Explicamos el proceso de instalación y configuración de Splunk mostrando los pasos que implican elegir la función de Splunk, ya sea servidor principal o reenviador, configurar los reenviadores para recopilar registros y crear los índices que almacenan los registros recopilados. Demostramos un escenario práctico que implica cargar manualmente registros del servidor web en una instancia principal de Splunk. Esto fue parte de TryHackMe Splunk: configuración de un laboratorio SOC que es parte de la pista TryHackMe SOC Nivel 2.
Esta publicación también incluye las respuestas para TryHackMe Splunk: paneles e informes y TryHackMe Splunk: manipulación de datos habitaciones.
Curso completo de Splunk SIEM con escenarios prácticos
Reflejos
Splunk es una poderosa solución SIEM que brinda la capacidad de buscar y explorar datos de máquinas. Lenguaje de procesamiento de búsqueda (SPL) Se utiliza para hacer la búsqueda más efectiva. Comprende varias funciones y comandos que se utilizan juntos para formar consultas de búsqueda complejas pero efectivas para obtener resultados optimizados.
Splunk es compatible con todas las versiones principales del sistema operativo, tiene pasos de instalación muy sencillos y puede estar operativo en menos de 10 minutos en cualquier plataforma.
Los registros se pueden incorporar a Splunk con tres métodos:
- Carga manual
- Agente transportista
- A través de un puerto/IP TCP
Respuestas de la habitación | TryHackMe Splunk: configuración de un laboratorio SOC
¿Cuál es el puerto predeterminado para Splunk?
8000
En Splunk, ¿cuál es el comando para buscar el término coffely en los registros?
./bin/splunk buscar con calma
¿Cuál es el puerto predeterminado en el que se ejecuta Splunk Forwarder?
8089
Sigue los mismos pasos e ingiere. /var/log/auth.log archivo en el índice Splunk Linux_logs. ¿Cuál es el valor en el campo tipo de fuente?
registro del sistema
Cree un nuevo usuario llamado analista usando el comando analista de usuario adicional. Una vez creado, observe los eventos generados en Splunk relacionados con la actividad de creación del usuario. ¿Cuántos eventos se devuelven como resultado de la creación del usuario?
6
¿Cuál es la ruta del grupo al que se agrega el usuario después de la creación?
¿Cuál es el puerto predeterminado en el que se ejecuta Splunk?
8000
Haga clic en la pestaña Agregar datos; ¿Cuántos métodos hay disponibles para la ingesta de datos?
3
Haga clic en la opción Monitorear; ¿Cuál es la primera opción que se muestra en la lista de seguimiento?
Registros de eventos locales
¿Cuál es la ruta completa en C:\Program Files donde está instalado Splunk Forwarder?
C:\Archivos de programa\SplunkUniversalForwarder
¿Cuál es el puerto predeterminado en el que Splunk configura el reenviador?
9997
Al seleccionar Registros de eventos locales para monitorear, ¿cuántos registros de eventos hay disponibles para seleccionar de la lista para monitorear?
5
Busque los eventos con EventCode=4624. ¿Cuál es el valor del campo Mensaje?
Se inició sesión correctamente en una cuenta.
En el laboratorio, visite http://coffely.thm/secret-flag.html; mostrará los registros históricos de los pedidos realizados hasta el momento. Encuentra la bandera en uno de los registros.
{COffely_Is_Best_iN_TOwn}
Respuestas de la habitación | Splunk: paneles e informes
¿Qué término de búsqueda nos mostrará resultados de todos los índices en Splunk?
índice=*
Cree un informe desde el host de registros del servidor de red que enumere los puertos utilizados en las conexiones de red y su recuento. ¿Cuál es la mayor cantidad de veces que se utiliza un puerto en las conexiones de red?
5
Al crear informes, ¿qué opción debemos habilitar para poder elegir el rango de tiempo del informe?
selector de rango de tiempo
Cree un panel a partir de los registros del servidor web que muestre los códigos de estado en un gráfico de líneas. ¿Qué código de estado se observó la menor cantidad de veces?
400
¿Cómo se llama el creador de paneles tradicional de Splunk?
clásico
¿Qué función podemos utilizar para que Splunk realice algunas acciones en nuestro nombre?
desencadenar acciones
¿Qué tipo de alerta se activará en el instante en que ocurra un evento?
Tiempo real
¿Qué opción, cuando está habilitada, solo enviará una única alerta en el tiempo especificado incluso si las condiciones desencadenantes vuelven a ocurrir?
acelerador
Respuestas de la habitación | Splunk: manipulación de datos
¿Cuántos scripts de Python están presentes en el ~/Descargas/scripts ¿directorio?
3
¿Qué estrofa se utiliza en los archivos de configuración para dividir los eventos después del patrón proporcionado?
BREAK_ONLY_AFTER
¿Qué estrofa se utiliza para especificar el patrón del salto de línea dentro de los eventos?
LINE_BREAKER
¿Qué archivo de configuración se utiliza para definir transformaciones y enriquecimientos en campos indexados?
transforma.conf
¿Qué archivo de configuración se utiliza para definir entradas y formas de recopilar datos de diferentes fuentes?
entradas.conf
Si crea una aplicación en Splunk llamada THM, ¿cuál será su ruta completa en esta máquina?
/opt/splunk/etc/apps/THM
¿Qué archivo de configuración se utiliza para especificar reglas de análisis?
accesorios.conf
¿Qué expresión regular se utiliza en el caso anterior para interrumpir los eventos?
(DESCONECTAR|CONECTAR)
¿Qué estrofa se utiliza en la configuración para obligar a Splunk a interrumpir el evento después del patrón especificado?
MUST_BREAK_AFTER
Si queremos deshabilitar la fusión de líneas, ¿cuál será el valor de la estrofa? DEBE_LINEMERGE?
FALSO
¿Qué estrofa se utiliza para romper el límite del evento antes de que se especifique un patrón en el caso anterior?
BREAK_ONLY_ANTES
¿Qué patrón de expresiones regulares se utiliza para identificar los límites del evento en el caso anterior?
[Autenticación]
¿Qué estrofa se utiliza para interrumpir el evento después del patrón de expresiones regulares especificado?
MUST_BREAK_AFTER
¿Cuál es el patrón de uso de SEDCMD en props.conf para enmascarar o reemplazar los campos confidenciales?
s/valorantiguo/valornuevo/g
Extraiga el campo Nombre de usuario del tipo fuente de registros de compra en el que trabajamos anteriormente. ¿Cuántos usuarios se devolvieron en el campo Nombre de usuario después de la extracción?
14
Extraiga los valores de la tarjeta de crédito de los registros de compra del tipo fuente. ¿Cuántos números de tarjeta de crédito únicos se devuelven en el campo Tarjeta de crédito?
16
Tutorial en vídeo | TryHackMe Splunk: configuración de un laboratorio SOC
