لقد قمنا بتغطية مقدمة للغة معالجة البحث Splunk (SPL) وناقشنا الأوامر الأساسية وأنواع مختلفة من الوظائف المستخدمة في المقارنة والعمليات المنطقية والمنطقية. تُستخدم لغة معالجة البحث Splunk لتنفيذ الأوامر والوظائف لاستخراج رؤى مفيدة من السجلات التي يتم استيعابها في SIEM. تساعد هذه الرؤى محللي الأمن السيبراني والمستجيبين للحوادث على رسم صورة حول ما حدث وطبيعة الحادث السيبراني. كان هذا جزءًا من TryHackMe Splunk: استكشاف SPL غرفة.

ملاحظات أداة Splunk SIEM

دورة Splunk SIEM الكاملة مع سيناريوهات عملية

يسلط الضوء

Splunk هو أحد حلول SIEM القوية التي توفر القدرة على البحث واستكشاف بيانات الجهاز. لغة معالجة البحث (SPL) يستخدم لجعل البحث أكثر فعالية. وهو يشتمل على وظائف وأوامر مختلفة تُستخدم معًا لتشكيل استعلامات بحث معقدة وفعالة للحصول على نتائج محسنة.

لغة معالجة البحث Splunk هي اللغة المستخدمة لإجراء عمليات البحث في Splunk. تتكون لغة معالجة SPL أو Splunk من الكلمات الرئيسية والعبارات المقتبسة والتعبيرات المنطقية وأحرف البدل وأزواج المعلمات/القيم وتعبيرات المقارنة.
ما لم تكن تنضم إلى تعبيرين منطقيين صريحين، فاحذف و عامل التشغيل لأن Splunk يفترض أن المسافة بين أي مصطلحي بحث هي "AND".

إجابات الغرفة

ما هو اسم المضيف في علامة التبويب "ملخص البيانات"؟

المضيف السيبراني

في سجل البحث، ما هو استعلام البحث السابع في القائمة؟ (باستثناء عمليات البحث التي أجريتها اعتبارًا من اليوم)

فهرس = windowslogs | عدد المخططات (رمز الحدث) حسب الصورة

في لوحة الحقل الأيسر، ما عنوان IP المصدر الذي سجل الحد الأقصى من الأحداث؟

172.90.12.11

استنادًا إلى قائمة تنسيقات السجل في هذه المهمة، ما هو تنسيق السجل الذي يستخدمه السجل fكم عدد الأحداث التي يتم إرجاعها عندما نطبق مرشح الوقت لعرض الأحداث بتاريخ 15/04/2022 والوقت من 08:05 صباحًا إلى 08:06 أكون؟

134

كم عدد الأحداث التي يتم إرجاعها عند البحث عن معرف الحدث 1 و المستخدم باسم *جيمس*؟

4

ما عدد الأحداث التي تمت ملاحظتها باستخدام Destination IP 172.18.39.6 ومنفذ الوجهة 135؟

4

ما هو عنوان IP المصدر الذي تم إرجاعه بأعلى عدد باستخدام استعلام البحث هذا؟
استعلام البحث: Index=windowslogs Hostname=”Salena.Adam” DestinationIp=”172.18.38.5″

172.90.12.11

في فهرس windowslogs، ابحث عن كافة الأحداث التي تحتوي على هذا المصطلح سيبر كم عدد الأحداث التي عادت؟

0

الآن ابحث عن المصطلح سيبر*، كم عدد الأحداث التي يتم إرجاعها؟

12256

ما هو معرف الحدث الثالث الذي تم إرجاعه مقابل استعلام البحث هذا؟

استعلام بحث: فهرس = windowslogs | الجدول _time اسم المضيف EventID اسم المصدر | يعكس 

4103

استخدم أمر dedup في حقل اسم المضيف قبل الأمر العكسي في الاستعلام المذكور في السؤال 1. ما هو اسم المستخدم الأول الذي تم إرجاعه في حقل اسم المضيف؟

سالينا آدم

استخدام الأمر العكسي مع استعلام البحث Index=windowslogs | table _time EventID اسم المضيف SourceName - ما هو اسم المضيف الذي يأتي في الأعلى؟

جيمس براون

ما هو معرف الحدث الأخير الذي تم إرجاعه عند تحديث الاستعلام في السؤال 1 باستخدام ملف ذيل يأمر؟

4103

فرز الاستعلام أعلاه مقابل SourceName. ما هو أعلى اسم مصدر تم إرجاعه؟

مايكروسوفت-ويندوز-دليل-الخدمات-SAM

قم بإدراج أهم 8 عمليات للصور باستخدام الأمر العلوي – ما هو العدد الإجمالي للصورة السادسة؟

196

باستخدام الأمر النادر، حدد المستخدم بأقل عدد من الأنشطة التي تم التقاطها؟

جوامع

قم بإنشاء مخطط دائري باستخدام أمر المخطط - ما هو عدد عملية conhost.exe؟

70

تجول الفيديو

, , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات