Cubrimos el uso de consultas avanzadas en Kibana y Elastic Search, como el uso de consultas anidadas, consultas para extraer números y rangos de fechas, consultas de proximidad, búsquedas difusas y consultas que incluyen expresiones regulares para extraer información de incidentes de seguridad cibernética y lo pertinente a este escenario fue la infección de ransomware en Servidores web y de correo electrónico. Esto fue parte de Sala de consultas ELK avanzadas de TryHackMe que es parte de la pista SOC Nivel 2.

Notas de estudio del equipo azul

Notas de estudio de ciberseguridad

Reflejos

¿Qué es el Elastic Stack?

Elastic stack es la colección de diferentes componentes de código abierto vinculados entre sí para ayudar a los usuarios a tomar los datos de cualquier fuente y en cualquier formato y realizar una búsqueda, analizar y visualizar los datos en tiempo real.

Búsqueda elástica


Elasticsearch es un motor de análisis y búsqueda de texto completo que se utiliza para almacenar documentos con formato JSON. Elasticsearch es un componente importante que se utiliza para almacenar, analizar, realizar correlaciones de datos, etc.
Está construido sobre Apache Lucene y proporciona una solución escalable para búsqueda de texto completo, consultas estructuradas y análisis de datos.
Elasticsearch admite API RESTFul para interactuar con los datos.

Alijo de registros

Logstash es un motor de procesamiento de datos que se utiliza para tomar datos de diferentes fuentes, aplicarles el filtro o normalizarlos y luego enviarlos al destino, que podría ser Kibana o un puerto de escucha.

kibana

Kibana es una visualización de datos basada en web que funciona con elasticsearch para analizar, investigar y visualizar el flujo de datos en tiempo real. Permite a los usuarios crear múltiples visualizaciones y paneles para una mejor visibilidad.

Lenguaje de consulta Kibana (KQL)

Es un lenguaje de consulta de búsqueda que se utiliza para buscar registros/documentos ingeridos en elasticsearch. Además del lenguaje KQL, Kibana también admite el lenguaje de consulta Lucene.

KQL es similar al lenguaje de procesamiento de búsqueda Splunk en cuanto a conceptos de cómo funciona y sus objetivos.

Búsqueda de texto libre
La búsqueda de texto libre permite a los usuarios buscar los registros según el solo texto. Eso significa una simple búsqueda del término. seguridad devolverá todos los documentos que contengan este término, independientemente del campo.
COMODÍN
KQL permite el comodín * para hacer coincidir partes del término/palabra. Descubramos cómo utilizar este comodín en la consulta de búsqueda.

Por ejemplo, las consultas de rango nos permiten buscar documentos con valores de campo dentro de un rango específico. 

La búsqueda difusa es beneficiosa cuando se buscan documentos con inconsistencias o errores tipográficos en los datos. Tiene en cuenta estas variaciones y recupera documentos relevantes permitiendo un número específico de diferencias de caracteres (conocido como valor de borrosidad) entre el término de búsqueda y el valor de campo real.

Las búsquedas de proximidad le permiten buscar documentos donde los valores de campo contienen dos o más términos dentro de una distancia específica. En KQL, puede utilizar la consulta match_phrase con el parámetro slop para realizar una búsqueda de proximidad. El parámetro de pendiente establece la distancia máxima que pueden estar los términos entre sí. Por ejemplo, un valor de pendiente de 2 significa que las palabras pueden estar hasta a 2 posiciones de distancia.

Respuestas de la habitación | TryHackMe ELK avanzado

¿Cómo se escapa el texto “contraseña:Me&Try=Hack!” (Sin incluir las comillas dobles) 

contraseña:Yo\&Try=¡Hackear!

Utilizando comodines, ¿cuál será su consulta si desea buscar todos los documentos que contienen las palabras "hacking" y "hack" en el campo "actividad"? 

actividad: hackear*

Tarea 3 – P1 – ¿Cuántos incidentes existen en los que el archivo afectado es “marketing_strategy_2023_07_23.pptx”?

4

¿Cuántos incidentes existen en los que los archivos afectados en los servidores de archivos se titulan "estrategia_de_marketing"?

135

Hay una alerta positiva verdadera en un servidor web donde el administrador y sus usuarios iniciaron sesión. ¿Cuál es el nombre del servidor web?

servidor-web-77

¿Cuántos incidentes de “fuga de datos” tienen un nivel de gravedad de 9 o más?

52

¿Cuántos incidentes antes del 1 de diciembre de 2022 ha investigado AJohnston donde el sistema afectado es un servidor de correo electrónico o web?

63

De los ID de incidente 1 a 500, ¿cuál es la dirección de correo electrónico del analista de SOC que dejó un comentario sobre un incidente en el que la filtración de datos en el servidor de archivos 65 es un falso positivo?

jlim@cybert.com

Incluyendo los errores ortográficos, ¿cuántos incidentes ha manejado JLim en los que escribió mal la palabra “verdadero”?

110

¿Cuántos incidentes ha manejado JLim en los que escribió mal la palabra “negativo”?

4

¿Cuántos incidentes ocurren cuando desea buscar las palabras "fuga de datos" y "verdadero negativo" en los comentarios que tienen al menos 3 palabras entre ellas?

33

¿Cuántos incidentes ha investigado AJohnston que tienen las palabras "detectado" y "negativo" en los comentarios con dos palabras de diferencia?

40

¿Cuántos incidentes hay en los que un archivo “client_list” se vio afectado por ransomware?

70

Lo¿Cuál es el nombre del sistema afectado en la fecha del primer incidente que EVenis investigó con un nombre de archivo que contenía la palabra "proyecto"?

servidor-de-archivos-78

Tutorial en vídeo | TryHackMe ELK avanzado

, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos