Nous avons discuté des fichiers de configuration Splunk, à savoir props.conf,transforms.conf,fields.conf,inputs.conf, indexes.conf et mentionné le but et l'objectif de chacun d'eux. Les fichiers de configuration Splunk sont utilisés pour configurer les règles d'analyse des journaux, l'extraction des champs et définir les règles de stockage et de conservation des journaux. Utilisez ces fichiers de configuration lorsque Splunk n'extrait pas correctement les champs du fichier journal fourni ou lorsque vous disposez d'un format unique pour vos journaux. À des fins de démonstration, nous avons résolu Défi TryHackMe Fixit cela nous permet de tester pratiquement nos connaissances en matière de configuration des règles d'analyse des journaux avec Splunk.

Notes de terrain Splunk SIEM

Cours complet Splunk SIEM avec scénarios pratiques

Points forts

Splunk est une solution SIEM puissante qui offre la possibilité de rechercher et d'explorer les données des machines. Langage de traitement de recherche (SPL) est utilisé pour rendre la recherche plus efficace. Il comprend diverses fonctions et commandes utilisées ensemble pour former des requêtes de recherche complexes mais efficaces afin d'obtenir des résultats optimisés.

Splunk prend en charge toutes les principales versions du système d'exploitation, comporte des étapes d'installation très simples et peut être opérationnel en moins de 10 minutes sur n'importe quelle plate-forme.

Les journaux peuvent être ingérés dans Splunk de trois manières :

  • Téléchargement manuel
  • Agent transitaire
  • Via une IP/Port TCP

Splunk doit être correctement configuré pour analyser et transformer les journaux de manière appropriée. Certains des aspects importants sont :

  • Rupture d'événement :
    • Configurez Splunk pour interrompre correctement les événements.
  • Événements multilignes :
    • Configurez Splunk pour configurer correctement les événements multilignes.
  • Masquage :
    • Certains journaux peuvent contenir des données sensibles telles que des données de carte de crédit. Pour se conformer à la norme PCI DSS (Payment Card Industry Data Security Standard), les informations telles que les numéros de carte de crédit doivent être masquées pour éviter toute violation.
  • Extraction des champs personnalisés :

Pour analyser correctement les formats de journaux uniques avec Splunk, nous suivons les étapes ci-dessous :

Comprendre le format des données

De nombreux types de données, notamment CSV, JSON, XML, syslog et autres, sont pris en charge par Splunk. Choisissez les champs appropriés que vous souhaitez extraire et le format de votre source de données.

Identifiez le type de source

Le format des données indexées est représenté par le type de source dans Splunk. Cela facilite l'utilisation par Splunk des règles d'analyse appropriées. Vous pouvez créer un nouveau type de source dans Splunk si votre source de données n'en possède pas déjà un.

Configurer les fichiers requis

À savoir props.conf, inputs.conf et transforms.conf

Enfin, redémarrez Splunk

Réponses de la salle | Analyse des événements et analyse des journaux avec Splunk | EssayezHackMe Fixit

Quel est le chemin complet du répertoire de l'application FIXIT ?

/opt/splunk/etc/apps/fixit

Quelle strophe allons-nous utiliser pour définir la limite de l'événement dans ce cas d'événement multiligne ?

BREAK_ONLY_BEFORE

Dans le fichier inputs.conf, quel est le chemin complet du script des journaux réseau ?

/opt/splunk/etc/apps/fixit/bin/network-logs

Quel modèle d'expression régulière nous aidera à définir le début de l'événement ?

[Journal réseau]

Quel est le domaine capturé ?

Cybertees.THM

Combien de pays sont capturés dans les journaux ?

12

Combien de départements sont capturés dans les journaux ?

6

Combien de noms d’utilisateur sont capturés dans les journaux ?

28

Combien d’adresses IP sources sont capturées dans les journaux ?

52

Quels fichiers de configuration ont été utilisés pour résoudre notre problème ? [Ordre alphabétique : Fichier1, fichier2, fichier3]

props.conf, transformations.conf, champs.conf

WQuels sont les deux principaux pays à partir desquels l'utilisateur Robert a tenté d'accéder au domaine ? [Réponse séparée par des virgules et par ordre alphabétique][Format : Pays1, Pays2]

Canada, États-Unis

Quel utilisateur a accédé au document-secret.pdf sur le site ?

Sarah Hall

Présentation vidéo | EssayezHackMe Fixit

, , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles