포렌식/윈도우 - ELK Kibana를 이용한 포렌식 대시보드 만들기

지난 포스팅에서 Plaso를 이용하여 ELK에 데이터를 저장하고 확인하는 방법을 안내했다. 다만, 단순히 ELK에서 로그 조회 기능으로 사용하기에는 뭔가 아쉬웠다. 왜냐하면 Plaso는 ELK가 아닌 csv로도 타임라인을 만들어주는데, 단순히 ELK의 Discover 메뉴를 통한 조회 기능만 사용했을 때는 csv에 비해 큰 이점을 느끼지 못했기 때문이다. 

그래서 ELK에 대해서 더 알아보고 Visualization을 통한 포렌식 대시보드를 만들어봤다. ELK는 공부하는 만큼 활용도가 뛰어날 것 같아서 앞으로도 종종 포스팅할 예정이다.

#1. ELK Visualization

1-1. ELK Visualization

ELK는 여러 로그 파일을 인덱싱 해주고, 데이터의 여러 필드들을 알아서 인식해준다. 이러한 필드들을 통해서 데이터들에 대한 통계 데이터를 생성할 수 있는데, 이 통계 데이터를 시각화 해주는 기능을 Visualization 이라고 한다. Visualization에서 만든 객체들을 대시보드에 붙일 수 있다.

아래는 ELK의 초기 대시보드인데, 아무런 데이터도 없다.

그래서 이것저것 만져보다가 아래와 같은 대시보드를 만들었다.

본 포스팅에서는 위 대시보드에 대한 설정 값을 남겨둘 예정이다. (언젠가 또 하게되었을때 삽질하기 싫어서!!)

 

 

1-2. ELK Visualization 설정 및 대시보드 설정

우선 아래 위치에서 대시보드와 visualize 메뉴에 진입할 수 있다.

Visualize에 들어가면 아래와 같이 이미 만들어진 객체들이 보이고 새로운 객체를 생성할 수 있는 메뉴가 존재한다.

Create visualization을 선택하면 아래와 같은 형태의 객체들을 만들 수 있다.

 

그리고 필자가 최종적으로 대시보드에 사용한 객체는 아래 5개이다. 각 객체들에 대한 설정 값을 첨부하면서 본 포스팅을 마친다. 아래와 같이 만든 객체들을 대시보드 메뉴에서 추가하면 된다. 

1) Data_type (Pie Type)

 

2) Number of Events (Metric Type)

 

3) Number of Events By Datetime (Vertical Bar Type)

4) Top 10 URL.keyword (Data Table Type)

5) Top Event Level (Data Table Type)

 

 

1-3. 결과물

 

 

 

 

끝.