Elastic SIEM – Schutz der „saved objects“ vom Kibana

Defense, Linux

Das Problem

Der Artikel gehört zu meiner Serie „Bereitstellung eines Elastic SIEM„.

Im Kibana sehe ich immer wieder Warnungen, dass ein Encryption Key die teilweise sensiblen Daten vom Kibana in den saved objects sicherer machen würde:

Elastic SIEM - Schutz der "saved objects" vom Kibana

Spätestens für die Aktivierung von SIEM-Rules ist ein solcher Key sogar erforderlich:

Elastic SIEM - Schutz der "saved objects" vom Kibana
Elastic SIEM - Schutz der "saved objects" vom Kibana

Daher gehe ich dieses Thema nun an und richte einen Encryption Key für die Saved Objects vom Kibana ein.

Aktivierung der „encrypted saved objects“

Vom Hersteller habe ich diese Anleitungen gefunden:

Daraus habe ich mir folgende Bash-Commands zusammengestellt. Meine Konfigurationsdatei vom Kibana liegt im Verzeichnis /etc/kibana, in dem es das Key-Generierungsscript nicht erwartet. Daher kopiere ich die Datei kibana.yml nach /usr/share/kibana/config. Dann kann ich den Key generieren und in die eigentliche kibana.yml als Text einfügen:

sudo cd /usr/share/kibana
sudo mkdir config
sudo cp /etc/kibana/kibana.yml /usr/share/kibana/config/kibana.yml

sudo /usr/share/kibana/bin/kibana-encryption-keys generate -i
grep /usr/share/kibana/config/kibana.sample.yml -e xpack

sudo nano /etc/kibana/kibana.yml

sudo rm /usr/share/kibana/config/kibana.sample.yml
sudo rm /usr/share/kibana/config/kibana.yml

sudo systemctl restart kibana
sudo systemctl status kibana
sudo journalctl -u kibana -f

Hier erzeuge ich also den Key mit dem Script:

Elastic SIEM - Schutz der "saved objects" vom Kibana

Die Zeilen aus der „SampleFile“ kopiere ich nun in meine eigene kibana.yml ans Ende:

Elastic SIEM - Schutz der "saved objects" vom Kibana

Danach starte ich den Service kibana neu. Der Boot dauert etwas wegen der Migration der Saved Objects. Mit journalctl kann man das gut beobachten:

Elastic SIEM - Schutz der "saved objects" vom Kibana

Nachdem kibana alle saved objects mit dem Key verschlüsselt hat, kann ich mich wieder anmelden. Die Warnungen und Fehler sind nun verschwunden:

Elastic SIEM - Schutz der "saved objects" vom Kibana
Elastic SIEM - Schutz der "saved objects" vom Kibana

Zusammenfassung

Das war einfach – aber notwendig. Denn nun möchte ich mir die ersten SIEM-Rules aufbauen und damit mein ELK-Stack vom Log-Management zum SIEM erweitern.

Weitere Artikel findet ihr in meiner Serie „Bereitstellung eines Elastic SIEM„.

Stay tuned!

Kommentar hinterlassen