Splunk. Подключаем списки серверов Proxy и Tor. Часть 3.

Приветствую, уважаемый читатель!

Сегодня мы завершим обсуждение темы подключения списков Proxy и TOR к Splunk, а именно научимся использовать собранные данные в своих запросах, т.е. подключать к запросам данные из СУБД MySQL.

Splunk. Подключаем списки серверов Proxy и Tor. Часть 2.

Приветствую, уважаемый читатель!

Продолжая тему подключения списков proxy-серверов и TOR, сегодня мы решим вопрос удобного хранения данных списков и их периодической актуализации. Пост будет не очень большим, скорее я объясню своё видение подключения таких источников данных к SIEM.

Splunk. Устанавливаем Splunk DB Connect.

Приветствую, уважаемый читатель!

Для продолжения темы подключения списков публичных прокси-серверов и TOR-серверов к Splunk, необходимо немного расширить его функционал, а конкретнее – научить работать с реляционными базами данных. Экспериментировать будем с СУБД MySQL, а доступ из Splunk будем осуществлять через приложение Splunk DB Connect.

Splunk. Подключаем списки серверов Proxy и Tor. Часть 1.

Приветствую, читатель!

Читая в очередной раз про проблемы анонимности в сети, меня посетила мысль, что было бы круто в процессе мониторинга иметь возможность выявлять конкретные активности, идущие с прокси-серверов (допустим публичных) и с выходных нод TOR-сети. И дополнительно посчитать, какой процент атак от общего числа происходит с использованием прокси или TOR. Результат моих измышлений ниже.