Wir haben die Verwendung erweiterter Abfragen in Kibana und Elastic Search behandelt, z. B. die Verwendung verschachtelter Abfragen, Abfragen zum Extrahieren von Zahlen- und Datumsbereichen, Näherungsabfragen, Fuzzy-Suchen und Abfragen mit regulären Ausdrücken, um Erkenntnisse aus Cybersicherheitsvorfällen zu gewinnen. In diesem Szenario war die Ransomware-Infektion auf Web- und E-Mail-Servern relevant. Dies war Teil von TryHackMe Erweiterter ELK-Abfrageraum das Teil des SOC Level 2-Tracks ist.

Blue Team-Studiennotizen

Studiennotizen zur Cybersicherheit

Höhepunkte

Was ist Elastic Stack?

Elastic Stack ist eine Sammlung verschiedener, miteinander verknüpfter Open-Source-Komponenten, die es Benutzern ermöglichen, Daten aus beliebigen Quellen und in beliebigen Formaten zu erfassen und in Echtzeit zu suchen, zu analysieren und zu visualisieren.

Elastische Suche


Elasticsearch ist eine Volltextsuch- und Analyse-Engine zum Speichern von Dokumenten im JSON-Format. Elasticsearch ist eine wichtige Komponente zum Speichern, Analysieren, Korrelieren von Daten usw.
Es basiert auf Apache Lucene und bietet eine skalierbare Lösung für Volltextsuche, strukturierte Abfragen und Datenanalyse.
Elasticsearch unterstützt RESTFul API zur Interaktion mit den Daten.

Protokoll-Vorrat

Logstash ist eine Datenverarbeitungs-Engine, mit der Daten aus verschiedenen Quellen abgerufen, gefiltert oder normalisiert und dann an das Ziel gesendet werden. Dies kann Kibana oder ein Abhörport sein.

Kibana

Kibana ist eine webbasierte Datenvisualisierung, die mit Elasticsearch arbeitet, um den Datenstrom in Echtzeit zu analysieren, zu untersuchen und zu visualisieren. Es ermöglicht den Benutzern, mehrere Visualisierungen und Dashboards für eine bessere Sichtbarkeit zu erstellen.

Kibana-Abfragesprache (KQL)

Es handelt sich um eine Suchabfragesprache, die zum Durchsuchen der aufgenommenen Protokolle/Dokumente in der Elasticsearch verwendet wird. Neben der Sprache KQL unterstützt Kibana auch die Abfragesprache Lucene.

KQL ähnelt der Suchmaschinenverarbeitungssprache Splunk hinsichtlich seiner Funktionsweise und Ziele.

Freitextsuche
Mit der Freitextsuche können Benutzer nach Protokollen suchen, basierend auf nur TextDas bedeutet eine einfache Suche nach dem Begriff Sicherheit gibt alle Dokumente zurück, die diesen Begriff enthalten, unabhängig vom Feld.
WILD CARD
KQL erlaubt den Platzhalter * um Teile des Begriffs/Worts abzugleichen. Lassen Sie uns herausfinden, wie Sie dieses Platzhalterzeichen in der Suchanfrage verwenden.

Mithilfe von Bereichsabfragen können wir beispielsweise nach Dokumenten mit Feldwerten innerhalb eines angegebenen Bereichs suchen. 

Die unscharfe Suche ist hilfreich, wenn Sie nach Dokumenten suchen, deren Daten Inkonsistenzen oder Tippfehler aufweisen. Sie berücksichtigt diese Abweichungen und ruft relevante Dokumente ab, indem sie eine bestimmte Anzahl von Zeichenunterschieden (der sogenannte Unschärfewert) zwischen dem Suchbegriff und dem tatsächlichen Feldwert zulässt.

Mithilfe von Näherungssuchen können Sie nach Dokumenten suchen, deren Feldwerte zwei oder mehr Begriffe innerhalb einer bestimmten Entfernung enthalten. In KQL können Sie die match_phrase-Abfrage mit dem slop-Parameter verwenden, um eine Näherungssuche durchzuführen. Der slop-Parameter legt die maximale Entfernung fest, die die Begriffe voneinander haben können. Ein slop-Wert von 2 bedeutet beispielsweise, dass die Wörter bis zu 2 Positionen voneinander entfernt sein können.

Raumantworten | TryHackMe Advanced ELK

Wie entkommt man dem Text „password:Me&Try=Hack!“ (ohne die Anführungszeichen) 

Passwort:Ich\&Versuchen=Hack!

Wie würde Ihre Abfrage unter Verwendung von Platzhaltern lauten, wenn Sie nach allen Dokumenten suchen möchten, die die Wörter „Hacking“ und „Hack“ im Feld „Aktivität“ enthalten? 

Aktivität:Hack*

Aufgabe 3 – F1 – Wie viele Vorfälle gibt es, bei denen die betroffene Datei „marketing_strategy_2023_07_23.pptx“ ist?

4

Wie viele Vorfälle gibt es, bei denen die betroffenen Dateien auf Dateiservern den Titel „Marketingstrategie“ tragen?

135

Es gibt eine echte positive Warnung auf einem Webserver, auf dem der Administrator und seine Benutzer angemeldet waren. Wie lautet der Name des Webservers?

Webserver-77

Wie viele „Datenleck“-Vorfälle haben einen Schweregrad von 9 und höher?

52

Wie viele Vorfälle hat AJohnston vor dem 1. Dezember 2022 untersucht, bei denen es sich bei dem betroffenen System entweder um einen E-Mail- oder einen Webserver handelte?

63

Wie lautet die E-Mail-Adresse des SOC-Analysten (Vorfall-IDs 1 bis 500), der zu einem Vorfall einen Kommentar hinterlassen hat, wonach es sich bei dem Datenleck auf Dateiserver 65 um einen Fehlalarm handelt?

jlim@cybert.com

Wie viele Vorfälle, einschließlich der Rechtschreibfehler, hat JLim bearbeitet, bei denen er das Wort „true“ falsch geschrieben hat?

110

Wie viele Vorfälle hat JLim bearbeitet, bei denen er das Wort „negativ“ falsch geschrieben hat?

4

Wie viele Vorfälle gibt es, bei denen Sie in Kommentaren nach den Wörtern „Datenleck“ und „echtes Negativ“ suchen möchten, zwischen denen mindestens drei Wörter liegen?

33

Wie viele Vorfälle hat AJohnston untersucht, bei denen in den Kommentaren zwischen den Wörtern „erkannt“ und „negativ“ nur zwei Wörter liegen?

40

Wie viele Vorfälle gibt es, bei denen eine „client_list“-Datei von Ransomware betroffen war?

70

LoWie lautet der Name des betroffenen Systems zum frühesten von EVenis untersuchten Vorfalldatum, dessen Dateiname das Wort „Projekt“ enthielt?

Dateiserver-78

Video-Komplettlösung | TryHackMe Advanced ELK

, , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen