Wir haben den Installations- und Konfigurationsprozess von Splunk erklärt, indem wir die Schritte gezeigt haben, die die Auswahl der Rolle von Splunk (Hauptserver oder Forwarder) umfassen, die Konfiguration der Forwarder zum Sammeln von Protokollen und das Erstellen der Indizes, in denen die gesammelten Protokolle gespeichert werden. Wir haben ein praktisches Szenario demonstriert, bei dem Webserverprotokolle manuell in eine Hauptinstanz von Splunk hochgeladen werden. Dies war Teil von TryHackMe Splunk: Einrichten eines SOC-Labors das Teil des TryHackMe SOC Level 2-Tracks ist.
Dieser Beitrag enthält auch die Antworten für TryHackMe Splunk: Dashboards und Berichte Und TryHackMe Splunk: Datenmanipulation Räume.
Vollständiger Splunk SIEM-Kurs mit praktischen Szenarien
Höhepunkte
Splunk ist eine leistungsstarke SIEM-Lösung, die das Suchen und Erkunden von Maschinendaten ermöglicht. Suchverarbeitungssprache (SPL) wird verwendet, um die Suche effektiver zu gestalten. Es umfasst verschiedene Funktionen und Befehle, die zusammen verwendet werden, um komplexe, aber effektive Suchanfragen zu bilden und optimale Ergebnisse zu erzielen.
Splunk unterstützt alle wichtigen Betriebssystemversionen, ist in sehr einfachen Schritten zu installieren und kann auf jeder Plattform in weniger als 10 Minuten einsatzbereit sein.
Protokolle können auf drei Arten in Splunk eingespeist werden:
- Manueller Upload
- Spediteur Agent
- Über eine TCP-IP/einen TCP-Port
Raumantworten | TryHackMe Splunk: Einrichten eines SOC-Labors
Was ist der Standard-Port für Splunk?
8000
Wie lautet der Befehl in Splunk, um in den Protokollen nach dem Begriff „Coffely“ zu suchen?
./bin/splunk search coffely
Was ist der Standardport, auf dem Splunk Forwarder läuft?
8089
Befolgen Sie die gleichen Schritte und nehmen Sie /var/log/auth.log Datei in den Splunk-Index Linux_logs. Was ist der Wert im Feld „Sourcetype“?
Syslog
Erstellen Sie einen neuen Benutzer mit dem Namen Analyst mit dem Befehl Adduser-Analyst. Sehen Sie sich nach der Erstellung die in Splunk generierten Ereignisse im Zusammenhang mit der Benutzererstellungsaktivität an. Wie viele Ereignisse werden als Ergebnis der Benutzererstellung zurückgegeben?
6
Wie lautet der Pfad der Gruppe, zu der der Benutzer nach der Erstellung hinzugefügt wird?
Auf welchem Port wird Splunk standardmäßig ausgeführt?
8000
Klicken Sie auf die Registerkarte „Daten hinzufügen“. Wie viele Methoden stehen zur Datenaufnahme zur Verfügung?
3
Klicken Sie auf die Option „Überwachen“. Welche Option wird als Erstes in der Überwachungsliste angezeigt?
Lokale Ereignisprotokolle
Wie lautet der vollständige Pfad in C:\Programme, in dem der Splunk Forwarder installiert ist?
C:\Programme\SplunkUniversalForwarder
Was ist der Standardport, auf dem Splunk den Forwarder konfiguriert?
9997
Wie viele Ereignisprotokolle stehen beim Auswählen der zu überwachenden lokalen Ereignisprotokolle zur Auswahl aus der Liste zur Überwachung?
5
Suche nach Ereignissen mit EventCode=4624. Was ist der Wert des Felds Nachricht?
Ein Konto wurde erfolgreich angemeldet.
Besuchen Sie im Labor http://coffely.thm/secret-flag.html. Dort werden die Verlaufsprotokolle der bisher getätigten Bestellungen angezeigt. Suchen Sie die Flagge in einem der Protokolle.
{COffely_Is_Best_iN_TOwn}
Raumantworten | Splunk: Dashboards und Berichte
Welcher Suchbegriff zeigt uns Ergebnisse aus allen Indizes in Splunk?
Index = *
Erstellen Sie einen Bericht vom Host für Netzwerkserver-Protokolle, der die in Netzwerkverbindungen verwendeten Ports und deren Anzahl auflistet. Wie oft wird ein Port maximal in Netzwerkverbindungen verwendet?
5
Welche Option müssen wir beim Erstellen von Berichten aktivieren, um den Zeitraum des Berichts auswählen zu können?
Zeitbereichsauswahl
Erstellen Sie aus den Webserver-Protokollen ein Dashboard, das die Statuscodes in einem Liniendiagramm anzeigt. Welcher Statuscode wurde am seltensten beobachtet?
400
Wie heißt der traditionelle Splunk-Dashboard-Builder?
klassisch
Welche Funktion können wir nutzen, damit Splunk in unserem Namen bestimmte Aktionen ausführt?
Aktionen auslösen
Welcher Alarmtyp wird ausgelöst, sobald ein Ereignis eintritt?
Echtzeit
Welche Option sendet, wenn sie aktiviert ist, innerhalb der angegebenen Zeit nur eine einzige Warnung, selbst wenn die Auslösebedingungen erneut eintreten?
Gaspedal
Antworten im Raum | Splunk: Datenmanipulation
Wie viele Python-Skripte sind im ~/Downloads/Skripte Verzeichnis?
3
Welche Strophe wird in den Konfigurationsdateien verwendet, um die Ereignisse nach dem angegebenen Muster zu unterbrechen?
BREAK_ONLY_AFTER
Mit welcher Strophe wird das Muster für den Zeilenumbruch innerhalb von Ereignissen festgelegt?
LINE_BREAKER
Welche Konfigurationsdatei wird zum Definieren von Transformationen und Anreicherungen indizierter Felder verwendet?
transforms.conf
Welche Konfigurationsdatei wird verwendet, um Eingaben und Möglichkeiten zum Sammeln von Daten aus verschiedenen Quellen zu definieren?
inputs.conf
Wenn Sie auf Splunk eine App mit dem Namen THM erstellen, wie lautet ihr vollständiger Pfad auf diesem Computer?
/opt/splunk/etc/apps/THM
Welche Konfigurationsdatei wird zum Festlegen der Analyseregeln verwendet?
props.conf
Welcher reguläre Ausdruck wird im obigen Fall verwendet, um die Ereignisse zu unterbrechen?
(TRENNEN | VERBINDEN)
Welche Strophe wird in der Konfiguration verwendet, um Splunk zu zwingen, das Ereignis nach dem angegebenen Muster abzubrechen?
MUSS NACH DEM
Wenn wir die Zeilenzusammenführung deaktivieren möchten, was ist der Wert der Strophe SOLLTE_LINEMERGE?
FALSCH
Welche Strophe wird verwendet, um die Ereignisgrenze zu unterbrechen, bevor im obigen Fall ein Muster angegeben wird?
BREAK_ONLY_BEVORE (NUR VORHER)
Welches Regex-Muster wird im obigen Fall verwendet, um die Ereignisgrenzen zu identifizieren?
[Authentifizierung]
Welche Strophe wird verwendet, um das Ereignis nach dem angegebenen Regex-Muster zu unterbrechen?
MUSS NACH DEM
Wie ist das Muster der Verwendung von SEDCMD in der Datei props.conf zum Maskieren oder Ersetzen der sensiblen Felder?
s/alterWert/neuerWert/g
Extrahieren Sie das Feld „Benutzername“ aus dem Quelltyp purchase_logs, an dem wir zuvor gearbeitet haben. Wie viele Benutzer wurden nach der Extraktion im Feld „Benutzername“ zurückgegeben?
14
Extrahieren Sie Kreditkartenwerte aus dem Quelltyp „Purchase_Logs“. Wie viele eindeutige Kreditkartennummern werden für das Feld „Kreditkarte“ zurückgegeben?
16
Video-Komplettlösung | TryHackMe Splunk: Einrichten eines SOC-Labors
