Qu'est-ce que ELK ?
« ELK » est l’acronyme Elasticsearch, Logstash et Kibana. Il s’agit de 3 projets open source gérés par l’entreprise Elastic.
Elasticsearch est un moteur d'analyse et de recherche. Logstash, quant à lui, est un pipeline côté serveur, destiné à traiter des données (type ETL). Son rôle est d'ingérer simultanément des données provenant d'une multitude de sources, puis de transformer ces données et de les rediriger vers un système de stockage comme Elasticsearch. Enfin, Kibana permet aux utilisateurs de visualiser les données à l'aide de tableaux et de graphiques dans Elasticsearch.
Si on résume donc, ELK permet :
- De collecter les données grâce à Logstash
- Stocker les données dans Elasticsearch
- Exploiter et analyser les données avec Kibana
FileBeat / LogStash
FileBeat est composé de modules pour des sources de données pour simplifier la collecte, l'analyse et les vues des formats de journaux d’entrées. Il utilise également le protocole de contrôle de flux lors de l'envoi de plusieurs données à Elasticsearch ou Logstash.
Logstash emploie un système d'entrée, de filtrage et de sortie. Les plugins d’entrée et de sortie sont nécessaires mais pas le filtre.
Le plugin d’entrée prend en compte tout type de données tels que Syslog, des apps web, du stockage et du Cloud Service.
Les objectifs du système de filtre sont :
- La conversion des données
- Le déchiffrage des coordonnées géographiques d’une adresse IP
- L’exclusion des champs confidentiels
- Le traitement des données
- L’envoie les données vers une ou plusieurs sources par exemple vers elasticsearch, ou d’autres bases de données.
Cloud Search Service
Cloud Search Service est un service du cloud qui comporte la solution Open Distro qui est une version openSource d’ELK. Le Cloud Search Service monitore Kibana et Elasticsearch.
Elasticsearch / Kibana
Elasticsearch traite des données, pour celà il utilise le port 9200. Puis il catégorise les données avec des index pour rechercher et analyser.
Kibana permet de visualiser les données Elasticsearch. Cela permet de créer des visualisations ainsi que des tableaux de bord, pour exploiter au mieux les données et avoir une meilleure analyse. Il est également possible d’organiser et sécuriser les données.
Quelles sont les fonctionnalités de la suite ELK ?
La suite ELK est populaire pour une bonne raison : avec ses multiples fonctionnalités de log management, ELK est un choix de premier ordre pour de nombreuses entreprises.
Log Collection :
L’une des fonctionnalités les plus importantes de n’importe quel SIEM est la capacité de collecter des données d’une variété de sources comme des serveurs, databases, panels de sécurité, des infrastructures réseaux.
La suite ELK opère des collections de logs à travers Logstash et d'un quatrième composant, appelé Beats. Une fois téléchargés, Beats et leurs modules distincts doivent être configurés pour définir le log à suivre. Une fois que Beats a collecté les données du journal, celles-ci peuvent être regroupées et traitées par Logstash.
Traitement des logs :
Pour être utiles, les entrées de données doivent être normalisées, ou traduites en noms de champs significatifs, pour être catégorisées, analysées et stockées. Cette activité, également appelée analyse syntaxique, est essentielle pour comprendre les données collectées par tout système SIEM. Grâce à l'ajout de plugins d'intégration et à une configuration minutieuse, Logstash peut décomposer vos journaux, enrichir des champs spécifiques avec des informations géographiques, par exemple, supprimer des champs, ajouter des champs, etc.
Mais il est important de noter qu’ELK prend en charge la collecte, le traitement et le stockage des journaux. Cependant, il ne permet pas de corréler les événements, de créer des alertes et de gérer les incidents. Dans sa forme brute, ELK pourrait être un élément constitutif d'un système SIEM complet. Il ne répond pas à toutes les exigences d'un système SIEM complet.
.png)
.jpg)
.jpg)
