Splunk. TCP Input's

Приветствую, уважаемый читатель!

Давно что-то не писал ничего, но думаю вскоре исправлюсь :) Сегодня мы подключим к Splunk  TCP-сокет, который будет получать события, генерируемые powershell скриптом. На практике использование слушающих сокетов для получения событий встречается достаточно часто, например, получение событий через syslog. Итак приступим.

Splunk. Подключение Lookup таблицы

Приветствую тебя, читатель!

Данный пост я бы хотел посветить способу подстановки данных - Lookup (при определённых хитростях Lookup можно использовать даже для корреляции событий). Но обо всём по порядку. 

Предположим у нас есть событие с извлечёнными полями и в зависимости от значения поля необходимо дополнить событие информацией. Экспериментировать будем с логами веб-сервера Apache, а точнее с Access.log (живёт он тут - /var/log/apache2/access.log). Думаю подключить вы его сможете, тем более что Splunk из коробки понимает данный лог и извлекает все поля. Информация по использованию Lookup Вам очень сильно пригодится, если вы планируете активно использовать Splunk. 

Powershell. Прокачиваем Netstat.

Доброго дня, уважаемый читатель!


Во время расследования инцидентов ИБ связанных с аномальной или вредоносной сетевой активностью необходимо в первую очередь определить приложение или скрипт генерирующие трафик.

Предположим, что нам стал известен компьютер генерирующий аномальную активность и tcp/udp-порт источник данной активности. Скрипт, представленный ниже, позволяет получить соответствие между списком процессов и списком tcp/udp-портов.

Splunk. HTTP collector

Приветствую тебя, уважаемый читатель!

Хочу поведать тебе хорошую новость, в версии Splunk 6.3 появился новый Data Input – HTTP Collector. В принципе уже имеющихся вариантов подключения источников событий более чем достаточно, файлы, TCP/UDP-сокеты, скрипты, СУБД, выводы команд ОС, агенты для сбора (Splunk Forwarder), дополнительный софт который работает под управлением агентов и т.д.

Теперь можно научить SPlunk понимать специально сформированные HTTP POST запросы. Суть сводится к добавлению ещё одного заголовка. Кому интересно ниже объяснение J

Splunk. Отправка результатов запроса на почту

Доброго дня, уважаемый читатель!

Пока пишу большой пост посвященный созданию дашбордов для Splunk, решил написать небольшой пост про фишку, которую недавно заиспользовал. Заключается она в отправке результатов запроса на почтовый ящик. Наверное, старожилы SIEM-систем сейчас подумают - "детский сад" делается одной кнопкой в QRadar или Arcsight, но тем не менее кому-то будет интересно, да и плюс опишу пару новых операторов  :) 

Собственно, что нам понадобится для отправки - запрос, который что-нибудь посчитает, почтовый сервер - у меня exim4, и почтовый ящик куда пошлем - у меня yandex.ru.

Как настраивать сервер exim4 писать не буду, лучше почитайте здесь - http://lib.clodo.ru/email/exim_debian.html. Предположим, что он работает и всё хорошо. 

Splunk. Введение в SPL

Приветствую тебя, уважаемый читатель!

Продолжая тему изучения возможностей системы Splunk, я решил рассказать про возможности встроенного языка запросов к данным. Описать все его возможности и команды я не смогу (да и не все знаю), но общее представление о логике запросов вы получите.
Экспериментировать мы будем с логом замечательной софтины – Fail to Ban. Итак поехали! :)

Долго думал с чего начать, решил, что начну с объяснения, куда вбивать запрос и что должно получиться в итоге.  Подразумевается, что журнал Fail to Ban вы уже подключили по аналогии с примером из прошлого поста, хотя можете поэкспериментировать с журналом ОС Linux. Для удобства я назвал sourcetype – fail2ban. Сам файл лога лежит тут - /var/log/fail2ban.log.

Из коробки Splunk понимает формат данного лога и автоматом распарсит все события. Только незабываем выбрать опцию  -  continuously monitor ,  иначе события проиндексируются один раз.

Splunk. Установка и базовые понятия

Приветствую тебя, уважаемый читатель!

Данный пост я хочу посвятить набирающей большую популярность теме управления информационной безопасностью в организации и выявлению инцидентов ИБ. Для решения данной задачи придуман класс решений под названием - SIEM. Они позволяют решать большое количество разных задач, но нам будут интересны следующие:

• получение большого количества разнородных событий от различных сенсоров (IDS/IPS, системные журналы, СУБД, антивирусные системы, средства анализа защищенности и т.д.);
• анализ и сопоставление событий от разных сенсоров между собой;
• удобное отображение информации о состоянии защищенности объектов мониторинга;
• генерация оповещений и регистрация инцидентов ИБ.

Различных SIEM-систем достаточно много (вот тут приведён достаточно большой список - http://www.anti-malware.ru/analytics/Technology_Analysis/Overview_SECURITY_systems_global_and_Russian_market), но нас будет интересовать система Splunk. Этот пост первый из цикла, посвященного данной системе и особенностям работы с ней.
Если коротко – Splunk это система для сбора и хранения всевозможных логов и журналов. При определённом умении Splunk можно превратить в достаточно мощное средство для выявления инцидентов  ИБ, этим и займёмся.