstash.

Y por ultimo le damos a las 3 rayas de la izquierda y le damos a discover:

CONCLUSION

Para finalizar esta practica me gustaría comentar que estos son los típicos conocimientos claves que vamos a aprender en este curso y que hacen que merezca la pena.Aprender una tecnología que puede ser crucial en tu dia a dia , y son este tipo de contenido en el que deberían centrarse los cursos de especialización y los grados de fp en general.Me gusto bastante el montar este soc y utilizar una herramienta tan actual como amazon web services (AWS)

PreviousPractica 3 4 Port KnockingNextPractica4_2 Investigacion defacement

Last updated