Aby pomóc Ci nauczyć się wysyłać zapytania do Kibany (interfejs użytkownika Elasticsearch), dajmy mu coś ciekawego do znalezienia. Otwórz hosta Win10 z poziomu interfejsu internetowego Guacamole, bezpośrednio na maszynie wirtualnej (w przypadku laboratoriów opartych na hoście) lub za pośrednictwem protokołu RDP (jeśli korzystasz z laboratorium w chmurze). Na hoście Win10 otwórz Eksploratora i przejdź do folderu c:\users\vagrant\tools, jak pokazano poniżej:
Kliknij dwukrotnie plik mimikatz.exe. Program ten umożliwia wyświetlanie haseł użytkowników systemu w postaci zwykłego tekstu. Wpisz następujące polecenia w konsoli Mimikatz:
Teraz, wracając na stronę internetową Kibana, powinieneś móc zobaczyć wydarzenie, wpisując mimikatz.exe w górnym panelu wyszukiwania strony Odkryj, z wybranymi ramami czasowymi Ostatnie 15 minut po prawej stronie:
Teraz możemy zrobić coś więcej; możemy użyć pól w dzienniku, aby znaleźć to w ten sposób. W górnym polu wyszukiwania wpisz nazwa procesu:”mimikatz.exe” i identyfikator zdarzenia:1 i naciśnij ENTER. Powinieneś zobaczyć takie same wyniki. Po lewej stronie ekranu wybierz strzałkę w dół obok etykiety dzienników* i wybierz nasz indeks, dzienniki* Gray Hat. Powinieneś nadal zobaczyć ten sam wynik. Teraz jest dużo więcej do nauczenia się o Kibanie i Elasticsearch, ale to są podstawy, które musisz znać na razie.