Abbiamo discusso dei file di configurazione di Splunk, ovvero props.conf,transforms.conf,fields.conf,inputs.conf, indexes.conf e menzionato lo scopo e l'obiettivo di ciascuno di essi. I file di configurazione Splunk vengono utilizzati per configurare le regole di analisi dei log, l'estrazione dei campi e impostare le regole di archiviazione e conservazione dei log. Utilizza questi file di configurazione quando Splunk non estrae correttamente i campi dal file di registro fornito o quando disponi di un formato univoco per i tuoi registri. A scopo dimostrativo, abbiamo risolto Prova la sfida HackMe Fixit che ci permette di mettere alla prova praticamente le nostre conoscenze nella configurazione delle regole di parsing dei log con Splunk.
Corso completo Splunk SIEM con scenari pratici
Punti salienti
Splunk è una potente soluzione SIEM che offre la possibilità di cercare ed esplorare i dati della macchina. Linguaggio di elaborazione della ricerca (SPL) viene utilizzato per rendere la ricerca più efficace. Comprende varie funzioni e comandi utilizzati insieme per formare query di ricerca complesse ma efficaci per ottenere risultati ottimizzati.
Splunk supporta tutte le principali versioni del sistema operativo, prevede passaggi di installazione molto semplici e può essere installato e funzionante in meno di 10 minuti su qualsiasi piattaforma.
I log possono essere importati in Splunk con tre metodi:
- Caricamento manuale
- Agente spedizioniere
- Attraverso un IP/porta TCP
Splunk deve essere configurato correttamente per analizzare e trasformare i log in modo appropriato. Alcuni degli aspetti importanti sono:
- Interruzione dell'evento:
- Configura Splunk per interrompere correttamente gli eventi.
- Eventi multilinea:
- Configura Splunk per configurare correttamente gli eventi multilinea.
- Mascheramento:
- Alcuni registri potrebbero contenere dati sensibili come i dati della carta di credito. Per conformarsi allo standard PCI DSS (Payment Card Industry Data Security Standard), informazioni come i numeri di carta di credito devono essere mascherate per evitare qualsiasi violazione.
- Estrazione dei campi personalizzati:
Per analizzare correttamente formati di registro univoci con Splunk, seguiamo i passaggi seguenti:
Comprendere il formato dei dati
Molti tipi di dati, inclusi CSV, JSON, XML, syslog e altri, sono supportati da Splunk. Scegli i campi appropriati che desideri estrarre e il formato della tua origine dati.
Identificare il tipo di origine
Il formato dei dati da indicizzare è rappresentato dal tipo di origine in Splunk. Facilita l'uso da parte di Splunk delle regole di analisi corrette. Puoi creare un nuovo tipo di origine in Splunk se la tua origine dati non ne ha già uno.
Configura i file richiesti
Vale a dire props.conf, input.conf e trasforma.conf
Infine riavvia Splunk
Risposte in camera | Analisi eventi e analisi dei log con Splunk | Prova HackMe Fixit
Qual è il percorso completo della directory dell'app FIXIT?
/opt/splunk/etc/apps/fixit
Quale stanza useremo per definire il confine dell'evento in questo caso di evento su più righe?
BREAK_ONLY_BEFORE
In input.conf, qual è il percorso completo dello script network-logs?
/opt/splunk/etc/apps/fixit/bin/network-logs
Quale modello regex ci aiuterà a definire l'inizio dell'evento?
[Registro di rete]
Qual è il dominio catturato?
Cybertees.THM
Quanti paesi vengono catturati nei registri?
12
Quanti dipartimenti vengono catturati nei registri?
6
Quanti nomi utente vengono catturati nei log?
28
Quanti IP di origine vengono acquisiti nei log?
52
Quali file di configurazione sono stati utilizzati per risolvere il nostro problema? [Ordine alfabetico: File1, file2, file3]
props.conf, trasforma.conf, campi.conf
WQuali sono i due principali paesi da cui l'utente Robert ha tentato di accedere al dominio? [Risposta separata da virgole e in ordine alfabetico] [Formato: Paese1, Paese2]
Canada, Stati Uniti
Quale utente ha effettuato l'accesso al secret-document.pdf sul sito web?
Sara Sala
Video Soluzione | Prova HackMe Fixit