Discutimos los archivos de configuración de Splunk, a saber, props.conf,transforms.conf,fields.conf,inputs.conf, indexes.conf y mencionamos el propósito y objetivo de cada uno de ellos. Los archivos de configuración de Splunk se utilizan para configurar reglas de análisis de registros, extracción de campos y establecer reglas de retención y almacenamiento de registros. Utilice estos archivos de configuración cuando Splunk no extraiga los campos correctamente del archivo de registro proporcionado o cuando tenga un formato único para sus registros. Para fines de demostración, resolvimos Desafío TryHackMe Fixit eso nos permite probar prácticamente nuestro conocimiento en la configuración de reglas de análisis de registros con Splunk.

Notas de campo de Splunk SIEM

Curso completo de Splunk SIEM con escenarios prácticos

Reflejos

Splunk es una poderosa solución SIEM que brinda la capacidad de buscar y explorar datos de máquinas. Lenguaje de procesamiento de búsqueda (SPL) Se utiliza para hacer la búsqueda más efectiva. Comprende varias funciones y comandos que se utilizan juntos para formar consultas de búsqueda complejas pero efectivas para obtener resultados optimizados.

Splunk es compatible con todas las versiones principales del sistema operativo, tiene pasos de instalación muy sencillos y puede estar operativo en menos de 10 minutos en cualquier plataforma.

Los registros se pueden incorporar a Splunk con tres métodos:

  • Carga manual
  • Agente transportista
  • A través de un puerto/IP TCP

Splunk debe configurarse correctamente para analizar y transformar los registros de manera adecuada. Algunos de los aspectos importantes son:

  • Rotura de evento:
    • Configure Splunk para dividir los eventos correctamente.
  • Eventos multilínea:
    • Configure Splunk para configurar eventos de varias líneas correctamente.
  • Enmascaramiento:
    • Algunos registros pueden contener datos confidenciales, como datos de tarjetas de crédito. Para cumplir con el estándar PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago), información como los números de tarjetas de crédito debe estar enmascarada para evitar cualquier infracción.
  • Extrayendo campos personalizados:

Para analizar correctamente formatos de registro únicos con Splunk, seguimos los pasos a continuación:

Comprender el formato de datos

Splunk admite muchos tipos de datos, incluidos CSV, JSON, XML, syslog y otros. Elija los campos apropiados que desea extraer y el formato de su fuente de datos.

Identificar el tipo de fuente

El formato de los datos que se indexan está representado por el tipo de fuente en Splunk. Facilita el uso por parte de Splunk de las reglas de análisis adecuadas. Puede crear un nuevo tipo de fuente en Splunk si su fuente de datos aún no tiene uno.

Configurar los archivos requeridos

A saber, props.conf, inputs.conf y transforms.conf

Por último reinicie Splunk

Respuestas de la habitación | Análisis de eventos y análisis de registros con Splunk | PruebaHackMe Fixit

¿Cuál es la ruta completa del directorio de la aplicación FIXIT?

/opt/splunk/etc/apps/fixit

¿Qué estrofa usaremos para definir el límite del evento en este caso de evento de varias líneas?

BREAK_ONLY_ANTES

En inputs.conf, ¿cuál es la ruta completa del script de registros de red?

/opt/splunk/etc/apps/fixit/bin/network-logs

¿Qué patrón de expresiones regulares nos ayudará a definir el inicio del Evento?

[Registro de red]

¿Qué es el dominio capturado?

Cybertees.THM

¿Cuántos países están capturados en los registros?

12

¿Cuántos departamentos se capturan en los registros?

6

¿Cuántos nombres de usuario se capturan en los registros?

28

¿Cuántas IP de origen se capturan en los registros?

52

¿Qué archivos de configuración se utilizaron para solucionar nuestro problema? [Orden alfabético: Archivo1, Archivo2, Archivo3]

props.conf, transforma.conf, campos.conf

¿Cuáles son los dos países PRINCIPALES desde los que el usuario Robert intentó acceder al dominio? [Respuesta separada por comas y en orden alfabético][Formato: País1, País2]

canadá, estados unidos

¿Qué usuario accedió al documento-secreto.pdf en el sitio web?

Sara Hall

Tutorial en vídeo | PruebaHackMe Fixit

, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos