Приветствую, уважаемый читатель!
Есть в Splunk операторы, которые создают фундамент для всех математических или аналитических запросов. Одним из таких операторов является stats. Как понятно из названия, он позволяет над группами событий выполнять различные статистические операции. Некоторые сценарии его использования покажу ниже.
Приветствую, уважаемый читатель!
Думаю всем очевидно, что угрозы подбора логина и пароля к какому-либо сервису в сети Интернет будут с нами пока в принципе есть пароли как аутентификатор. И пока они с нами, поизучать активность злоумышленников часто бывает полезно. Некоторые измышления на примере SSH ниже).
Приветствую, уважаемый читатель!
При проведении аттестации по требованиям безопасности информации уже достаточно давно необходимо подтвердить отсутствие уязвимостей критического и высокого уровня. Если на объекте есть САЗ - проблем нет, если САЗ нет на помощь приходит сканер от ФСТЭК (ScanOval). У данного сканера есть проблема, а именно экспорт результатов сканирования в формат, который позволит удобно работать с выявленными уязвимостями в SIEM.
Критиковать бесплатный инструмент дело неблагодарное, но работать как-то нужно. Не придумал ничего лучше, чем распарсить выходной HTML-файл отчёта, достать значимые поля и отправить в SIEM. Кому интересно, скрипт парсинга ниже)
Приветствую, уважаемый читатель!
С недавнего времени в России наконец-то наступила пора импортозамещения ПО. При всех очевидных плюсах данной работы, наружу вылезли большие и мелкие технические проблемы - совместимость ПО, централизованное управление ПО, разные настройки, вытирание слёз пользователей и т.д. Большие проблемы решаются в рамках больших контрактов с вендорами, а вот маленькие проблемы приходится решать самостоятельно и быстро.
Одна из очевидные проблем - централизованный учёт всех установленных пакетов в ОС (например, Astra Linux) для поиска уязвимых пакетов и дальнейшего устранения уязвимостей.
Кому интересно, добро пожаловать :)
Приветствую, уважаемый читатель!
Когда речь заходит о расследовании инцидентов ИБ в Windows сетях/системах, то в голове сразу мелькает мысль - зайду и поизучаю логи "Security", "Application", "System", там всё будет. Но если их специально стёрли или они сами себя потёрли со временем, то куда смотреть? Есть пара мыслей на этот счёт)
Приветствую, уважаемый читатель!
Для того чтобы передать время возникновения события в отдельном поле JSON-объекта через Splunk HTTP-коллектор необходимо формировать события в следующем виде (пример на PS):
В поле time необходимо указать время возникновения события в UnixEpoch Time. С какой-то версии Splunk по другому не получится.
В PS получить время в таком формате можно с помощью командлета New-TimeSpan:
(New-TimeSpan -Start (get-Date "01/01/1970") -End $EventTime).TotalSeconds
Если этого не сделать и Splunk не распознает время в JSON-объекте, то временем индексации события будет время получения события сервером Splunk. HTTP-коллектор это не Syslog, так что это может доставить кучу проблем. Хотя и с Syslog не так всё просто.....
Приветствую, уважаемый читатель!
Сегодня постараюсь быстро рассказать - как можно (один из способов) подключить централизованные журналы СЗИ НСД Secret Net Studio к Splunk. Сразу скажу, вопрос настройки передачи событий в real-time у меня в настоящее время не стоит :)
