Splunk. Table color

Приветствую, уважаемый читатель!

Предлагаю продолжить разбираться в пряниках, которые разработчика Splunk внедрили в версии 6.5. Как я уже говорил, с каждой новой версией работать становится всё проще и удобнее. Для вывода информации на дашборды часто используется визуальный элемент «Table», со списком полей из sourcetype. Сегодня я покажу, как можно подсветить или выделить значения нужных нам полей.

Splunk. Установка и настройка Splunk Forwarder.

Приветствую, уважаемый читатель!

По моему мнению, каждая хорошая SIEM-система должна уметь получать события со всего, до чего может дотянуться  всеми возможными способами, в т.ч. с помощью программных агентов. О них сегодня и пойдет речь, применительно к Splunk – Splunk Universal Forwarder. Очень удобная и простая в настройке вещь J

Защищаемся заголовками. Настройка HPKP и HSTS.

Приветствую, уважаемый читатель!

Размышляя над фразой «Безопасности много не бывает», решил внедрить для веб-сервера Apache механизмы обеспечения безопасности HTTP Public Key Pining (HPKP) и HTTP Strict Transport Security (HSTS) и оценить насколько это просто или сложно. Полученный опыт ниже.   

Windows. Контроль запускаемого ПО

Приветствую, уважаемый читатель!

Недавно читал различные материалы по мониторингу событий безопасности Windows и наткнулся на интересную статью - https://habrahabr.ru/post/202914/. Мне понравилась идея, но реализацию я решил слегка переработать. Учитывая, что пользователи часто являются самым слабым звеном в системе безопасности, контроль  запускаемых на их компьютерах программ бывает очень полезен. Эту тему и рассмотрим сегодня.

Splunk SPL. Используем stats | eventstats | streamstats | timechart | bucket

Приветствую, уважаемый читатель!

От умения правильно использовать операторы SPL (Search Processing Language) в Splunk зависит очень многое, это и создание сложных выборок событий, скорость работы самих запросов, полезность дашбордов, нормализация событий и т.д. Ниже будет приведен некоторый опыт работы с популярными операторами SPL (stats, eventstats, streamstats, timechart, bucket).

Splunk. Получаем сканы Nessus

Приветствую, уважаемый читатель!

Сегодня хочу продолжить повествование о сканере уязвимостей Nessus и рассказать, как его можно подружить со Splunk. С точки зрения SIEM, Nessus представляет очень ценный источник событий безопасности, т.к. с его помощью можно более уверенно говорить об успешности или не успешности атаки.

Splunk. Использование Choropleth Maps.

Приветствую, уважаемый читатель!

Недавно вышел новый релиз Splunk – Splunk 6.5. С каждым релизом многие вещи в системе значительно упрощаются и становятся удобнее в использовании. Сегодня расскажу о новом виджете для дашбордов, а именно о Choropleth MAP, который является логическим продолжением виджетов для базы GeoIP.

Nessus. Rest API

Приветствую, уважаемый читатель!

Сегодня хочу написать про сканер уязвимостей Nessus, а точнее про способ управления Nessus через Rest API. Такая необходимость может возникнуть, если хочется автоматизировать запуск сканирования интересующих ip-адресов при наступлении какого-либо события.

Linux. Правила iptables из python

Приветствую, уважаемый читатель!

Столкнулся с необходимостью писать новые правила для iptables из python. Решил поделиться найденными вариантами, как это можно сделать.

Splunk. Немного о безопасности

Приветствую, уважаемый читатель!

Хотел бы поделиться несколькими известными мне механизмами обеспечения безопасности Splunk-сервера от несанкционированных подключений. Проблема особенно остро встает, если вы используете лицензию отличную от Enterprise.

Splunk. Использование Search macros

Приветствую, уважаемый читатель!

На мой взгляд, одной из задач SIEM-систем является автоматизация контроля над происходящими в инфраструктуре событиями, т.е. не надо смотреть в десятки консолей администрирования средств защиты. В случае со Splunk мы сами создаём себе инструмент для автоматизации контроля. Достигается это, в том числе, с использованием языка запросов (SPL), в котором предусмотрены возможности по автоматизации и имя им – поисковые макросы (Search macros). :)

Splunk. PowerShell. Использование REST API

Привет, читатель!

Хочу немного дополнить информацией предыдущий пост - Splunk. Использование REST API. В прошлый раз для создания запроса в Splunk и получения списка событий мы использовали Python, а в этот раз нас выручит PowerShell.  

Splunk. Использование REST API

Приветствую, уважаемый читатель!

До сих пор мы рассматривали Splunk исключительно как средство сбора и анализа событий. Иногда возможны ситуации, когда нам необходимо получить события, которые уже собрал и проиндексировал Splunk, т.е. сам Splunk выступит источником событий. Сегодня я расскажу, как использовать Splunk в этом качестве :)

Splunk. Urldecode в props.conf

Привет, читатель!

В этом небольшом посте, хочу рассказать о полезной возможности Splunk, а именно об автоматическом выполнении преобразований значений полей с помощью eval. Это позволит немного упростить запросы, а логику преобразований вынести в конфигурационный файл props.conf.

Splunk. Fields extraction

Приветствую, уважаемый читатель!

Рассматривая возможности Splunk, мы совсем не коснулись темы парсинга событий, а конкретно - получения нужных нам полей из события. Данный механизм, на мой взгляд, реализован в Splunk очень круто и позволяет не только извлекать поля из событий, но и группировать их по приложениям. Об этом и поговорим J

Powershell. Контролируем сетевую активность.

Приветствую, уважаемый читатель!

Хотел бы сегодня поделится опытом решения следующей задачи: запрет соединения с ресурсами сети Интернет, при установлении соединения с конкретным IP-адресом. Не скажу, что данная задача является типовой и очень востребованной, но процесс её решения заставил придумывать нестандартные ходы. Будут освещены вопросы архитектуры скрипта, который сможет выполнять данную задачу, и показаны примеры работы с брандмауэром Windows из powershell. Кто заинтересовался, прошу ниже.

Splunk. Dashboards. Добавляем динамики

Приветствую, уважаемый читатель!

Хотел бы продолжить тему разработки дашбордов в Splunk для визуализации событий. При определенных усилиях дашборды в Splunk можно превратить в очень мощный и динамичный инструмент для проведения аналитики. Сегодня мы исследуем возможности визуального элемента Statistic Table, а именно научимся совершать из таблицы переходы на внешние ресурсы и передавать токены из таблицы в произвольный элемент и т.д.

Vulners. Получаем список эксплойтов

Приветствую, уважаемый читатель!

Относительно недавно узнал про публичный сервис, который агрегирует информацию об уязвимостях, багах, эксплойтах и прочем ИБ-контенте, а именно о Vulners.com. Крайне удобная и полезная фишка данного сервиса, это возможность поиска публичных эксплойтов по CVE-номеру. Мне её очень не хватало, и приходилось ручками пробегаться по exploitdb, metasploit, securityfocus и т.д. Теперь всё в прошлом, пример автоматизации ниже J  

Splunk. Подключаем списки серверов Proxy и Tor. Часть 3.

Приветствую, уважаемый читатель!

Сегодня мы завершим обсуждение темы подключения списков Proxy и TOR к Splunk, а именно научимся использовать собранные данные в своих запросах, т.е. подключать к запросам данные из СУБД MySQL.

Splunk. Подключаем списки серверов Proxy и Tor. Часть 2.

Приветствую, уважаемый читатель!

Продолжая тему подключения списков proxy-серверов и TOR, сегодня мы решим вопрос удобного хранения данных списков и их периодической актуализации. Пост будет не очень большим, скорее я объясню своё видение подключения таких источников данных к SIEM.

Splunk. Устанавливаем Splunk DB Connect.

Приветствую, уважаемый читатель!

Для продолжения темы подключения списков публичных прокси-серверов и TOR-серверов к Splunk, необходимо немного расширить его функционал, а конкретнее – научить работать с реляционными базами данных. Экспериментировать будем с СУБД MySQL, а доступ из Splunk будем осуществлять через приложение Splunk DB Connect.

Splunk. Подключаем списки серверов Proxy и Tor. Часть 1.

Приветствую, читатель!

Читая в очередной раз про проблемы анонимности в сети, меня посетила мысль, что было бы круто в процессе мониторинга иметь возможность выявлять конкретные активности, идущие с прокси-серверов (допустим публичных) и с выходных нод TOR-сети. И дополнительно посчитать, какой процент атак от общего числа происходит с использованием прокси или TOR. Результат моих измышлений ниже.

Splunk. Eval

Приветствую, уважаемый читатель!

Сегодня, я бы хотел поделиться с тобой знаниями об операторе преобразования значений - eval. По мере усложнения запросов на SPL, потребность в данном операторе сильно возрастает. Предназначен он для изменения значения в произвольном поле (field) в соответствии с условиями, которые мы установим. Описание работы и примеры ниже.

Splunk. Подключаем GeoIP.

Приветствую, уважаемый читатель!

В процессе функционирования SIEM, вопросы визуального представления собранных событий стоят далеко не на последнем месте, а иногда и на первом (особенно для менеджеров по продажам). Сегодня я покажу, как подключить к splunk базу GeoIP, и отрисовать на карте источники активности. Кому интересно, вам ниже.

Решаем задание от Yandex

Приветствую, уважаемый читатель!

На просторах интернета наткнулся на вакансию от яндекса - https://yandex.ru/jobs/vacancies/maintenance/infrstrsec_spec/ специалиста по инфраструктурной безопасности. Сама вакансия не особо интересовала, а вот тестовые задания меня заинтересовали, особенно 2-е задание, которое заключается в анализе pcap-файла с трафиком, сгенерированным каким-то эксплойт-паком. Мне оно показалось интересным, и я постарался ответить на поставленные вопросы.

HTTP. Исследуем useragent

Приветствую тебя, читатель!

Изучая access-лог Apache, я в очередной раз поразился многообразию существующих HTTP useragent. И в голове возникла мысль, интересно кто-нибудь их учитывает или может есть сервис, который позволяет получить по ним дополнительную информацию? Результат развития данной мысли ниже J

Splunk. Data Input's (Dynamic Options)

Приветствую, уважаемый читатель!

Сегодня я продолжу раскрывать тему создания дашбордов в Splunk, а если конкретнее, мы коснёмся раздела Dynamic Options, который присутствует у большинства селекторов (Data Inputs). Поняв принцип его работы, вы сможете очень сильно прокачать свои дашборды.

Splunk. Немного о Dashboard

Приветствую, уважаемый читатель!

Сегодня я расскажу о создании дашбордов в splunk, немного разберемся с токенами и запросами для визуальных элементов. Вообще, тема создания дашбордов и их настройки достаточно большая, и в одном посте всего не расскажешь, но основы заложим.

Начнем с простого, для чего могут быть необходимы дашборды в SIEM? Я выделяю две основные идеи, во-первых, конечно, для наглядной визуализации событий, в которых мы по каким-то критериям производим фильтрацию (объекты сетевой инфраструктуры, типы событий, сенсоры их породившие и т.д.), во-вторых дашборды в splunk хранят конкретные запросы к данным, и у нас нет необходимости постоянно помнить синтаксис кучи запросов.

Очень грубо можно назвать дашборд контейнером для запросов, которому мы средствами XML, CSS, JS, HTML придаём нужный вид. Начнем J

Masscan. Работаем по площадям.

Приветствую тебя, читатель!

Недавно задавался вопросом - "Вот выявил я в процессе мониторинга потенциально опасный IP-адрес или доменное имя, что дальше, с чего начать расследование инцидента?". Первое что можно сделать, это для безопасности заблокировать адрес на межсетевом экране, а дальше попытаться установить принадлежность и функциональность хоста. Любителям посканировать посвящается.

Особенно, когда вы видите что-то подобное :)

Автоматизируем борьбу со спамом

Привет, читатель!

Изучая приложение для Splunk - IPReputation, которое позволяет определить для каждого IP-адреса его репутацию, решил разобраться как оно работает и узнал для себя много интересного. Под репутацией понимается числовая характеристика каждого IP-адреса от 0 до 100, определяющая является ли IP-адрес спамерским. Чем выше число, тем спамер злобнее :)

Кому интересно, результаты ниже.

USB-носители. Часть 2.

В продолжение темы отображения подключенных USB-носителей, сегодня мы дополним числовые идентификаторы устройств человеческим описанием и посмотрим что получилось. Для этого воспользуемся файлом эталонов, которые немного переделаем под свои нужды

USB-носители. Часть 1.

Приветствую тебя, уважаемый читатель!

Тему сегодняшнего поста, я бы хотел посветить отображению подключенных USB-носителей (флешек, внешних хардов, токенов и т.д.). Тема контроля носителей вообще достаточно актуальная, особенно если в организации обрабатывается конфиденциальная информация или есть регламенты ограничивающие свободное использование носителей. Инструментом поиска подключенных носителей у нас будет powershell, а результаты мы упакуем в JSON-структуру и отправим на splunk . Кому интересно - жмём далее.