Suricata, ağ trafiğini izleyen ve olası tehditleri tespit eden güçlü bir araçtır. Ancak, Suricata’nın ürettiği logları analiz etmek ve anlamlı hale getirmek için bir görselleştirme aracına ihtiyaç duyabilirsiniz. Kibana, bu noktada devreye girer. Kibana, Elasticsearch üzerinde depolanan verileri görselleştirmek için kullanılan popüler bir araçtır. Bu yazıda, Suricata loglarını Kibana ile nasıl entegre edeceğinizi adım adım anlatacağız.
Buradan Suricata kurulumuna ulaşabilirsiniz.
—
Kibana Nedir?
Kibana, Elasticsearch üzerinde depolanan verileri görselleştirmek için kullanılan açık kaynak kodlu bir analiz ve görselleştirme platformudur. Suricata’nın ürettiği logları Kibana ile görselleştirerek, ağ trafiğinizi daha kolay analiz edebilir ve olası tehditleri hızlı bir şekilde tespit edebilirsiniz.
—
Suricata ve Kibana Entegrasyonu Adımları
Suricata loglarını Kibana ile entegre etmek için aşağıdaki adımları takip edebilirsiniz. Bu süreç, Elastic Stack (Elasticsearch, Logstash, Kibana) kullanılarak gerçekleştirilir.
—
1. Elastic Stack Kurulumu
Öncelikle, Elasticsearch, Logstash ve Kibana’yı kurmanız gerekiyor. Aşağıdaki komutlarla Elastic Stack’i kurabilirsiniz:
1. Elasticsearch Kurulumu:
wget -qO – https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add –
echo “deb https://artifacts.elastic.co/packages/7.x/apt stable main” | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt install elasticsearch
sudo systemctl start elasticsearch
sudo systemctl enable elasticsearch
2. Kibana Kurulumu:
sudo apt install kibana
sudo systemctl start kibana
sudo systemctl enable kibana
3. Logstash Kurulumu (Opsiyonel):
Eğer logları işlemek ve Elasticsearch’e göndermek için Logstash kullanmak istiyorsanız:
sudo apt install logstash
sudo systemctl start logstash
sudo systemctl enable logstash
—
2. Suricata Loglarını Elasticsearch’e Gönderme
Suricata, logları JSON formatında (`eve.json`) üretir. Bu logları doğrudan Elasticsearch’e göndermek için aşağıdaki adımları izleyebilirsiniz.
1. Filebeat Kurulumu:
Filebeat, logları toplamak ve Elasticsearch’e göndermek için kullanılan bir araçtır.
sudo apt install filebeat
2. Filebeat Yapılandırması:
Filebeat’i Suricata loglarını toplayacak şekilde yapılandırın:
sudo nano /etc/filebeat/filebeat.yml
Aşağıdaki ayarları yapılandırma dosyasına ekleyin:
“`yaml
filebeat.inputs:
– type: log
enabled: true
paths:
– /var/log/suricata/eve.json
output.elasticsearch:
hosts: [“localhost:9200”]
“`
3. Filebeat’i Başlatın:
sudo systemctl start filebeat
sudo systemctl enable filebeat
—
3. Kibana’da Suricata Loglarını Görselleştirme
Filebeat, Suricata loglarını Elasticsearch’e gönderdikten sonra, bu logları Kibana üzerinde görselleştirebilirsiniz.
1. Kibana’ya Erişim:
Kibana’ya tarayıcınızdan erişmek için:
http://<sunucu-ip>:5601
2. Index Pattern Oluşturma:
– Kibana’ya giriş yaptıktan sonra, “Stack Management” > “Index Patterns” bölümüne gidin.
– `filebeat-` şeklinde bir index pattern oluşturun.
– Zaman filtresi olarak `@timestamp` alanını seçin.
3. Discover Sekmesinde Logları Görüntüleme:
– “Discover” sekmesine giderek Suricata loglarını görüntüleyebilirsiniz.
– Logları filtreleyerek belirli olayları (örneğin, HTTP istekleri, DNS sorguları) analiz edebilirsiniz.
4. Dashboard Oluşturma:
– “Dashboard” sekmesine giderek yeni bir dashboard oluşturabilirsiniz.
– Örneğin, Suricata loglarından gelen tehditleri görselleştirmek için çeşitli grafikler ve tablolar ekleyebilirsiniz.
—
4. Örnek Kibana Görselleştirmeleri
Suricata loglarını Kibana üzerinde görselleştirmek için aşağıdaki örnekleri kullanabilirsiniz:
– Tehdit Türlerine Göre Dağılım: Suricata’nın tespit ettiği tehdit türlerini (örneğin, DDoS, port tarama) bir pasta grafiği ile görselleştirin.
– Kaynak ve Hedef IP’ler: En çok saldırı yapan kaynak IP’leri ve hedef IP’leri bir tablo halinde görüntüleyin.
– Zaman İçinde Tehditler: Tehditlerin zaman içindeki dağılımını bir çizgi grafiği ile analiz edin.
—
Suricata ve Kibana entegrasyonu, ağ güvenliği loglarınızı daha etkili bir şekilde analiz etmenizi sağlar. Kibana’nın güçlü görselleştirme özellikleri sayesinde, Suricata’nın ürettiği logları kolayca anlamlandırabilir ve olası tehditleri hızlı bir şekilde tespit edebilirsiniz.
Bu rehberde, Suricata loglarını Kibana ile nasıl entegre edeceğinizi adım adım anlattık. Eğer ağ güvenliği loglarınızı görselleştirmek ve daha etkili bir şekilde analiz etmek istiyorsanız, bu entegrasyonu denemek için harika bir zaman!
Daha fazla bilgi için:
– [Suricata Resmi Sitesi](https://suricata.io/)
– [Kibana Resmi Dokümantasyonu](https://www.elastic.co/guide/en/kibana/current/index.html)
—
Bu adımları takip ederek, Suricata loglarınızı Kibana ile görselleştirebilir ve ağ güvenliği analizlerinizi bir üst seviyeye taşıyabilirsiniz. Unutmayın, siber güvenlik sürekli bir süreçtir ve doğru araçlarla bu süreci daha etkili hale getirebilirsiniz.
