Création — Nicolas THOREZ 2020/02/14 14:33
auditbeat récupère ses données grâce à auditd qui, selon ses règles, peut être très verbeux. Les informations que l'on recherche peuvent donc être noyées dans un flot de données qui ne nous intéresse pas sur le moment. Il est donc nécessaire de filtrer les données afin de n'avoir à traiter que les données utiles selon le cas pratique du moment.
Ces requêtes sont à entrer dans la barre de recherche de Kibana du menu SIEM.
Pour l'utilisateur Nekan :
auditd.summary.actor.primary : "nekan"
process.executable : "/bin/su" and auditd.result : "fail"
process.executable : "/usr/sbin/sshd" and auditd.result : "fail"
Pour les évènements du 13 février 2020 de 16h40 à 16h50, heure de paris (CET).
@timestamp <= "2020-02-13T16:50CET" and @timestamp >= "2020-02-13T16:40CET"