Nous avons discuté des fichiers de configuration Splunk, à savoir props.conf,transforms.conf,fields.conf,inputs.conf, indexes.conf et mentionné le but et l'objectif de chacun d'eux. Les fichiers de configuration Splunk sont utilisés pour configurer les règles d'analyse des journaux, l'extraction des champs et définir les règles de stockage et de conservation des journaux. Utilisez ces fichiers de configuration lorsque Splunk n'extrait pas correctement les champs du fichier journal fourni ou lorsque vous disposez d'un format unique pour vos journaux. À des fins de démonstration, nous avons résolu Défi TryHackMe Fixit cela nous permet de tester pratiquement nos connaissances en matière de configuration des règles d'analyse des journaux avec Splunk.
Cours complet Splunk SIEM avec scénarios pratiques
Points forts
Splunk est une solution SIEM puissante qui offre la possibilité de rechercher et d'explorer les données des machines. Langage de traitement de recherche (SPL) est utilisé pour rendre la recherche plus efficace. Il comprend diverses fonctions et commandes utilisées ensemble pour former des requêtes de recherche complexes mais efficaces afin d'obtenir des résultats optimisés.
Splunk prend en charge toutes les principales versions du système d'exploitation, comporte des étapes d'installation très simples et peut être opérationnel en moins de 10 minutes sur n'importe quelle plate-forme.
Les journaux peuvent être ingérés dans Splunk de trois manières :
- Téléchargement manuel
- Agent transitaire
- Via une IP/Port TCP
Splunk doit être correctement configuré pour analyser et transformer les journaux de manière appropriée. Certains des aspects importants sont :
- Rupture d'événement :
- Configurez Splunk pour interrompre correctement les événements.
- Événements multilignes :
- Configurez Splunk pour configurer correctement les événements multilignes.
- Masquage :
- Certains journaux peuvent contenir des données sensibles telles que des données de carte de crédit. Pour se conformer à la norme PCI DSS (Payment Card Industry Data Security Standard), les informations telles que les numéros de carte de crédit doivent être masquées pour éviter toute violation.
- Extraction des champs personnalisés :
Pour analyser correctement les formats de journaux uniques avec Splunk, nous suivons les étapes ci-dessous :
Comprendre le format des données
De nombreux types de données, notamment CSV, JSON, XML, syslog et autres, sont pris en charge par Splunk. Choisissez les champs appropriés que vous souhaitez extraire et le format de votre source de données.
Identifiez le type de source
Le format des données indexées est représenté par le type de source dans Splunk. Cela facilite l'utilisation par Splunk des règles d'analyse appropriées. Vous pouvez créer un nouveau type de source dans Splunk si votre source de données n'en possède pas déjà un.
Configurer les fichiers requis
À savoir props.conf, inputs.conf et transforms.conf
Enfin, redémarrez Splunk
Réponses de la salle | Analyse des événements et analyse des journaux avec Splunk | EssayezHackMe Fixit
Quel est le chemin complet du répertoire de l'application FIXIT ?
/opt/splunk/etc/apps/fixit
Quelle strophe allons-nous utiliser pour définir la limite de l'événement dans ce cas d'événement multiligne ?
BREAK_ONLY_BEFORE
Dans le fichier inputs.conf, quel est le chemin complet du script des journaux réseau ?
/opt/splunk/etc/apps/fixit/bin/network-logs
Quel modèle d'expression régulière nous aidera à définir le début de l'événement ?
[Journal réseau]
Quel est le domaine capturé ?
Cybertees.THM
Combien de pays sont capturés dans les journaux ?
12
Combien de départements sont capturés dans les journaux ?
6
Combien de noms d’utilisateur sont capturés dans les journaux ?
28
Combien d’adresses IP sources sont capturées dans les journaux ?
52
Quels fichiers de configuration ont été utilisés pour résoudre notre problème ? [Ordre alphabétique : Fichier1, fichier2, fichier3]
props.conf, transformations.conf, champs.conf
WQuels sont les deux principaux pays à partir desquels l'utilisateur Robert a tenté d'accéder au domaine ? [Réponse séparée par des virgules et par ordre alphabétique][Format : Pays1, Pays2]
Canada, États-Unis
Quel utilisateur a accédé au document-secret.pdf sur le site ?
Sarah Hall
Présentation vidéo | EssayezHackMe Fixit