#elasticsearch #kibana #pipeline #filebeat
#эластичный поиск #кибана #трубопровод #биение файла
Вопрос:
Новичок в области безопасности, поэтому я пытаюсь понять, как работает прием Elasticsearch.
В настоящее время у меня есть агент на сервере, отправляющий некоторые события в формате json (или CSV) в наш лук безопасности, и я хочу получить их в Elasticsearch. Я могу либо отправить их непосредственно в Elastic, либо отправить в Logstash, а оттуда в Elastic.
Прежде всего, мне непонятно, как Elastic решает, какой трубопровод использовать?
Во-вторых, я хочу убедиться, что поля, которые являются целевыми полями, уже существуют в базе данных? Например, если в json есть поле event_destinationProcess — как я узнаю, какое соответствующее имя поля уже используется Elastic (например destination.process )?
Это пример события, которое я хочу проанализировать:
{"EventTime": "2021-11-30T00:12:12.899263-05:00","Hostname":"MYSERVER","Keywords":"9223372036854775808","EventType":"INFO","SeverityValue":2,"Severity":"INFO","EventID":11,"SourceName":"Microsoft-Windows-Sysmon","ProviderGuid":"{5770385F-C22A-43E0-BF4C-06F5698FFBD9}","Version":2,"TaskValue":11,"OpcodeValue":0,"RecordNumber":6682123,"ExecutionProcessID":9080,"ExecutionThreadID":13784,"Channel":"Microsoft-Windows-Sysmon/Operational","Domain":"NT AUTHORITY","AccountName":"SYSTEM","UserID":"S-1-5-18","AccountType":"User","Message":"File created:rnRuleName: -rnUtcTime: 2021-11-30 05:12:12.899rnProcessGuid: {CA401AF7-1F55-6184-4700-000000009600}rnProcessId: 4148rnImage: C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exernTargetFilename: C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 8\1470202\Microsoft.Windows.Server.DNS.WINS.Discovery.vbsrnCreationUtcTime: 2021-11-30 05:12:12.899rnUser: NT AUTHORITY\SYSTEM","Category":"File created (rule: FileCreate)","RuleName":"-","UtcTime":"2021-11-30 05:12:12.899","ProcessGuid":"{CA401AF7-1F55-6184-4700-000000009600}","ProcessId":"4148","Image":"C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe","TargetFilename":"C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 8\1470202\Microsoft.Windows.Server.DNS.WINS.Discovery.vbs","CreationUtcTime":"2021-11-30 05:12:12.899","User":"NT AUTHORITY\SYSTEM","EventReceivedTime":"2021-11-30T00:12:14.821147-05:00","SourceModuleName":"sysmon_event","SourceModuleType":"im_msvistalog"}