Abbiamo trattato un'introduzione a Splunk Search Processing Language (SPL) e discusso i comandi di base e i vari tipi di funzioni utilizzate nelle operazioni booleane e logiche di confronto. Splunk Search Processing Language viene utilizzato per eseguire comandi e funzioni per estrarre informazioni utili dai log inseriti nel SIEM. Queste informazioni aiutano gli analisti della sicurezza informatica e gli addetti alla risposta agli incidenti a tracciare un quadro di ciò che è accaduto e della natura dell’incidente informatico. Questo faceva parte TryHackMe Splunk: esplorazione di SPL camera.
Corso completo Splunk SIEM con scenari pratici
Punti salienti
Splunk è una potente soluzione SIEM che offre la possibilità di cercare ed esplorare i dati della macchina. Linguaggio di elaborazione della ricerca (SPL) viene utilizzato per rendere la ricerca più efficace. Comprende varie funzioni e comandi utilizzati insieme per formare query di ricerca complesse ma efficaci per ottenere risultati ottimizzati.
Splunk Search Processing Language è il linguaggio utilizzato per eseguire operazioni di ricerca in Splunk. Il linguaggio di elaborazione SPL o Splunk è costituito da parole chiave, frasi tra virgolette, espressioni booleane, caratteri jolly, coppie parametro/valore ed espressioni di confronto.
A meno che tu non stia unendo due espressioni booleane esplicite, ometti il file E
perché Splunk presuppone che lo spazio tra due termini di ricerca qualsiasi sia "AND".
Risposte in camera
Qual è il nome dell'host nella scheda Riepilogo dati?
cyber-host
Nella cronologia delle ricerche, qual è la settima query di ricerca nell'elenco? (escluse le tue ricerche di oggi)
indice=log di windows | conteggio grafici (EventCode) per immagine
Nel riquadro di sinistra, quale IP di origine ha registrato il numero massimo di eventi?
172.90.12.11
In base all'elenco dei formati di registro in questa attività, quale formato di registro viene utilizzato dal registro fQuanti eventi vengono restituiti quando applichiamo il filtro temporale per visualizzare gli eventi il 15/04/2022 e l'ora dalle 08:05 alle 08:06 SONO?
134
Quanti eventi vengono restituiti durante la ricerca dell'ID evento 1 E Utente come *James*?
4
Quanti eventi vengono osservati con l'IP di destinazione 172.18.39.6 E la porta di destinazione 135?
4
Qual è l'IP di origine con il conteggio più alto restituito con questa query di ricerca?
Query di ricerca: index=windowslogs Hostname=”Salena.Adam” DestinationIp=”172.18.38.5″
172.90.12.11
Nell'indice windowslogs, cerca tutti gli eventi che contengono il termine cibernetica quanti eventi sono tornati?
0
Ora cerca il termine informatico*, quanti eventi vengono restituiti?
12256
Qual è il terzo EventID restituito rispetto a questa query di ricerca?
Query di ricerca: indice=log di windows | tabella _time ID evento Nome host Nome origine | inversione
4103
Utilizzare il comando dedup nel campo Nome host prima del comando inverso nella query menzionata nella Domanda 1. Qual è il primo nome utente restituito nel campo Nome host?
Salena.Adam
Utilizzando il comando Reverse con la query di ricerca index=windowslogs | table_time EventID Hostname SourceName – qual è l'HostName che viene in primo piano?
James.browne
Qual è l'ultimo EventID restituito quando la query nella domanda 1 viene aggiornata con coda comando?
4103
Ordina la query precedente rispetto a SourceName. Qual è il primo SourceName restituito?
Microsoft-Windows-Directory-Services-SAM
Elenca i primi 8 processi di immagine utilizzando il comando top: qual è il conteggio totale della sesta immagine?
196
Utilizzando il comando rare, identificare l'utente con il minor numero di attività catturate?
Giacomo
Crea un grafico a torta utilizzando il comando chart: qual è il conteggio per il processo conhost.exe?
70
Videoprocedura dettagliata