ناقشنا ملفات تكوين Splunk وهي،props.conf،transforms.conf،fields.conf،inputs.conf، Indexes.conf وذكرنا الغرض والهدف من كل واحد منهم. تُستخدم ملفات تكوين Splunk لتكوين قواعد تحليل السجل واستخراج الحقول وتعيين قواعد تخزين السجل والاحتفاظ به. استخدم ملفات التكوين هذه عندما لا يستخرج Splunk الحقول بشكل صحيح من ملف السجل المقدم أو عندما يكون لديك تنسيق فريد لسجلاتك. لأغراض العرض التوضيحي، قمنا بحلها تحدي TryHackMe Fixit يتيح لنا ذلك اختبار معرفتنا عمليًا في تكوين قواعد تحليل السجل باستخدام Splunk.
دورة Splunk SIEM الكاملة مع سيناريوهات عملية
يسلط الضوء
Splunk هو أحد حلول SIEM القوية التي توفر القدرة على البحث واستكشاف بيانات الجهاز. لغة معالجة البحث (SPL) يستخدم لجعل البحث أكثر فعالية. وهو يشتمل على وظائف وأوامر مختلفة تُستخدم معًا لتشكيل استعلامات بحث معقدة وفعالة للحصول على نتائج محسنة.
يدعم Splunk جميع إصدارات نظام التشغيل الرئيسية، ويحتوي على خطوات واضحة جدًا للتثبيت، ويمكن تشغيله في أقل من 10 دقائق على أي نظام أساسي.
يمكن استيعاب السجلات في Splunk بثلاث طرق:
- التحميل اليدوي
- وكيل وكيل شحن
- من خلال IP/منفذ TCP
يجب تكوين Splunk بشكل صحيح لتحليل السجلات وتحويلها بشكل مناسب. بعض الجوانب الهامة هي:
- كسر الحدث:
- قم بتكوين Splunk لكسر الأحداث بشكل صحيح.
- أحداث متعددة الأسطر:
- قم بتكوين Splunk لتكوين أحداث متعددة الأسطر بشكل صحيح.
- قناع:
- قد تحتوي بعض السجلات على بيانات حساسة مثل بيانات بطاقة الائتمان. للامتثال لمعيار PCI DSS (معيار أمان بيانات صناعة بطاقات الدفع)، يجب إخفاء المعلومات مثل أرقام بطاقات الائتمان لتجنب أي انتهاك.
- استخراج الحقول المخصصة:
لتحليل تنسيقات السجل الفريدة بشكل صحيح باستخدام Splunk، نتبع الخطوات التالية:
فهم تنسيق البيانات
يدعم Splunk العديد من أنواع البيانات، بما في ذلك CSV وJSON وXML وsyslog وغيرها. اختر الحقول المناسبة التي ترغب في استخراجها وتنسيق مصدر البيانات الخاص بك.
تحديد نوع المصدر
يتم تمثيل تنسيق البيانات التي تتم فهرستها بواسطة نوع المصدر في Splunk. إنه يسهل استخدام Splunk لقواعد التحليل المناسبة. يمكنك إنشاء نوع مصدر جديد في Splunk إذا لم يكن مصدر البيانات الخاص بك يحتوي على مصدر بالفعل.
قم بتكوين الملفات المطلوبة
وهي Props.conf، inputs.conf وtransforms.conf
أخيرًا أعد تشغيل Splunk
إجابات الغرفة | تحليل الأحداث وتحليل السجلات باستخدام Splunk | حاولHackMe Fixit
ما هو المسار الكامل لدليل تطبيق FIXIT؟
/opt/splunk/etc/apps/fixit
ما المقطع الذي سنستخدمه لتحديد حدود الحدث في حالة الحدث متعددة الأسطر هذه؟
BREAK_ONLY_BEFORE
في ملف inputs.conf، ما هو المسار الكامل للبرنامج النصي لسجلات الشبكة؟
/opt/splunk/etc/apps/fixit/bin/network-logs
ما هو نمط التعبير العادي الذي سيساعدنا في تحديد بداية الحدث؟
[سجل الشبكة]
ما هو المجال الذي تم التقاطه؟
Cybertees.THM
كم عدد الدول التي تم التقاطها في السجلات؟
12
كم عدد الأقسام التي تم التقاطها في السجلات؟
6
كم عدد أسماء المستخدمين التي تم تسجيلها في السجلات؟
28
كم عدد عناوين IP المصدر التي تم التقاطها في السجلات؟
52
ما هي ملفات التكوين التي تم استخدامها لإصلاح مشكلتنا؟ [الترتيب الأبجدي: ملف1، ملف2، ملف3]
Props.conf، Transforms.conf، field.conf
ما هما أهم دولتين حاول المستخدم روبرت الوصول إلى المجال منهما؟ [الإجابة مفصولة بفواصل وبترتيب أبجدي] [التنسيق: البلد 1، البلد 2]
كندا والولايات المتحدة
من هو المستخدم الذي قام بالوصول إلى ملف Secret-document.pdf الموجود على الموقع؟
سارة هول
شرح بالفيديو | حاولHackMe Fixit