Abbiamo spiegato il processo di installazione e configurazione di Splunk mostrando i passaggi che implicano la scelta del ruolo di Splunk se sarà server principale o forwarder, configurando i forwarder per raccogliere i log e creare gli indici che memorizzano i log raccolti. Abbiamo dimostrato uno scenario pratico che prevede il caricamento manuale dei log del server Web su un'istanza principale di Splunk. Questo faceva parte TryHackMe Splunk: configurazione di un laboratorio SOC che fa parte del percorso TryHackMe SOC Livello 2.
Questo post include anche le risposte per TryHackMe Splunk: dashboard e report E TryHackMe Splunk: manipolazione dei dati camere.
Corso completo Splunk SIEM con scenari pratici
Punti salienti
Splunk è una potente soluzione SIEM che offre la possibilità di cercare ed esplorare i dati della macchina. Linguaggio di elaborazione della ricerca (SPL) viene utilizzato per rendere la ricerca più efficace. Comprende varie funzioni e comandi utilizzati insieme per formare query di ricerca complesse ma efficaci per ottenere risultati ottimizzati.
Splunk supporta tutte le principali versioni del sistema operativo, prevede passaggi di installazione molto semplici e può essere installato e funzionante in meno di 10 minuti su qualsiasi piattaforma.
I log possono essere importati in Splunk con tre metodi:
- Caricamento manuale
- Agente spedizioniere
- Attraverso un IP/porta TCP
Risposte in camera | TryHackMe Splunk: configurazione di un laboratorio SOC
Qual è la porta predefinita per Splunk?
8000
In Splunk, qual è il comando per cercare il termine coffely nei log?
./bin/splunk cerca coffely
Qual è la porta predefinita su cui viene eseguito Splunk Forwarder?
8089
Segui gli stessi passaggi e ingerisci /var/log/auth.log
file nell'indice Splunk Linux_logs. Qual è il valore nel campo sourcetype?
syslog
Crea un nuovo utente denominato analista utilizzando il comando analista adduser
. Una volta creato, guarda gli eventi generati in Splunk relativi all'attività di creazione dell'utente. Quanti eventi vengono restituiti come risultato della creazione dell'utente?
6
Qual è il percorso del gruppo a cui viene aggiunto l'utente dopo la creazione?
Qual è la porta predefinita su cui viene eseguito Splunk?
8000
Fare clic sulla scheda Aggiungi dati; quanti metodi sono disponibili per l'acquisizione dei dati?
3
Fare clic sull'opzione Monitor; qual è la prima opzione mostrata nell'elenco di monitoraggio?
Registri eventi locali
Qual è il percorso completo in C:\Programmi in cui è installato Splunk forwarder?
C:\Programmi\SplunkUniversalForwarder
Qual è la porta predefinita su cui Splunk configura il forwarder?
9997
Durante la selezione dei registri eventi locali da monitorare, quanti registri eventi sono disponibili da selezionare dall'elenco da monitorare?
5
Cerca gli eventi con EventCode=4624. Qual è il valore del campo Messaggio?
Un account è stato collegato con successo.
Nel laboratorio, visita http://coffely.thm/secret-flag.html; visualizzerà lo storico degli ordini effettuati finora. Trova la bandiera in uno dei registri.
{COffely_Is_Best_iN_TOwn}
Risposte in camera | Splunk: dashboard e report
Quale termine di ricerca ci mostrerà i risultati di tutti gli indici in Splunk?
indice=*
Crea un report dall'host dei log del server di rete che elenca le porte utilizzate nelle connessioni di rete e il relativo conteggio. Qual è il numero massimo di volte in cui viene utilizzata una porta nelle connessioni di rete?
5
Durante la creazione dei report, quale opzione dobbiamo abilitare per poter scegliere l'intervallo di tempo del report?
selettore dell'intervallo di tempo
Crea una dashboard dai log del server Web che mostri i codici di stato in un grafico a linee. Quale codice di stato è stato osservato per il minor numero di volte?
400
Qual è il nome del tradizionale generatore di dashboard Splunk?
classico
Quale funzionalità possiamo utilizzare per fare in modo che Splunk esegua alcune azioni per nostro conto?
innescare azioni
Quale tipo di avviso verrà attivato nell'istante in cui si verifica un evento?
Tempo reale
Quale opzione, se abilitata, invierà un solo avviso nell'orario specificato anche se le condizioni di attivazione si ripresentano?
acceleratore
Risposte in camera | Splunk: manipolazione dei dati
Quanti script Python sono presenti nel file ~/Download/script
rubrica?
3
Quale stanza viene utilizzata nei file di configurazione per interrompere gli eventi dopo il modello fornito?
BREAK_SOLO_DOPO
Quale stanza viene utilizzata per specificare il modello per l'interruzione di riga all'interno degli eventi?
LINE_BREAKER
Quale file di configurazione viene utilizzato per definire trasformazioni e arricchimenti sui campi indicizzati?
trasforma.conf
Quale file di configurazione viene utilizzato per definire input e modi per raccogliere dati da diverse fonti?
input.conf
Se crei un'app su Splunk denominata THM, quale sarà il suo percorso completo su questa macchina?
/opt/splunk/etc/apps/THM
Quale file di configurazione viene utilizzato per specificare le regole di analisi?
props.conf
Quale regex viene utilizzata nel caso precedente per interrompere gli eventi?
(DISCONNETTI|CONNETTI)
Quale stanza viene utilizzata nella configurazione per forzare Splunk a interrompere l'evento dopo il modello specificato?
MUST_BREAK_DOPO
Se vogliamo disabilitare l'unione delle righe, quale sarà il valore della stanza DOVREBBE_LINEMERGE?
falso
Quale stanza viene utilizzata per superare il limite dell'evento prima che venga specificato un modello nel caso precedente?
BREAK_ONLY_BEFORE
Quale modello regex viene utilizzato per identificare i confini degli eventi nel caso precedente?
[Autenticazione]
Quale stanza viene utilizzata per interrompere l'evento dopo il modello regex specificato?
MUST_BREAK_DOPO
Qual è lo schema di utilizzo di SEDCMD in props.conf per mascherare o sostituire i campi sensibili?
s/vecchioValore/nuovoValore/g
Estrai il campo Nome utente dal sourcetype Purchase_logs su cui abbiamo lavorato in precedenza. Quanti Utenti sono stati restituiti nel campo Nome Utente dopo l'estrazione?
14
Estrai i valori della carta di credito dal sourcetype Purchase_logs, quanti numeri di carta di credito univoci vengono restituiti nel campo Carta di credito?
16
Video Soluzione | TryHackMe Splunk: configurazione di un laboratorio SOC