{"id":14290,"url":"\/distributions\/14290\/click?bit=1&hash=bece6ae8cf715298895ba844b6416416882fe02c5d18dab2837319deacd2c478","title":"\u041a\u043e\u0440\u043f\u043e\u0440\u0430\u0446\u0438\u0438 \u043a\u0430\u043a \u043d\u0438\u043a\u043e\u0433\u0434\u0430 \u0440\u0430\u043d\u044c\u0448\u0435 \u0445\u043e\u0442\u044f\u0442 \u0441\u043e\u0442\u0440\u0443\u0434\u043d\u0438\u0447\u0430\u0442\u044c \u0441 \u043c\u0430\u043b\u044b\u043c \u0431\u0438\u0437\u043d\u0435\u0441\u043e\u043c","buttonText":"","imageUuid":""}
Isaiah Chance

Понимание Splunk для начинающих

Подключение источников для понимания потенциальных атак

Через несколько дней у меня собеседование по кибербезопасности, где Splunk будет активно использоваться. Основываясь на документации Splunk, это будет введение.

Photo by Clint Adair on Unsplash

Splunk — это система безопасности и информации. Управление событиями (SIEM). SIEM обеспечивают анализ и мониторинг событий в режиме реального времени для проведения расследований и соблюдения нормативных требований. Они обычно используются для распознавания потенциальных угроз безопасности и уязвимостей.
Splunk Enterprise будет версией Splunk, которую мы будем использовать для мониторинга нашей организации. Его можно использовать для поиска, анализа и визуализации данных. Мы можем отслеживать веб-сайты, приложения, устройства и т. д. Как только мы добавляем данные в наш экземпляр, Splunk индексирует данные и разбирает их на отдельные события, которые можно искать.

Быстрое предупреждение: для тестирования программного обеспечения необходимо использовать временная почта. в противном случае во время тестирования потенциального вреда. Вредоносные программы могут заразить ваш раздел электронной почты или ноутбук или использовать какую-либо другую электронную почту или ноутбук, где нет личных данных. так что если что-то не так. Вы можете отформатировать свой ноутбук или ПК.

Installation:

Мы используем Linux и macOS в нашей среде, мы будем использовать файл TAR для Linux и установщик DMG для macOS.
Приложение находится в каталоге /opt. Выполните следующую команду, чтобы установить Splunk Enterprise в Linux:

Download the packagetar xvzf splunk_package_name.tgz -C /opt./splunk start# Follow the prompts# Launch http://localhost:8000

If you don’t want the installation all through your computer, please follow the instructions for the Docker version:

Docker Setup for Cybersecurity

TL;DR- Docker: an open source container software for Linux, MacOS, and Windows. It’s used by cybersecurity pen-testers…

Splunk Web:

The online UI access: http://localhost:8000

When going to login, this is what Splunk web looks like:

Apps PanelThis lists the application that’s installed on your Splunk instance. It’s important to note that if you don’t have access to an app in your organization, you won’t see the app in your apps panel.

  • Searching and Reporting: The Splunk Search & Reporting app or Search app is the primary interface we will interact with. The Search app is where we will run searches, save reports, and create dashboards.

Explore Splunk Enterprise PanelThis panel includes access to your Splunk instance and Splunk documentation.

  • Product Tours: Links to documentation
  • Splunk Apps: Access to documentation

Splunk BarLocated at the very top of your page, it includes Licensing information, messages from splunkd, settings, activity, and a Find bar.

Adding Data:

Вот форматы, которые Splunk поддерживает по умолчанию.
Вот компоненты Splunk Enterprise:
Компоненты будут работать вместе для анализа данных и извлечения связанных данных. Чтобы добавить данные, выберите «Добавить данные» на главном экране «Поиск и поиск». Страница отчетов

Searching Summary

We’re going to dive into the below picture.

  • App Menu: shows what app we’re currently using — we’re currently using the Search & Reporting app
  • Splunk Bar: licensing information, messages from splunkd, settings, activity, and a Find bar (see above)
  • Apps Bar: within the Search & Reporting app, we have different views — Search, Analytics, Datasets, Reports, Alerts, and Dashboards
  • Search Bar: search criteria
  • Time Range Picker: specify timerange — default is last 24 hours
  • How to Search: help documentation
  • IGNORE — this is specifically for Splunk Cloud
  • Search History: view search history

After conducting a search, we see the following:

  • Apps Bar: different views — Search, Analytics, Datasets, Reports, Alerts, and Dashboards
  • Search Bar: search criteria
  • Time Range Picker: specify time range
  • Actions Picker: sharing, printing, or exporting
  • Results Tab: select how you want the results to display — show Events, Patterns, Statistics, or as a Visualization
  • Search Mode: Smart mode (default), Fast mode (not too specific), Verbose mode (everything)
  • Timeline: show peaks and valleys of spikes of activity and downtime
  • Fields Sidebar: fields pulled from the events — includes selected and interesting fields
  • Event Viewer: list event details, default to see most recent
  • Save As: Report, Dashboard Panel, Alert, or Event Type

Let’s look more at the time range picker. By default, the time range is last 24 hours. However, we can use a Preset, Relative, Real-time, Date Range, Data & Time Range, and Advanced. Date Range is my favorites!

Helpful Resources:

53 показа
558 открытий
0
Комментарии
Написать комментарий...
-3 комментариев
Раскрывать всегда