Cubrimos una introducción al lenguaje de procesamiento de búsqueda Splunk (SPL) y analizamos los comandos básicos y varios tipos de funciones utilizadas en operaciones lógicas, booleanas y de comparación. El lenguaje de procesamiento de búsqueda Splunk se utiliza para ejecutar comandos y funciones para extraer información útil de los registros ingeridos en SIEM. Estos conocimientos ayudan a los analistas de seguridad cibernética y al personal de respuesta a incidentes a hacerse una idea de lo que sucedió y la naturaleza del incidente cibernético. Esto fue parte de TryHackMe Splunk: Explorando SPL habitación.
Curso completo de Splunk SIEM con escenarios prácticos
Reflejos
Splunk es una poderosa solución SIEM que brinda la capacidad de buscar y explorar datos de máquinas. Lenguaje de procesamiento de búsqueda (SPL) Se utiliza para hacer la búsqueda más efectiva. Comprende varias funciones y comandos que se utilizan juntos para formar consultas de búsqueda complejas pero efectivas para obtener resultados optimizados.
El lenguaje de procesamiento de búsqueda de Splunk es el lenguaje utilizado para realizar operaciones de búsqueda en Splunk. El lenguaje de procesamiento SPL o Splunk consta de palabras clave, frases entre comillas, expresiones booleanas, comodines, pares de parámetro/valor y expresiones de comparación.
A menos que esté uniendo dos expresiones booleanas explícitas, omita la Y operador porque Splunk asume que el espacio entre dos términos de búsqueda cualesquiera es `Y
Respuestas de la habitación
¿Cuál es el nombre del host en la pestaña Resumen de datos?
ciberanfitrión
En el historial de búsqueda, ¿cuál es la séptima consulta de búsqueda de la lista? (excluyendo tus búsquedas de hoy)
índice = registros de Windows | recuento de gráficos (EventCode) por imagen
En el panel del campo izquierdo, ¿qué IP de origen ha registrado el máximo de eventos?
172.90.12.11
Según la lista de formatos de registro en esta tarea, ¿qué formato de registro utiliza el registro? ¿Cuántos eventos se devuelven cuando aplicamos el filtro de tiempo para mostrar eventos el 15/04/2022 y la hora de 08:05 a. m. a 08:06? ¿SOY?
134
¿Cuántos eventos se devuelven al buscar el ID de evento 1? Y ¿Usuario como *James*?
4
¿Cuántos eventos se observan con la IP de destino 172.18.39.6 Y el puerto de destino 135?
4
¿Cuál es la IP de origen con el mayor recuento devuelto con esta consulta de búsqueda?
Consulta de búsqueda: index=windowslogs Nombre de host=”Salena.Adam” DestinationIp=”172.18.38.5″
172.90.12.11
En el índice de windowslogs, busque todos los eventos que contengan el término cibernético ¿Cuántos eventos regresaron?
0
Ahora busca el término cibernético*, ¿cuántos eventos se devuelven?
12256
¿Cuál es el tercer EventID devuelto en esta consulta de búsqueda?
Consulta de busqueda: índice = registros de Windows | tabla _time EventID Nombre de host Nombre de origen | contrarrestar
4103
Utilice el comando dedup en el campo Nombre de host antes del comando inverso en la consulta mencionada en la Pregunta 1. ¿Cuál es el primer nombre de usuario devuelto en el campo Nombre de host?
Salena.Adam
Usando el comando Invertir con la consulta de búsqueda index=windowslogs | table _time EventID Nombre de host Nombre de origen: ¿cuál es el nombre de host que aparece en la parte superior?
James.browne
¿Cuál es el último EventID devuelto cuando la consulta en la pregunta 1 se actualiza con el cola ¿dominio?
4103
Ordene la consulta anterior según SourceName. ¿Cuál es el nombre de fuente principal devuelto?
Servicios-de-directorio-de-Microsoft-Windows-SAM
Enumere los 8 procesos de imágenes principales usando el comando superior: ¿cuál es el recuento total de la sexta imagen?
196
Usando el comando raro, ¿identificar al usuario con la menor cantidad de actividades capturadas?
Jaime
Cree un gráfico circular usando el comando gráfico: ¿cuál es el recuento del proceso conhost.exe?
70
Tutorial en vídeo
