Prämisse:
In diesem Video-Walkthrough haben wir die grundlegenden Funktionen von Splunk wie die Apps und die Suchfunktion behandelt. Wir haben auch das Erstellen von Abfragen und das Untersuchen von Ereignissen behandelt. Dieser Raum ist Teil des Cyber-Defense-Pfads von TryHackMe.
Einführung in die Herausforderung:
Dieser Raum bietet einen allgemeinen Überblick über Splunk und seine Hauptfunktionen. Erfahrung mit Splunk wird dazu beitragen, dass Ihr Lebenslauf aus der Masse hervorsticht.
Splunk wurde als „Leader“ ausgezeichnet in Gartners Magic Quadrant 2020 für Sicherheitsinformationen und Ereignismanagement.
Laut Gartner: „Tausende von Organisationen auf der ganzen Welt nutzen Splunk als SIEM für Sicherheitsüberwachung, erweiterte Bedrohungserkennung, Vorfalluntersuchung und Forensik, Vorfallreaktion, SOC-Automatisierung und eine breite Palette von Anwendungsfällen für Sicherheitsanalysen und -vorgänge.”
Holen Sie sich Splunk Field Notes
Antworten
Was ist die Version?
Laden Sie die Splunk-Tutorialdaten auf den Desktop hoch. Wie viele Ereignisse sind in dieser Quelle?
Notiz: Stellen Sie sicher, dass Sie die Daten nur einmal hochladen.
Was ist der Quelltyp?
Sehen Sie sich im Suchergebnis die Registerkarte „Muster“ an.
Wie lautet der letzte Benutzername in dieser Registerkarte?
Suche nach fehlgeschlagenen Kennwortereignissen für diesen bestimmten Benutzernamen. Wie viele Ereignisse werden zurückgegeben?
Verwenden Sie das Github Sigma-Repository. Was ist die Splunk-Abfrage für „CACTUSTORCH Remote Thread Creation“?
Was ist die höchste EventID?
Link zur Herausforderung:
https://tryhackme.com/room/splunk101
