使用麋鹿堆栈为AWS日志创建SEIM仪表板

Question

我们正在收集Elk stack Seim（Elasticsearch开放发行发行版）中的AWS日志，有人可以建议哪种类型的日志或安全事件需要连续监视并立即发出警报通知。我们正在使用基巴纳进行可视化。

我们需要在主仪表板中保留哪些重要的事情（例如：登录了多少个用户，主要使用哪个帐户）？

哪种类型的事件需要警报（例如：错误的密码尝试10倍，S3存储桶在办公时间后写入）？

如何识别AWS帐户何时被黑客入侵或攻击者偷走数据？

谢谢

Answer 1

在“公开发行”中（在我们的时间开放搜索中），这需要在警报部分中自己完成。

解决您的问题的最简单选择是使用原始Elasticsearch的免费版本，该版本在Kibana的安全应用程序中提供了检测引擎。

该检测引擎带有许多AWS特定规则，这些规则正在检查，例如黑客帐户。

在版本8中，您可以在弹性安全性下找到它 - ＆gt;警报 - ＆GT; （管理）规则 - ＆GT;导入弹性预制规则

您可以通过AWS Marketplace访问此版本的Elasticsearch。