Приветствую,
уважаемый читатель!
В процессе
функционирования SIEM, вопросы визуального представления собранных событий
стоят далеко не на последнем месте, а иногда и на первом (особенно для
менеджеров по продажам). Сегодня я покажу, как подключить к splunk базу GeoIP,
и отрисовать на карте источники активности. Кому интересно, вам ниже.
В splunk
используется база GeoIP от компании MaxMind. Подключение базы данных GeoIP к
запросам доступно из коробки, и никаких дополнений ставить не надо.
Осуществляется это через оператор iplocation, который работает по принципу
lookup-таблицы. Пример подключения ниже:
sourcetype=fail2ban
| iplocation lang=ru srcip
| table srcip,Country,City
У данного
оператора есть несколько дополнительных опций, а именно:
allfields, позволяет подключить к запросу все
возможные поля из базы GeoIP (allfields=true)
lang, позволяет вернуть поля из базы
GeoIP на необходимых языках
Для
отображения на карте необходимо добавить ещё один оператор - geostats, а в
качестве параметров ему необходимо передать IP-адрес и координаты полученные из
базы GeoIP, пример ниже:
sourcetype=fail2ban
| iplocation lang=ru srcip
| geostats count by srcip
latfield=lat longfield=lon
Для вывода
карты, под строкой поиска перейдите на вкладку "Visualization".
Думаю,
вывести такую карту на дашборд иногда может быть полезно :)
Комментариев нет:
Отправить комментарий