لقد شرحنا عملية تثبيت وتكوين Splunk من خلال إظهار الخطوات التي تتضمن اختيار دور Splunk سواء كان خادمًا رئيسيًا أو معيدًا، وتكوين معيد التوجيه لجمع السجلات وإنشاء الفهارس التي تخزن السجلات المجمعة. لقد أظهرنا سيناريو عمليًا يتضمن تحميل سجلات خادم الويب يدويًا إلى المثيل الرئيسي لـ Splunk. كان هذا جزءًا من TryHackMe Splunk: إعداد مختبر SOC وهو جزء من مسار TryHackMe SOC المستوى 2.

يتضمن هذا المنشور أيضًا إجابات لـ TryHackMe Splunk: لوحات المعلومات والتقارير و TryHackMe Splunk: معالجة البيانات غرف.

ملاحظات أداة Splunk SIEM

دورة Splunk SIEM الكاملة مع سيناريوهات عملية

يسلط الضوء

Splunk هو أحد حلول SIEM القوية التي توفر القدرة على البحث واستكشاف بيانات الجهاز. لغة معالجة البحث (SPL) يستخدم لجعل البحث أكثر فعالية. وهو يشتمل على وظائف وأوامر مختلفة تُستخدم معًا لتشكيل استعلامات بحث معقدة وفعالة للحصول على نتائج محسنة.

يدعم Splunk جميع إصدارات نظام التشغيل الرئيسية، ويحتوي على خطوات واضحة جدًا للتثبيت، ويمكن تشغيله في أقل من 10 دقائق على أي نظام أساسي.

يمكن استيعاب السجلات في Splunk بثلاث طرق:

  • التحميل اليدوي
  • وكيل وكيل شحن
  • من خلال IP/منفذ TCP

إجابات الغرفة | TryHackMe Splunk: إعداد مختبر SOC

ما هو المنفذ الافتراضي لـ Splunk؟

8000

في Splunk، ما هو الأمر للبحث عن المصطلح coffely في السجلات؟

./bin/splunk ابحث عن القهوة

ما هو المنفذ الافتراضي الذي يعمل عليه Splunk Forwarder؟

8089

اتبع نفس الخطوات واستوعب /var/log/auth.log الملف في فهرس Splunk Linux_logs. ما هي القيمة في حقل نوع المصدر؟

سجل النظام

قم بإنشاء مستخدم جديد يسمى المحلل باستخدام الأمر محلل adduser. بمجرد الإنشاء، انظر إلى الأحداث التي تم إنشاؤها في Splunk والمتعلقة بنشاط إنشاء المستخدم. كم عدد الأحداث التي يتم إرجاعها نتيجة لإنشاء المستخدم؟

6

ما هو مسار المجموعة التي يتم إضافة المستخدم إليها بعد إنشائها؟

ما هو المنفذ الافتراضي الذي يعمل عليه Splunk؟

8000

انقر فوق علامة التبويب إضافة بيانات؛ كم عدد الطرق المتاحة لاستيعاب البيانات؟

3

انقر على خيار المراقبة؛ ما هو الخيار الأول الموضح في قائمة المراقبة؟

سجلات الأحداث المحلية

ما هو المسار الكامل في ملفات C:\Program حيث تم تثبيت معيد التوجيه Splunk؟

C:\ملفات البرنامج\SplunkUniversalForwarder

ما هو المنفذ الافتراضي الذي يقوم Splunk بتكوين معيد التوجيه عليه؟

9997

أثناء تحديد سجلات الأحداث المحلية المراد مراقبتها، ما عدد سجلات الأحداث المتوفرة للاختيار من القائمة المراد مراقبتها؟

5

ابحث عن الأحداث باستخدام EventCode=4624. ما هي قيمة حقل الرسالة؟

تم تسجيل الدخول إلى الحساب بنجاح.

في المختبر، قم بزيارة http://coffely.thm/secret-flag.html؛ سيعرض سجلات محفوظات الطلبات المقدمة حتى الآن. ابحث عن العلم في أحد السجلات. 

{Coffely_Is_Best_iN_TOwn}

إجابات الغرفة | Splunk: لوحات المعلومات والتقارير

ما هو مصطلح البحث الذي سيظهر لنا النتائج من جميع المؤشرات في Splunk؟

الفهرس=*

قم بإنشاء تقرير من مضيف سجلات خادم الشبكة الذي يسرد المنافذ المستخدمة في اتصالات الشبكة وعددها. ما هو أكبر عدد من المرات التي يتم فيها استخدام أي منفذ في اتصالات الشبكة؟

5

أثناء إنشاء التقارير، ما الخيار الذي نحتاج إلى تمكينه حتى نتمكن من اختيار النطاق الزمني للتقرير؟

منتقي النطاق الزمني

قم بإنشاء لوحة معلومات من سجلات خادم الويب التي تعرض رموز الحالة في مخطط خطي. ما هو رمز الحالة الذي تمت ملاحظته لأقل عدد من المرات؟

400

ما هو اسم منشئ لوحة القيادة التقليدية Splunk؟

كلاسيكي

ما الميزة التي يمكننا استخدامها لجعل Splunk يتخذ بعض الإجراءات نيابةً عنا؟

إجراءات الزناد

ما هو نوع التنبيه الذي سيطلق لحظة وقوع الحدث؟

في الوقت الحالى

أي خيار، عند تمكينه، سوف يرسل تنبيهًا واحدًا فقط في الوقت المحدد حتى لو تكررت ظروف التشغيل؟

خنق

إجابات الغرفة | سبلانك: التلاعب بالبيانات

كم عدد نصوص بايثون الموجودة في ملف ~/التنزيلات/البرامج النصية الدليل؟

3

ما المقطع المستخدم في ملفات التكوين لكسر الأحداث بعد النمط المقدم؟

BREAK_ONLY_AFTER

ما المقطع الذي يستخدم لتحديد نمط فاصل الأسطر ضمن الأحداث؟

LINE_BREAKER

ما هو ملف التكوين المستخدم لتحديد التحويلات والإثراءات في الحقول المفهرسة؟

تحويلات.conf

ما هو ملف التكوين المستخدم لتحديد المدخلات وطرق جمع البيانات من مصادر مختلفة؟

inputs.conf

إذا قمت بإنشاء تطبيق على Splunk باسم THM، فما هو المسار الكامل له على هذا الجهاز؟

/opt/splunk/etc/apps/THM

ما هو ملف التكوين المستخدم لتحديد قواعد التحليل؟

الدعائم.conf

ما هو التعبير العادي المستخدم في الحالة المذكورة أعلاه لكسر الأحداث؟

(قطع الاتصال|الاتصال)

ما المقطع الذي يتم استخدامه في التكوين لإجبار Splunk على كسر الحدث بعد النمط المحدد؟

يجب_كسر_بعد

إذا أردنا تعطيل دمج الأسطر، فماذا ستكون قيمة المقطع؟ يجب_LINEMERGE?

خطأ شنيع

ما المقطع الذي يستخدم لكسر حدود الحدث قبل تحديد النمط في الحالة المذكورة أعلاه؟

BREAK_ONLY_BEFORE

ما هو نمط regex المستخدم لتحديد حدود الحدث في الحالة المذكورة أعلاه؟

[المصادقة]

ما المقطع الذي يتم استخدامه لكسر الحدث بعد نمط التعبير العادي المحدد؟

يجب_كسر_بعد

ما هو نمط استخدام SEDCMD في ملفprops.conf لإخفاء الحقول الحساسة أو استبدالها؟

s/oldValue/newValue/g

قم باستخراج حقل اسم المستخدم من نوع sourcetype buy_logs الذي عملنا عليه سابقًا. كم عدد المستخدمين الذين تم إرجاعهم في حقل اسم المستخدم بعد الاستخراج؟

14

قم باستخراج قيم بطاقة الائتمان من نوع المصدر buy_logs، ما هو عدد أرقام بطاقات الائتمان الفريدة التي يتم إرجاعها مقابل حقل بطاقة الائتمان؟

16

شرح بالفيديو | TryHackMe Splunk: إعداد مختبر SOC

, , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات