{"id":753,"date":"2023-02-22T10:21:00","date_gmt":"2023-02-22T10:21:00","guid":{"rendered":"https:\/\/dab.solutions\/?p=753"},"modified":"2024-04-06T21:16:31","modified_gmt":"2024-04-06T21:16:31","slug":"dhis2-siem-automation","status":"publish","type":"post","link":"https:\/\/dab.solutions\/es\/uncategorized\/dhis2-siem-automation\/","title":{"rendered":"Automatizaci\u00f3n SIEM DHIS2"},"content":{"rendered":"

Uno de los aspectos de una postura de seguridad madura es lo preparada que est\u00e1 la organizaci\u00f3n para detectar y responder a las ciberamenazas: debido a una combinaci\u00f3n de factores que hacen que los ciberataques sean m\u00e1s f\u00e1ciles de llevar a cabo y, por tanto, m\u00e1s comunes, construir el sistema para detectar con prontitud dichos ataques y responder adecuadamente se convierte cada vez m\u00e1s en una necesidad urgente y temprana.<\/p>\n\n\n

\n

Por eso hemos creado un sistema autom\u00e1tico de gesti\u00f3n de eventos de informaci\u00f3n de seguridad<\/strong> (SIEM) system for DHIS2 on lxd server infrastructure in dhis2-tools-dab<\/a>: mediante la introducci\u00f3n de las nuevas caracter\u00edsticas fue f\u00e1cil desarrollar un nuevo contenedor de tipo es_siem<\/em>... aportando el poder de ElasticSearch<\/a> en la plataforma.<\/p>\n

\n

ElasticSearch ha sido una referencia en el espacio de recopilaci\u00f3n de registros durante un tiempo y su facilidad de instalaci\u00f3n y gesti\u00f3n, gracias tambi\u00e9n a la interfaz de usuario web llamada Kibana, hizo para nosotros la elecci\u00f3n por defecto para este sistema, adem\u00e1s de la conocida fiabilidad, flexibilidad y la gran comunidad detr\u00e1s del proyecto.<\/p>\n<\/div>

\n

Aunque ElasticSearch naci\u00f3 como una soluci\u00f3n de gesti\u00f3n de registros, est\u00e1 en la posici\u00f3n adecuada para ofrecer un buen sistema de alertas de seguridad, aunque algunas de sus mejores caracter\u00edsticas en este sentido vienen como una suscripci\u00f3n de pago (m\u00e1s sobre esto en la secci\u00f3n Limitaciones).<\/p>\n<\/div>

\n

Dicho esto, una soluci\u00f3n SIEM debe proporcionar una creaci\u00f3n de reglas flexible, mecanismos de notificaci\u00f3n y alertas f\u00e1ciles de consultar, todas etas cosas que ElasticSearch hace bien, de forma gratuita.<\/p>\n<\/div>

\n

As\u00ed que vamos a sumergirnos en la configuraci\u00f3n y algunas primeras impresiones.<\/p>\n

\n

Esta configuraci\u00f3n se realiza gracias al es_siem<\/em> tipo de contenedor introducido con dhis2-tools-dab.<\/p>\n<\/div><\/div>

\n

Puede consultar la es_siem<\/em> y es_siem_postsetup<\/em> para saber m\u00e1s sobre c\u00f3mo est\u00e1 configurado el sistema y reproducirlo manualmente.<\/p>\n<\/div>

\n

La posdata se configura en cada contenedor sistema journald<\/a>que centraliza los registros en un archivo que luego es analizado por la aplicaci\u00f3n filebeat agen<\/a>t, que en \u00faltima instancia env\u00eda los datos a ElasticSearch para su almacenamiento y an\u00e1lisis ya en formato JSON.<\/p>\n<\/div>

\n

Para empezar, vamos a a\u00f1adir la entrada de tipo de contenedor en el archivo de configuraci\u00f3n de contenedores.<\/p>\n\n

dab@battlechine:~$ sudo cat \/usr\/local\/etc\/dhis\/containers.json\n{\n  \"fqdn\":\"192.168.130.130\",\n  \"email\": \"davide@dab.solutions\",\n  \"environment\": {\n          \"TZ\": \"Europe\/Madrid\"\n  },\n  \"network\": \"192.168.0.1\/24\",\n  \"monitoring\": \"munin\",\n  \"apm\": \"glowroot\",\n  \"proxy\": \"nginx\",\n  \"containers\": [\n    {\n      \"name\": \"proxy\",\n      \"ip\": \"192.168.0.2\",\n      \"type\": \"nginx_proxy\"\n    },\n    {\n      \"name\": \"postgres\",\n      \"ip\": \"192.168.0.20\",\n      \"type\": \"postgres\"\n    },\n    {\n     \"name\": \"siem\",\n     \"ip\": \"192.168.0.200\",\n     \"type\": \"es_siem\"\n    }\n  ]\n}<\/code><\/pre>\n<\/div>
\n
Como puede ver, se ha a\u00f1adido la nueva secci\u00f3n denominada \"siem\": al ejecutar .\/create_containers.sh<\/code>se identifica y crea el nuevo contenedor que falta:<\/p>\n\n
dab@battlechine:~\/dhis2-tools-ng-dab\/setup$ sudo .\/create_containers.sh\nSkipping adding existing rule\nSkipping adding existing rule (v6)\nSkipping adding existing rule\nSkipping adding existing rule (v6)\nReading package lists... Done\nBuilding dependency tree\nReading state information... Done\nauditd is already the newest version (1:2.8.5-2ubuntu6).\napache2-utils is already the newest version (2.4.41-4ubuntu3.13).\nunzip is already the newest version (6.0-25ubuntu1.1).\njq is already the newest version (1.6-1ubuntu0.20.04.1).\nThe following packages were automatically installed and are no longer required:\n  libfwupdplugin1 libpython2-dev libpython2-stdlib libpython2.7 libpython2.7-dev libpython2.7-minimal libpython2.7-stdlib python2 python2-dev python2-minimal python2.7\n  python2.7-dev python2.7-minimal\nUse 'sudo apt autoremove' to remove them.\n0 upgraded, 0 newly installed, 0 to remove and 34 not upgraded.\n[2023-02-20 23:19:03] [WARN] [create_containers.sh] Container proxy already exist, skipping\n[2023-02-20 23:19:03] [WARN] [create_containers.sh] Container postgres already exist, skipping\n[2023-02-20 23:19:03] [INFO] [create_containers.sh] Creating siem of type es_siem (ubuntu 20.04)\nCreating siem\nwaiting for network\n[2023-02-20 23:19:11] [INFO] [create_containers.sh] Running setup from containers\/es_siem\n\nWARNING: apt does not have a stable CLI interface. Use with caution in scripts.\n\n[...]\n\n[2023-02-20 23:23:08] [INFO] [create_containers.sh] Configuring Elasticsearch and Kibana\n[2023-02-20 23:23:08] [INFO] [create_containers.sh] Waiting for Kibana to be up&running (sleep 10s)\n[2023-02-20 23:23:19] [INFO] [create_containers.sh] Waiting for Kibana to be up&running (sleep 10s)\n[2023-02-20 23:23:51] [INFO] [create_containers.sh] Configuring journal for 'postgres'\n[2023-02-20 23:23:52] [INFO] [dhis2-set-journal] Configuring postgres to log to journal\n[2023-02-20 23:23:52] [INFO] [create_containers.sh] Configuring filebeat for 'postgres'\n[2023-02-20 23:23:53] [INFO] [dhis2-set-elasticsearch] Retrieving filebeat 8.4.1 (arm64)\n[2023-02-20 23:23:53] [INFO] [dhis2-set-elasticsearch] Installing filebeat\nSelecting previously unselected package filebeat.\n(Reading database ... 38331 files and directories currently installed.)\nPreparing to unpack \/tmp\/filebeat.deb ...\nUnpacking filebeat (8.4.1) ...\nSetting up filebeat (8.4.1) ...\n[2023-02-20 23:23:58] [INFO] [dhis2-set-elasticsearch] Configuring filebeat\nSynchronizing state of filebeat.service with SysV service script with \/lib\/systemd\/systemd-sysv-install.\nExecuting: \/lib\/systemd\/systemd-sysv-install enable filebeat\nCreated symlink \/etc\/systemd\/system\/multi-user.target.wants\/filebeat.service \u2192 \/lib\/systemd\/system\/filebeat.service.\n[2023-02-20 23:24:01] [INFO] [dhis2-set-elasticsearch] Filebeat configured. All good\n[2023-02-20 23:24:01] [INFO] [create_containers.sh] Configuring journal for 'proxy'\n[2023-02-20 23:24:02] [INFO] [dhis2-set-journal] Configuring nginx to log to journal error logs and HTTP access logs\n[2023-02-20 23:24:03] [INFO] [create_containers.sh] Configuring filebeat for 'proxy'\n[2023-02-20 23:24:04] [INFO] [dhis2-set-elasticsearch] Retrieving filebeat 8.4.1 (arm64)\n[2023-02-20 23:24:04] [INFO] [dhis2-set-elasticsearch] Installing filebeat\nSelecting previously unselected package filebeat.\n(Reading database ... 34741 files and directories currently installed.)\nPreparing to unpack \/tmp\/filebeat.deb ...\nUnpacking filebeat (8.4.1) ...\nSetting up filebeat (8.4.1) ...\n[2023-02-20 23:24:10] [INFO] [dhis2-set-elasticsearch] Configuring filebeat\nSynchronizing state of filebeat.service with SysV service script with \/lib\/systemd\/systemd-sysv-install.\nExecuting: \/lib\/systemd\/systemd-sysv-install enable filebeat\nCreated symlink \/etc\/systemd\/system\/multi-user.target.wants\/filebeat.service \u2192 \/lib\/systemd\/system\/filebeat.service.\n[2023-02-20 23:24:13] [INFO] [dhis2-set-elasticsearch] Filebeat configured. All good\n[2023-02-20 23:24:13] [INFO] [create_containers.sh] Configuring Kibana proxy access\n[2023-02-20 23:24:14] [INFO] [create_containers.sh] Done configuring SIEM\n[2023-02-20 23:24:14] [WARN] [create_containers.sh] Monitor container not existing or running. Skipping\ndab@battlechine:~\/dhis2-tools-ng-dab\/setup$<\/code><\/pre>\n<\/div>
\n
Si todo va como se espera, deber\u00eda poder acceder a la p\u00e1gina web de Kibana:<\/p>\n\n
\"Kibana\n\t\t\t\n\t\t\t\t\n\t\t\t<\/svg>\n\t\t<\/button>
Kibana UI login<\/figcaption><\/figure>\n<\/div>
\n
Puede obtener las credenciales a trav\u00e9s de get_creds<\/code> :<\/p>\n\n
dab@battlechine:~\/dhis2-tools-ng-dab\/setup$ source libs.sh\ndab@battlechine:~\/dhis2-tools-ng-dab\/setup$ get_creds elasticsearch\n{ \"service\": \"elasticsearch\", \"username\": \"elastic\", \"password\": \"c_2odlH7BoNAB=juUUkg\" }\ndab@battlechine:~\/dhis2-tools-ng-dab\/setup$<\/code><\/pre>\n<\/div>
\n
El es_siem_postscript<\/em> configura autom\u00e1ticamente las siguientes funciones:<\/p>\n\n