基本情報

Kibanaは、通常ポート5601で実行されるElasticsearch内のデータを検索し、視覚化する能力で知られています。これは、Elastic Stackクラスターの監視、管理、およびセキュリティ機能のインターフェースとして機能します。

認証の理解

Kibanaにおける認証プロセスは、Elasticsearchで使用される資格情報に本質的に関連しています。Elasticsearchで認証が無効になっている場合、Kibanaには資格情報なしでアクセスできます。逆に、Elasticsearchが資格情報で保護されている場合、Kibanaにアクセスするには同じ資格情報が必要であり、両方のプラットフォームで同一のユーザー権限が維持されます。資格情報は、/etc/kibana/kibana.ymlファイルに見つかる場合があります。これらの資格情報がkibana_systemユーザーに関連していない場合、kibana_systemユーザーのアクセスは監視APIと.kibanaインデックスに制限されているため、より広範なアクセス権を提供する可能性があります。

アクセス後のアクション

Kibanaへのアクセスが確保されたら、いくつかのアクションが推奨されます：

• Elasticsearchからのデータの探索を優先するべきです。
• ユーザーの管理、編集、削除、新しいユーザー、役割、またはAPIキーの作成は、Stack Management -> Users/Roles/API Keysの下にあります。
• 既知の脆弱性、例えば6.6.0以前のバージョンで特定されたRCE脆弱性について、インストールされているKibanaのバージョンを確認することが重要です（詳細情報）。

SSL/TLSの考慮事項

SSL/TLSが有効でない場合、機密情報が漏洩する可能性を十分に評価する必要があります。

参考文献

• https://insinuator.net/2021/01/pentesting-the-elk-stack/