لقد شرحنا عملية تثبيت وتكوين Splunk من خلال إظهار الخطوات التي تتضمن اختيار دور Splunk سواء كان خادمًا رئيسيًا أو معيدًا، وتكوين معيد التوجيه لجمع السجلات وإنشاء الفهارس التي تخزن السجلات المجمعة. لقد أظهرنا سيناريو عمليًا يتضمن تحميل سجلات خادم الويب يدويًا إلى المثيل الرئيسي لـ Splunk. كان هذا جزءًا من TryHackMe Splunk: إعداد مختبر SOC وهو جزء من مسار TryHackMe SOC المستوى 2.
يتضمن هذا المنشور أيضًا إجابات لـ TryHackMe Splunk: لوحات المعلومات والتقارير و TryHackMe Splunk: معالجة البيانات غرف.
دورة Splunk SIEM الكاملة مع سيناريوهات عملية
يسلط الضوء
Splunk هو أحد حلول SIEM القوية التي توفر القدرة على البحث واستكشاف بيانات الجهاز. لغة معالجة البحث (SPL) يستخدم لجعل البحث أكثر فعالية. وهو يشتمل على وظائف وأوامر مختلفة تُستخدم معًا لتشكيل استعلامات بحث معقدة وفعالة للحصول على نتائج محسنة.
يدعم Splunk جميع إصدارات نظام التشغيل الرئيسية، ويحتوي على خطوات واضحة جدًا للتثبيت، ويمكن تشغيله في أقل من 10 دقائق على أي نظام أساسي.
يمكن استيعاب السجلات في Splunk بثلاث طرق:
- التحميل اليدوي
- وكيل وكيل شحن
- من خلال IP/منفذ TCP
إجابات الغرفة | TryHackMe Splunk: إعداد مختبر SOC
ما هو المنفذ الافتراضي لـ Splunk؟
8000
في Splunk، ما هو الأمر للبحث عن المصطلح coffely في السجلات؟
./bin/splunk ابحث عن القهوة
ما هو المنفذ الافتراضي الذي يعمل عليه Splunk Forwarder؟
8089
اتبع نفس الخطوات واستوعب /var/log/auth.log
الملف في فهرس Splunk Linux_logs. ما هي القيمة في حقل نوع المصدر؟
سجل النظام
قم بإنشاء مستخدم جديد يسمى المحلل باستخدام الأمر محلل adduser
. بمجرد الإنشاء، انظر إلى الأحداث التي تم إنشاؤها في Splunk والمتعلقة بنشاط إنشاء المستخدم. كم عدد الأحداث التي يتم إرجاعها نتيجة لإنشاء المستخدم؟
6
ما هو مسار المجموعة التي يتم إضافة المستخدم إليها بعد إنشائها؟
ما هو المنفذ الافتراضي الذي يعمل عليه Splunk؟
8000
انقر فوق علامة التبويب إضافة بيانات؛ كم عدد الطرق المتاحة لاستيعاب البيانات؟
3
انقر على خيار المراقبة؛ ما هو الخيار الأول الموضح في قائمة المراقبة؟
سجلات الأحداث المحلية
ما هو المسار الكامل في ملفات C:\Program حيث تم تثبيت معيد التوجيه Splunk؟
C:\ملفات البرنامج\SplunkUniversalForwarder
ما هو المنفذ الافتراضي الذي يقوم Splunk بتكوين معيد التوجيه عليه؟
9997
أثناء تحديد سجلات الأحداث المحلية المراد مراقبتها، ما عدد سجلات الأحداث المتوفرة للاختيار من القائمة المراد مراقبتها؟
5
ابحث عن الأحداث باستخدام EventCode=4624. ما هي قيمة حقل الرسالة؟
تم تسجيل الدخول إلى الحساب بنجاح.
في المختبر، قم بزيارة http://coffely.thm/secret-flag.html؛ سيعرض سجلات محفوظات الطلبات المقدمة حتى الآن. ابحث عن العلم في أحد السجلات.
{Coffely_Is_Best_iN_TOwn}
إجابات الغرفة | Splunk: لوحات المعلومات والتقارير
ما هو مصطلح البحث الذي سيظهر لنا النتائج من جميع المؤشرات في Splunk؟
الفهرس=*
قم بإنشاء تقرير من مضيف سجلات خادم الشبكة الذي يسرد المنافذ المستخدمة في اتصالات الشبكة وعددها. ما هو أكبر عدد من المرات التي يتم فيها استخدام أي منفذ في اتصالات الشبكة؟
5
أثناء إنشاء التقارير، ما الخيار الذي نحتاج إلى تمكينه حتى نتمكن من اختيار النطاق الزمني للتقرير؟
منتقي النطاق الزمني
قم بإنشاء لوحة معلومات من سجلات خادم الويب التي تعرض رموز الحالة في مخطط خطي. ما هو رمز الحالة الذي تمت ملاحظته لأقل عدد من المرات؟
400
ما هو اسم منشئ لوحة القيادة التقليدية Splunk؟
كلاسيكي
ما الميزة التي يمكننا استخدامها لجعل Splunk يتخذ بعض الإجراءات نيابةً عنا؟
إجراءات الزناد
ما هو نوع التنبيه الذي سيطلق لحظة وقوع الحدث؟
في الوقت الحالى
أي خيار، عند تمكينه، سوف يرسل تنبيهًا واحدًا فقط في الوقت المحدد حتى لو تكررت ظروف التشغيل؟
خنق
إجابات الغرفة | سبلانك: التلاعب بالبيانات
كم عدد نصوص بايثون الموجودة في ملف ~/التنزيلات/البرامج النصية
الدليل؟
3
ما المقطع المستخدم في ملفات التكوين لكسر الأحداث بعد النمط المقدم؟
BREAK_ONLY_AFTER
ما المقطع الذي يستخدم لتحديد نمط فاصل الأسطر ضمن الأحداث؟
LINE_BREAKER
ما هو ملف التكوين المستخدم لتحديد التحويلات والإثراءات في الحقول المفهرسة؟
تحويلات.conf
ما هو ملف التكوين المستخدم لتحديد المدخلات وطرق جمع البيانات من مصادر مختلفة؟
inputs.conf
إذا قمت بإنشاء تطبيق على Splunk باسم THM، فما هو المسار الكامل له على هذا الجهاز؟
/opt/splunk/etc/apps/THM
ما هو ملف التكوين المستخدم لتحديد قواعد التحليل؟
الدعائم.conf
ما هو التعبير العادي المستخدم في الحالة المذكورة أعلاه لكسر الأحداث؟
(قطع الاتصال|الاتصال)
ما المقطع الذي يتم استخدامه في التكوين لإجبار Splunk على كسر الحدث بعد النمط المحدد؟
يجب_كسر_بعد
إذا أردنا تعطيل دمج الأسطر، فماذا ستكون قيمة المقطع؟ يجب_LINEMERGE?
خطأ شنيع
ما المقطع الذي يستخدم لكسر حدود الحدث قبل تحديد النمط في الحالة المذكورة أعلاه؟
BREAK_ONLY_BEFORE
ما هو نمط regex المستخدم لتحديد حدود الحدث في الحالة المذكورة أعلاه؟
[المصادقة]
ما المقطع الذي يتم استخدامه لكسر الحدث بعد نمط التعبير العادي المحدد؟
يجب_كسر_بعد
ما هو نمط استخدام SEDCMD في ملفprops.conf لإخفاء الحقول الحساسة أو استبدالها؟
s/oldValue/newValue/g
قم باستخراج حقل اسم المستخدم من نوع sourcetype buy_logs الذي عملنا عليه سابقًا. كم عدد المستخدمين الذين تم إرجاعهم في حقل اسم المستخدم بعد الاستخراج؟
14
قم باستخراج قيم بطاقة الائتمان من نوع المصدر buy_logs، ما هو عدد أرقام بطاقات الائتمان الفريدة التي يتم إرجاعها مقابل حقل بطاقة الائتمان؟
16
شرح بالفيديو | TryHackMe Splunk: إعداد مختبر SOC