Nous avons couvert une introduction au Splunk Search Processing Language (SPL) et discuté des commandes de base et des différents types de fonctions utilisées dans les opérations de comparaison, booléennes et logiques. Splunk Search Processing Language est utilisé pour exécuter des commandes et des fonctions afin d'extraire des informations utiles à partir des journaux ingérés dans le SIEM. Ces informations aident les analystes de la cybersécurité et les intervenants en cas d'incident à dresser un tableau de ce qui s'est passé et de la nature du cyberincident. Cela faisait partie de TryHackMe Splunk : Explorer SPL chambre.
Cours complet Splunk SIEM avec scénarios pratiques
Points forts
Splunk est une solution SIEM puissante qui offre la possibilité de rechercher et d'explorer les données des machines. Langage de traitement de recherche (SPL) est utilisé pour rendre la recherche plus efficace. Il comprend diverses fonctions et commandes utilisées ensemble pour former des requêtes de recherche complexes mais efficaces afin d'obtenir des résultats optimisés.
Splunk Search Processing Language est le langage utilisé pour effectuer des opérations de recherche dans Splunk. Le langage de traitement SPL ou Splunk se compose de mots-clés, d'expressions entre guillemets, d'expressions booléennes, de caractères génériques, de paires paramètre/valeur et d'expressions de comparaison.
Sauf si vous joignez deux expressions booléennes explicites, omettez le ET car Splunk suppose que l'espace entre deux termes de recherche est « ET »
Réponses de la salle
Quel est le nom de l'hôte dans l'onglet Résumé des données ?
cyber-hôte
Dans l'historique des recherches, quelle est la 7ème requête de recherche de la liste ? (à l'exclusion de vos recherches d'aujourd'hui)
index = journaux Windows | nombre de graphiques (EventCode) par image
Dans le panneau de gauche, quelle adresse IP source a enregistré le nombre maximum d'événements ?
172.90.12.11
Sur la base de la liste des formats de journal dans cette tâche, quel format de journal est utilisé par le journal fCombien d'événements sont renvoyés lorsque nous appliquons le filtre temporel pour afficher les événements du 15/04/2022 et l'heure de 08h05 à 08h06 SUIS?
134
Combien d'événements sont renvoyés lors de la recherche de l'ID d'événement 1 ET Utilisateur en tant que *James* ?
4
Combien d’événements sont observés avec l’IP de destination 172.18.39.6 ET le port de destination 135 ?
4
Quelle est l’adresse IP source avec le nombre le plus élevé renvoyé avec cette requête de recherche ?
Requête de recherche : index=windowslogs Nom d'hôte=”Salena.Adam” DestinationIp=”172.18.38.5″
172.90.12.11
Dans l'index Windowslogs, recherchez tous les événements contenant le terme cyber combien d'événements sont retournés ?
0
Recherchez maintenant le terme cyber*, combien d'événements sont renvoyés ?
12256
Quel est le troisième EventID renvoyé pour cette requête de recherche ?
Requête de recherche : index = journaux Windows | table _time EventID Nom d'hôte SourceName | inverse
4103
Utilisez la commande dedup sur le champ Nom d'hôte avant la commande inverse dans la requête mentionnée à la question 1. Quel est le premier nom d'utilisateur renvoyé dans le champ Nom d'hôte ?
Salena.Adam
Utilisation de la commande Reverse avec la requête de recherche index=windowslogs | table _time EventID Nom d'hôte SourceName – quel est le nom d'hôte qui apparaît en haut ?
James.browne
Quel est le dernier EventID renvoyé lorsque la requête de la question 1 est mise à jour avec le queue commande?
4103
Triez la requête ci-dessus par rapport au SourceName. Quel est le premier SourceName renvoyé ?
Microsoft-Windows-Directory-Services-SAM
Répertoriez les 8 principaux processus d'image à l'aide de la commande top : quel est le nombre total de la 6ème image ?
196
À l'aide de la commande rare, identifier l'utilisateur avec le moins d'activités capturées ?
James
Créez un diagramme circulaire à l’aide de la commande chart – quel est le nombre pour le processus conhost.exe ?
70
Vidéo pas à pas
