Splunk. Подключение Lookup таблицы

Приветствую тебя, читатель!

Данный пост я бы хотел посветить способу подстановки данных - Lookup (при определённых хитростях Lookup можно использовать даже для корреляции событий). Но обо всём по порядку. 

Предположим у нас есть событие с извлечёнными полями и в зависимости от значения поля необходимо дополнить событие информацией. Экспериментировать будем с логами веб-сервера Apache, а точнее с Access.log (живёт он тут - /var/log/apache2/access.log). Думаю подключить вы его сможете, тем более что Splunk из коробки понимает данный лог и извлекает все поля. Информация по использованию Lookup Вам очень сильно пригодится, если вы планируете активно использовать Splunk. 

Powershell. Прокачиваем Netstat.

Доброго дня, уважаемый читатель!


Во время расследования инцидентов ИБ связанных с аномальной или вредоносной сетевой активностью необходимо в первую очередь определить приложение или скрипт генерирующие трафик.

Предположим, что нам стал известен компьютер генерирующий аномальную активность и tcp/udp-порт источник данной активности. Скрипт, представленный ниже, позволяет получить соответствие между списком процессов и списком tcp/udp-портов.