Nous avons expliqué le processus d'installation et de configuration de Splunk en montrant les étapes qui impliquent de choisir le rôle de Splunk s'il s'agira de serveur principal ou de redirecteur, de configurer les redirecteurs pour collecter les journaux et de créer les index qui stockent les journaux collectés. Nous avons démontré un scénario pratique qui implique le téléchargement manuel des journaux du serveur Web sur une instance principale de Splunk. Cela faisait partie de TryHackMe Splunk : configurer un laboratoire SOC qui fait partie de la piste TryHackMe SOC Niveau 2.
Cet article comprend également les réponses pour TryHackMe Splunk : tableaux de bord et rapports et TryHackMe Splunk : manipulation de données pièces.
Cours complet Splunk SIEM avec scénarios pratiques
Points forts
Splunk est une solution SIEM puissante qui offre la possibilité de rechercher et d'explorer les données des machines. Langage de traitement de recherche (SPL) est utilisé pour rendre la recherche plus efficace. Il comprend diverses fonctions et commandes utilisées ensemble pour former des requêtes de recherche complexes mais efficaces afin d'obtenir des résultats optimisés.
Splunk prend en charge toutes les principales versions du système d'exploitation, comporte des étapes d'installation très simples et peut être opérationnel en moins de 10 minutes sur n'importe quelle plate-forme.
Les journaux peuvent être ingérés dans Splunk de trois manières :
- Téléchargement manuel
- Agent transitaire
- Via une IP/Port TCP
Réponses de la salle | TryHackMe Splunk : configurer un laboratoire SOC
Quel est le port par défaut pour Splunk ?
8000
Dans Splunk, quelle est la commande pour rechercher le terme coffely dans les logs ?
./bin/splunk recherche coffely
Quel est le port par défaut sur lequel Splunk Forwarder s’exécute ?
8089
Suivez les mêmes étapes et ingérez /var/log/auth.log
fichier dans l’index Splunk Linux_logs. Quelle est la valeur du champ sourcetype ?
journal système
Créez un nouvel utilisateur nommé analyst à l'aide de la commande analyste d'ajout d'utilisateurs
. Une fois créé, examinez les événements générés dans Splunk liés à l'activité de création d'utilisateur. Combien d’événements sont renvoyés suite à la création d’un utilisateur ?
6
Quel est le chemin du groupe auquel l'utilisateur est ajouté après sa création ?
Quel est le port par défaut sur lequel Splunk s’exécute ?
8000
Cliquez sur l'onglet Ajouter des données ; combien de méthodes sont disponibles pour l’ingestion de données ?
3
Cliquez sur l'option Moniteur ; quelle est la première option affichée dans la liste de surveillance ?
Journaux d'événements locaux
Quel est le chemin complet dans les fichiers C:\Program où le redirecteur Splunk est installé ?
C:\Program Files\SplunkUniversalForwarder
Quel est le port par défaut sur lequel Splunk configure le redirecteur ?
9997
Lors de la sélection des journaux d'événements locaux à surveiller, combien de journaux d'événements sont disponibles à sélectionner dans la liste à surveiller ?
5
Recherchez les événements avec EventCode=4624. Quelle est la valeur du champ Message ?
Un compte a été connecté avec succès.
Dans le laboratoire, visitez http://coffely.thm/secret-flag.html ; il affichera les journaux historiques des commandes passées jusqu'à présent. Trouvez le drapeau dans l'un des journaux.
{COffely_Is_Best_iN_TOwn}
Réponses de la salle | Splunk : tableaux de bord et rapports
Quel terme de recherche nous montrera les résultats de tous les indices dans Splunk ?
indice=*
Créez un rapport à partir de l'hôte des journaux du serveur réseau qui répertorie les ports utilisés dans les connexions réseau et leur nombre. Quel est le nombre le plus élevé de fois qu’un port est utilisé dans les connexions réseau ?
5
Lors de la création de rapports, quelle option devons-nous activer pour pouvoir choisir la plage horaire du rapport ?
sélecteur de plage horaire
Créez un tableau de bord à partir des journaux du serveur Web qui affiche les codes d'état dans un graphique linéaire. Quel code d’état a été observé le moins de fois ?
400
Quel est le nom du constructeur de tableaux de bord Splunk traditionnel ?
classique
Quelle fonctionnalité pouvons-nous utiliser pour que Splunk prenne certaines mesures en notre nom ?
déclencher des actions
Quel type d’alerte se déclenchera dès qu’un événement se produit ?
Temps réel
Quelle option, lorsqu'elle est activée, n'enverra qu'une seule alerte dans le délai spécifié, même si les conditions de déclenchement se reproduisent ?
Manette de Gaz
Réponses de la salle | Splunk : manipulation de données
Combien de scripts Python sont présents dans le ~/Téléchargements/scripts
annuaire?
3
Quelle strophe est utilisée dans les fichiers de configuration pour interrompre les événements selon le modèle fourni ?
BREAK_ONLY_AFTER
Quelle strophe est utilisée pour spécifier le modèle du saut de ligne dans les événements ?
LINE_BREAKER
Quel fichier de configuration permet de définir les transformations et enrichissements sur les champs indexés ?
transformations.conf
Quel fichier de configuration est utilisé pour définir les entrées et les moyens de collecter des données provenant de différentes sources ?
entrées.conf
Si vous créez une application sur Splunk nommée THM, quel sera son chemin complet sur cette machine ?
/opt/splunk/etc/apps/THM
Quel fichier de configuration est utilisé pour spécifier les règles d'analyse ?
accessoires.conf
Quelle expression régulière est utilisée dans le cas ci-dessus pour interrompre les événements ?
(DÉCONNECTER|CONNECTER)
Quelle strophe est utilisée dans la configuration pour forcer Splunk à interrompre l'événement selon le modèle spécifié ?
MUST_BREAK_AFTER
Si nous voulons désactiver la fusion de lignes, quelle sera la valeur de la strophe SHOULD_LINEMERGE?
FAUX
Quelle strophe est utilisée pour briser la limite de l'événement avant qu'un modèle ne soit spécifié dans le cas ci-dessus ?
BREAK_ONLY_BEFORE
Quel modèle d'expression régulière est utilisé pour identifier les limites de l'événement dans le cas ci-dessus ?
[Authentification]
Quelle strophe est utilisée pour interrompre l'événement après le modèle d'expression régulière spécifié ?
MUST_BREAK_AFTER
Quel est le modèle d'utilisation de SEDCMD dans props.conf pour masquer ou remplacer les champs sensibles ?
s/ancienneValeur/nouvelleValeur/g
Extrayez le champ Nom d'utilisateur des journaux d'achat de type source sur lesquels nous avons travaillé précédemment. Combien d'utilisateurs ont été renvoyés dans le champ Nom d'utilisateur après l'extraction ?
14
Extrayez les valeurs de carte de crédit des journaux d'achat de type source. Combien de numéros de carte de crédit uniques sont renvoyés dans le champ Carte de crédit ?
16
Présentation vidéo | TryHackMe Splunk : configurer un laboratoire SOC