Nous avons expliqué le processus d'installation et de configuration de Splunk en montrant les étapes qui impliquent de choisir le rôle de Splunk s'il s'agira de serveur principal ou de redirecteur, de configurer les redirecteurs pour collecter les journaux et de créer les index qui stockent les journaux collectés. Nous avons démontré un scénario pratique qui implique le téléchargement manuel des journaux du serveur Web sur une instance principale de Splunk. Cela faisait partie de TryHackMe Splunk : configurer un laboratoire SOC qui fait partie de la piste TryHackMe SOC Niveau 2.

Cet article comprend également les réponses pour TryHackMe Splunk : tableaux de bord et rapports et TryHackMe Splunk : manipulation de données pièces.

Notes de terrain Splunk SIEM

Cours complet Splunk SIEM avec scénarios pratiques

Points forts

Splunk est une solution SIEM puissante qui offre la possibilité de rechercher et d'explorer les données des machines. Langage de traitement de recherche (SPL) est utilisé pour rendre la recherche plus efficace. Il comprend diverses fonctions et commandes utilisées ensemble pour former des requêtes de recherche complexes mais efficaces afin d'obtenir des résultats optimisés.

Splunk prend en charge toutes les principales versions du système d'exploitation, comporte des étapes d'installation très simples et peut être opérationnel en moins de 10 minutes sur n'importe quelle plate-forme.

Les journaux peuvent être ingérés dans Splunk de trois manières :

  • Téléchargement manuel
  • Agent transitaire
  • Via une IP/Port TCP

Réponses de la salle | TryHackMe Splunk : configurer un laboratoire SOC

Quel est le port par défaut pour Splunk ?

8000

Dans Splunk, quelle est la commande pour rechercher le terme coffely dans les logs ?

./bin/splunk recherche coffely

Quel est le port par défaut sur lequel Splunk Forwarder s’exécute ?

8089

Suivez les mêmes étapes et ingérez /var/log/auth.log fichier dans l’index Splunk Linux_logs. Quelle est la valeur du champ sourcetype ?

journal système

Créez un nouvel utilisateur nommé analyst à l'aide de la commande analyste d'ajout d'utilisateurs. Une fois créé, examinez les événements générés dans Splunk liés à l'activité de création d'utilisateur. Combien d’événements sont renvoyés suite à la création d’un utilisateur ?

6

Quel est le chemin du groupe auquel l'utilisateur est ajouté après sa création ?

Quel est le port par défaut sur lequel Splunk s’exécute ?

8000

Cliquez sur l'onglet Ajouter des données ; combien de méthodes sont disponibles pour l’ingestion de données ?

3

Cliquez sur l'option Moniteur ; quelle est la première option affichée dans la liste de surveillance ?

Journaux d'événements locaux

Quel est le chemin complet dans les fichiers C:\Program où le redirecteur Splunk est installé ?

C:\Program Files\SplunkUniversalForwarder

Quel est le port par défaut sur lequel Splunk configure le redirecteur ?

9997

Lors de la sélection des journaux d'événements locaux à surveiller, combien de journaux d'événements sont disponibles à sélectionner dans la liste à surveiller ?

5

Recherchez les événements avec EventCode=4624. Quelle est la valeur du champ Message ?

Un compte a été connecté avec succès.

Dans le laboratoire, visitez http://coffely.thm/secret-flag.html ; il affichera les journaux historiques des commandes passées jusqu'à présent. Trouvez le drapeau dans l'un des journaux. 

{COffely_Is_Best_iN_TOwn}

Réponses de la salle | Splunk : tableaux de bord et rapports

Quel terme de recherche nous montrera les résultats de tous les indices dans Splunk ?

indice=*

Créez un rapport à partir de l'hôte des journaux du serveur réseau qui répertorie les ports utilisés dans les connexions réseau et leur nombre. Quel est le nombre le plus élevé de fois qu’un port est utilisé dans les connexions réseau ?

5

Lors de la création de rapports, quelle option devons-nous activer pour pouvoir choisir la plage horaire du rapport ?

sélecteur de plage horaire

Créez un tableau de bord à partir des journaux du serveur Web qui affiche les codes d'état dans un graphique linéaire. Quel code d’état a été observé le moins de fois ?

400

Quel est le nom du constructeur de tableaux de bord Splunk traditionnel ?

classique

Quelle fonctionnalité pouvons-nous utiliser pour que Splunk prenne certaines mesures en notre nom ?

déclencher des actions

Quel type d’alerte se déclenchera dès qu’un événement se produit ?

Temps réel

Quelle option, lorsqu'elle est activée, n'enverra qu'une seule alerte dans le délai spécifié, même si les conditions de déclenchement se reproduisent ?

Manette de Gaz

Réponses de la salle | Splunk : manipulation de données

Combien de scripts Python sont présents dans le ~/Téléchargements/scripts annuaire?

3

Quelle strophe est utilisée dans les fichiers de configuration pour interrompre les événements selon le modèle fourni ?

BREAK_ONLY_AFTER

Quelle strophe est utilisée pour spécifier le modèle du saut de ligne dans les événements ?

LINE_BREAKER

Quel fichier de configuration permet de définir les transformations et enrichissements sur les champs indexés ?

transformations.conf

Quel fichier de configuration est utilisé pour définir les entrées et les moyens de collecter des données provenant de différentes sources ?

entrées.conf

Si vous créez une application sur Splunk nommée THM, quel sera son chemin complet sur cette machine ?

/opt/splunk/etc/apps/THM

Quel fichier de configuration est utilisé pour spécifier les règles d'analyse ?

accessoires.conf

Quelle expression régulière est utilisée dans le cas ci-dessus pour interrompre les événements ?

(DÉCONNECTER|CONNECTER)

Quelle strophe est utilisée dans la configuration pour forcer Splunk à interrompre l'événement selon le modèle spécifié ?

MUST_BREAK_AFTER

Si nous voulons désactiver la fusion de lignes, quelle sera la valeur de la strophe SHOULD_LINEMERGE?

FAUX

Quelle strophe est utilisée pour briser la limite de l'événement avant qu'un modèle ne soit spécifié dans le cas ci-dessus ?

BREAK_ONLY_BEFORE

Quel modèle d'expression régulière est utilisé pour identifier les limites de l'événement dans le cas ci-dessus ?

[Authentification]

Quelle strophe est utilisée pour interrompre l'événement après le modèle d'expression régulière spécifié ?

MUST_BREAK_AFTER

Quel est le modèle d'utilisation de SEDCMD dans props.conf pour masquer ou remplacer les champs sensibles ?

s/ancienneValeur/nouvelleValeur/g

Extrayez le champ Nom d'utilisateur des journaux d'achat de type source sur lesquels nous avons travaillé précédemment. Combien d'utilisateurs ont été renvoyés dans le champ Nom d'utilisateur après l'extraction ?

14

Extrayez les valeurs de carte de crédit des journaux d'achat de type source. Combien de numéros de carte de crédit uniques sont renvoyés dans le champ Carte de crédit ?

16

Présentation vidéo | TryHackMe Splunk : configurer un laboratoire SOC

, , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles