Wir haben eine Einführung in die Splunk Search Processing Language (SPL) gegeben und die grundlegenden Befehle und verschiedenen Funktionstypen besprochen, die bei Vergleichen, booleschen und logischen Operationen verwendet werden. Splunk Search Processing Language wird verwendet, um Befehle und Funktionen auszuführen, um nützliche Erkenntnisse aus den in das SIEM aufgenommenen Protokollen zu gewinnen. Diese Erkenntnisse helfen Cybersicherheitsanalysten und Incident Respondern, sich ein Bild davon zu machen, was passiert ist und welche Art von Cybervorfall es gab. Dies war Teil von TryHackMe Splunk: SPL erkunden Zimmer.
Vollständiger Splunk SIEM-Kurs mit praktischen Szenarien
Höhepunkte
Splunk ist eine leistungsstarke SIEM-Lösung, die das Suchen und Erkunden von Maschinendaten ermöglicht. Suchverarbeitungssprache (SPL) wird verwendet, um die Suche effektiver zu gestalten. Es umfasst verschiedene Funktionen und Befehle, die zusammen verwendet werden, um komplexe, aber effektive Suchanfragen zu bilden und optimale Ergebnisse zu erzielen.
Splunk Search Processing Language ist die Sprache, die zum Ausführen von Suchvorgängen in Splunk verwendet wird. SPL oder Splunk Processing Language besteht aus Schlüsselwörtern, Anführungszeichen, Booleschen Ausdrücken, Platzhaltern, Parameter-/Wertpaaren und Vergleichsausdrücken.
Sofern Sie nicht zwei explizite Boolesche Ausdrücke verknüpfen, lassen Sie das UND Operator, da Splunk davon ausgeht, dass das Leerzeichen zwischen zwei beliebigen Suchbegriffen ein „UND“ ist.
Raumantworten
Wie lautet der Name des Hosts auf der Registerkarte „Datenzusammenfassung“?
Cyber-Host
Was ist im Suchverlauf die 7. Suchanfrage in der Liste? (ausgenommen Ihre heutigen Suchanfragen)
Index = Windows-Protokolle | Diagrammanzahl (Ereigniscode) nach Bild
Welche Quell-IP hat im linken Feld die meisten Ereignisse aufgezeichnet?
172.90.12.11
Welches Protokollformat wird basierend auf der Liste der Protokollformate in dieser Aufgabe vom Protokoll verwendet? Wie viele Ereignisse werden zurückgegeben, wenn wir den Zeitfilter anwenden, um Ereignisse vom 15.04.2022 und der Zeit von 08:05 bis 08:06 Uhr anzuzeigen?
134
Wie viele Ereignisse werden bei der Suche nach Ereignis-ID 1 zurückgegeben? UND Benutzer als *James*?
4
Wie viele Ereignisse werden mit der Ziel-IP 172.18.39.6 UND dem Ziel-Port 135 beobachtet?
4
Welche Quell-IP hat bei dieser Suchanfrage die höchste zurückgegebene Anzahl?
Suchanfrage: index=windowslogs Hostname=”Salena.Adam” DestinationIp=”172.18.38.5″
172.90.12.11
Suchen Sie im Index Windowslogs nach allen Ereignissen, die den Begriff enthalten Cybersicherheit wie viele Ereignisse wurden zurückgegeben?
0
Suchen Sie nun nach dem Begriff Cyberspace*, wie viele Ereignisse werden zurückgegeben?
12256
Was ist die dritte EventID, die für diese Suchanfrage zurückgegeben wird?
Suchanfrage: index=windowslogs | Tabelle _Zeit Ereignis-ID Hostname Quellenname | umgekehrt
4103
Verwenden Sie den Dedup-Befehl für das Feld „Hostname“ vor dem Reverse-Befehl in der in Frage 1 genannten Abfrage. Welcher ist der erste Benutzername, der im Feld „Hostname“ zurückgegeben wird?
Salena.Adam
Verwenden des Reverse-Befehls mit der Suchanfrage index=windowslogs | table _time EventID Hostname SourceName – welcher HostName steht ganz oben?
James.browne
Was ist die letzte EventID, die zurückgegeben wird, wenn die Abfrage in Frage 1 mit dem Schwanz Befehl?
4103
Sortieren Sie die obige Abfrage nach dem SourceName. Welcher SourceName wird als oberster zurückgegeben?
Microsoft-Windows-Verzeichnisdienste-SAM
Listen Sie die 8 wichtigsten Image-Prozesse mit dem Top-Befehl auf – wie hoch ist die Gesamtzahl des 6. Images?
196
Identifizieren Sie mithilfe des seltenen Befehls den Benutzer mit der geringsten Anzahl erfasster Aktivitäten?
James
Erstellen Sie mit dem Diagrammbefehl ein Kreisdiagramm – wie hoch ist die Anzahl der Prozesse von conhost.exe?
70
Video-Komplettlösung
