Splunk یکی از راه حل های پیشرو SIEM در بازار است که امکان جمع آوری ، تجزیه و تحلیل و همبستگی شبکه و سیاهههای مربوط به ماشین را در زمان واقعی فراهم می کند. در این اتاق ، اصول اولیه Splunk و ویژگی های آن و چگونگی دید بهتر فعالیت های شبکه و کمک به سرعت بخشیدن به تشخیص را بررسی خواهیم کرد.
Splunk دارای سه مؤلفه اصلی ، یعنی Forwarder ، Indexer و Search Head است. این مؤلفه ها در زیر توضیح داده شده است:
مروارید
Splunk Forward یک عامل سبک وزن است که در نقطه پایانی که در نظر گرفته می شود نصب شده است ، و وظیفه اصلی آن جمع آوری داده ها و ارسال آن به نمونه Splunk است. این بر عملکرد نقطه پایانی تأثیر نمی گذارد زیرا منابع بسیار کمی برای پردازش لازم است. برخی از منابع اصلی داده ها عبارتند از:
سرور وب تولید ترافیک وب.
Windows Machine تولید گزارش های رویداد Windows ، PowerShell و Sysmon.
میزبان لینوکس گزارش های میزبان محور.
تولید پایگاه داده درخواست های اتصال DB ، پاسخ ها و خطاها.
شاخص چلون
Splunk Indexer نقش اصلی را در پردازش داده های دریافت شده از Forwarders ایفا می کند. این داده ها را می گیرد ، آن را به جفت های ارزش میدان عادی می کند ، داده های داده را تعیین می کند و آنها را به عنوان رویدادها ذخیره می کند. داده های پردازش شده برای جستجو و تجزیه و تحلیل آسان است.
سر جستجو
SPLUNK SEARCE HEAD مکانی در برنامه جستجو و گزارشگری است که کاربران می توانند مطابق شکل زیر گزارش های فهرست بندی شده را جستجو کنند. هنگامی که کاربر یک اصطلاح را جستجو می کند یا از یک زبان جستجو معروف به زبان پردازش جستجوی Splunk استفاده می کند ، درخواست به فهرست نویس ارسال می شود و رویدادهای مربوطه به شکل جفت های ارزش فیلد بازگردانده می شوند.
سوال:
از کدام مؤلفه برای جمع آوری و ارسال داده ها از طریق نمونه Splunk استفاده می شود؟
پاسخ:
حمل کننده
کار 4: پیمایش Splunk
نوار چاشنی:
هنگامی که به Splunk دسترسی پیدا می کنید ، صفحه اصلی پیش فرض یکسان با تصویر زیر را مشاهده خواهید کرد.
…
لطفاً مستندات Splunk را در مورد پیمایش Splunk در اینجا مرور کنید.
سوال:
در برگه Add Data ، از کدام گزینه برای جمع آوری داده ها از پرونده ها و درگاه ها استفاده می شود؟
پاسخ:
نظارت
کار 5:
…
سوال:
داده های پیوست شده به این کار را بارگذاری کرده و یک فهرست “VPN_LOGS” ایجاد کنید. چند رویداد در پرونده ورود به سیستم وجود دارد؟
پاسخ:
2862
سوال:
چند رویداد ورود به سیستم توسط کاربر Maleena ضبط شده است؟
پاسخ:
سوال 5C:
نام مرتبط با IP 107.14.182.38 چیست؟
پاسخ:
سوال 5D:
تعداد رویدادهایی که از همه کشورها به جز فرانسه سرچشمه گرفته است؟
پاسخ:
سوال 5E:
چند رویداد VPN توسط IP 107.3.206.58 مشاهده شد؟
پاسخ:
این اتاق یک اتاق روشنگری بود زیرا دانش اساسی لازم برای کار با Splunk را به من می داد. حالا تا اتاق بعدی !!!
دست زدن به حادثه با چلپ چلوون
