Wir haben die Splunk-Konfigurationsdateien props.conf, transforms.conf, fields.conf, inputs.conf und indexes.conf besprochen und den Zweck und das Ziel jeder einzelnen Datei erwähnt. Splunk-Konfigurationsdateien werden verwendet, um Protokollanalyseregeln, Feldextraktion und Protokollspeicherungs- und -aufbewahrungsregeln zu konfigurieren. Verwenden Sie diese Konfigurationsdateien, wenn Splunk die Felder nicht richtig aus der bereitgestellten Protokolldatei extrahiert oder wenn Sie ein einzigartiges Format für Ihre Protokolle haben. Zu Demonstrationszwecken haben wir Folgendes gelöst: TryHackMe Fixit-Herausforderung Dadurch können wir unser Wissen zum Konfigurieren von Protokollanalyseregeln mit Splunk praktisch testen.

Splunk SIEM-Feldnotizen

Vollständiger Splunk SIEM-Kurs mit praktischen Szenarien

Höhepunkte

Splunk ist eine leistungsstarke SIEM-Lösung, die das Suchen und Erkunden von Maschinendaten ermöglicht. Suchverarbeitungssprache (SPL) wird verwendet, um die Suche effektiver zu gestalten. Es umfasst verschiedene Funktionen und Befehle, die zusammen verwendet werden, um komplexe, aber effektive Suchanfragen zu bilden und optimale Ergebnisse zu erzielen.

Splunk unterstützt alle wichtigen Betriebssystemversionen, ist in sehr einfachen Schritten zu installieren und kann auf jeder Plattform in weniger als 10 Minuten einsatzbereit sein.

Protokolle können auf drei Arten in Splunk eingespeist werden:

  • Manueller Upload
  • Spediteur Agent
  • Über eine TCP-IP/einen TCP-Port

Splunk muss richtig konfiguriert sein, um die Protokolle richtig zu analysieren und zu transformieren. Einige der wichtigen Aspekte sind:

  • Ereignismeldung:
    • Konfigurieren Sie Splunk so, dass die Ereignisse ordnungsgemäß unterbrochen werden.
  • Mehrzeilige Ereignisse:
    • Konfigurieren Sie Splunk, um mehrzeilige Ereignisse richtig zu konfigurieren.
  • Maskierung:
    • Einige Protokolle können vertrauliche Daten wie Kreditkartendaten enthalten. Um den PCI DSS-Standard (Payment Card Industry Data Security Standard) einzuhalten, müssen Informationen wie Kreditkartennummern maskiert werden, um Verstöße zu vermeiden.
  • Extrahieren benutzerdefinierter Felder:

Um einzigartige Protokollformate mit Splunk richtig zu analysieren, befolgen wir die folgenden Schritte:

Verstehen Sie das Datenformat

Splunk unterstützt zahlreiche Datentypen, darunter CSV, JSON, XML, Syslog und andere. Wählen Sie die entsprechenden Felder aus, die Sie extrahieren möchten, und das Format Ihrer Datenquelle.

Identifizieren des Quelltyps

Das Format der zu indizierenden Daten wird in Splunk durch den Quelltyp dargestellt. Dies erleichtert Splunk die Verwendung der richtigen Analyseregeln. Sie können in Splunk einen neuen Quelltyp erstellen, wenn Ihre Datenquelle noch keinen hat.

Konfigurieren der erforderlichen Dateien

Nämlich props.conf, inputs.conf und transforms.conf

Starten Sie Splunk abschließend neu.

Raumantworten | Ereignisanalyse und Protokollanalyse mit Splunk | TryHackMe Fixit

Wie lautet der vollständige Pfad des FIXIT-App-Verzeichnisses?

/opt/splunk/etc/apps/fixit

Welche Strophe verwenden wir, um die Ereignisgrenze in diesem mehrzeiligen Ereignisfall zu definieren?

BREAK_ONLY_BEVORE (NUR VORHER)

Wie lautet der vollständige Pfad des Netzwerkprotokollskripts in der Datei inputs.conf?

/opt/splunk/etc/apps/fixit/bin/network-logs

Welches Regex-Muster hilft uns dabei, den Beginn des Ereignisses zu definieren?

[Netzwerkprotokoll]

Was ist die erfasste Domäne?

Cybertees.THM

Wie viele Länder sind in den Protokollen erfasst?

12

Wie viele Abteilungen werden in den Protokollen erfasst?

6

Wie viele Benutzernamen werden in den Protokollen erfasst?

28

Wie viele Quell-IPs werden in den Protokollen erfasst?

52

Welche Konfigurationsdateien wurden zur Behebung unseres Problems verwendet? [Alphabetische Reihenfolge: Datei1, Datei2, Datei3]

props.conf, transforms.conf, fields.conf

Aus welchen beiden Ländern hat der Benutzer Robert am häufigsten versucht, auf die Domäne zuzugreifen? [Antwort durch Kommas getrennt und in alphabetischer Reihenfolge] [Format: Land1, Land2]

Kanada, Vereinigte Staaten

Welcher Benutzer hat auf der Website auf das geheime Dokument.pdf zugegriffen?

Sarah Hall

Video-Komplettlösung | TryHackMe Fixit

, , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen