Wir haben die Splunk-Konfigurationsdateien props.conf, transforms.conf, fields.conf, inputs.conf und indexes.conf besprochen und den Zweck und das Ziel jeder einzelnen Datei erwähnt. Splunk-Konfigurationsdateien werden verwendet, um Protokollanalyseregeln, Feldextraktion und Protokollspeicherungs- und -aufbewahrungsregeln zu konfigurieren. Verwenden Sie diese Konfigurationsdateien, wenn Splunk die Felder nicht richtig aus der bereitgestellten Protokolldatei extrahiert oder wenn Sie ein einzigartiges Format für Ihre Protokolle haben. Zu Demonstrationszwecken haben wir Folgendes gelöst: TryHackMe Fixit-Herausforderung Dadurch können wir unser Wissen zum Konfigurieren von Protokollanalyseregeln mit Splunk praktisch testen.
Vollständiger Splunk SIEM-Kurs mit praktischen Szenarien
Höhepunkte
Splunk ist eine leistungsstarke SIEM-Lösung, die das Suchen und Erkunden von Maschinendaten ermöglicht. Suchverarbeitungssprache (SPL) wird verwendet, um die Suche effektiver zu gestalten. Es umfasst verschiedene Funktionen und Befehle, die zusammen verwendet werden, um komplexe, aber effektive Suchanfragen zu bilden und optimale Ergebnisse zu erzielen.
Splunk unterstützt alle wichtigen Betriebssystemversionen, ist in sehr einfachen Schritten zu installieren und kann auf jeder Plattform in weniger als 10 Minuten einsatzbereit sein.
Protokolle können auf drei Arten in Splunk eingespeist werden:
- Manueller Upload
- Spediteur Agent
- Über eine TCP-IP/einen TCP-Port
Splunk muss richtig konfiguriert sein, um die Protokolle richtig zu analysieren und zu transformieren. Einige der wichtigen Aspekte sind:
- Ereignismeldung:
- Konfigurieren Sie Splunk so, dass die Ereignisse ordnungsgemäß unterbrochen werden.
- Mehrzeilige Ereignisse:
- Konfigurieren Sie Splunk, um mehrzeilige Ereignisse richtig zu konfigurieren.
- Maskierung:
- Einige Protokolle können vertrauliche Daten wie Kreditkartendaten enthalten. Um den PCI DSS-Standard (Payment Card Industry Data Security Standard) einzuhalten, müssen Informationen wie Kreditkartennummern maskiert werden, um Verstöße zu vermeiden.
- Extrahieren benutzerdefinierter Felder:
Um einzigartige Protokollformate mit Splunk richtig zu analysieren, befolgen wir die folgenden Schritte:
Verstehen Sie das Datenformat
Splunk unterstützt zahlreiche Datentypen, darunter CSV, JSON, XML, Syslog und andere. Wählen Sie die entsprechenden Felder aus, die Sie extrahieren möchten, und das Format Ihrer Datenquelle.
Identifizieren des Quelltyps
Das Format der zu indizierenden Daten wird in Splunk durch den Quelltyp dargestellt. Dies erleichtert Splunk die Verwendung der richtigen Analyseregeln. Sie können in Splunk einen neuen Quelltyp erstellen, wenn Ihre Datenquelle noch keinen hat.
Konfigurieren der erforderlichen Dateien
Nämlich props.conf, inputs.conf und transforms.conf
Starten Sie Splunk abschließend neu.
Raumantworten | Ereignisanalyse und Protokollanalyse mit Splunk | TryHackMe Fixit
Wie lautet der vollständige Pfad des FIXIT-App-Verzeichnisses?
/opt/splunk/etc/apps/fixit
Welche Strophe verwenden wir, um die Ereignisgrenze in diesem mehrzeiligen Ereignisfall zu definieren?
BREAK_ONLY_BEVORE (NUR VORHER)
Wie lautet der vollständige Pfad des Netzwerkprotokollskripts in der Datei inputs.conf?
/opt/splunk/etc/apps/fixit/bin/network-logs
Welches Regex-Muster hilft uns dabei, den Beginn des Ereignisses zu definieren?
[Netzwerkprotokoll]
Was ist die erfasste Domäne?
Cybertees.THM
Wie viele Länder sind in den Protokollen erfasst?
12
Wie viele Abteilungen werden in den Protokollen erfasst?
6
Wie viele Benutzernamen werden in den Protokollen erfasst?
28
Wie viele Quell-IPs werden in den Protokollen erfasst?
52
Welche Konfigurationsdateien wurden zur Behebung unseres Problems verwendet? [Alphabetische Reihenfolge: Datei1, Datei2, Datei3]
props.conf, transforms.conf, fields.conf
Aus welchen beiden Ländern hat der Benutzer Robert am häufigsten versucht, auf die Domäne zuzugreifen? [Antwort durch Kommas getrennt und in alphabetischer Reihenfolge] [Format: Land1, Land2]
Kanada, Vereinigte Staaten
Welcher Benutzer hat auf der Website auf das geheime Dokument.pdf zugegriffen?
Sarah Hall
Video-Komplettlösung | TryHackMe Fixit