Si ha seguido la serie de blogs desde el principio, lo más probable es que esté ejecutando Elastic SIEM versión 7.4 . Aunque se han lanzado la versión 7.5 y la versión 7.6 , terminaremos esta serie de blogs con la versión 7.4 para mantener la coherencia de la versión. Ahora que Elastic SIEM está generalmente disponible en 7.6 , le recomiendo actualizar su clúster (especialmente porque el problema de GeoIP está solucionado en 7.6 ). Si ya ha actualizado su clúster o está ejecutando una versión más nueva, algunas de las pantallas en Kibana pueden tener un aspecto diferente al que está disponible en 7.4. 

Tenga en cuenta que si bien configuramos la recopilación de datos de nuestros sistemas Windows , CentOS y macOS , no hemos completado la recopilación de datos de todos los dispositivos en nuestra red. Para una mejor visibilidad de su entorno, querrá recopilar datos de otros dispositivos, especialmente fuentes de datos de red (por ejemplo, un Firewall de Palo Alto , un dispositivo Cisco ASA o Ubiquiti ). Si bien podemos agregar algunos blogs de recopilación de dispositivos independientes, recomiendo echar un vistazo a algunas de las formas en que puede recopilar datos de su entorno, incluidos los complementos de entrada Logstash y los módulos Filebeat. Recuerde que deberá recopilar datos compatibles con ECS para que se muestren en la aplicación SIEM .

Revisando nuestros datos con todos los sistemas configurados

Como no realizaremos ningún cambio administrativo en el clúster durante nuestra revisión, iniciaremos sesión con la cuenta de usuario SIEM que creamos en el blog 2 . Después de iniciar sesión con la cuenta de usuario de SIEM (usaré mi robcuenta), haga clic en la aplicación SIEM. 

Más información e informe completo: Elastic