Splunk. If или Case

 Приветствую, уважаемый читатель!

Сегодня расскажу про опыт применения в Splunk операторов if и case, казалось бы, когда какой оператор применять ответ очевиден, но есть нюансы. 

Bruteforce SSH. Какие Username лучше не использовать.

 Приветствую, уважаемый читатель!

Думаю всем очевидно, что угрозы подбора логина и пароля к какому-либо сервису в сети Интернет будут с нами пока в принципе есть пароли как аутентификатор. И пока они с нами, поизучать активность злоумышленников часто бывает полезно. Некоторые измышления на примере SSH ниже).

Splunk. Передача времени события внутри JSON-объекта

 Приветствую, уважаемый читатель!

Для того чтобы передать время возникновения события в отдельном поле JSON-объекта через Splunk HTTP-коллектор необходимо формировать события в следующем виде (пример на PS):

$JSONDoc = @"
{
"sourcetype":"LOGS",
"time":"$indextime",
"event":{
"Message":"Поле1",
"EventId":"Поле2"
.......

В поле time необходимо указать время возникновения события в UnixEpoch Time. С какой-то версии Splunk по другому не получится.

В PS получить время в таком формате можно с помощью командлета New-TimeSpan: 

(New-TimeSpan -Start (get-Date "01/01/1970") -End $EventTime).TotalSeconds

Если этого не сделать и Splunk не распознает время в JSON-объекте, то временем индексации события будет время получения события сервером Splunk. HTTP-коллектор это не Syslog, так что это может доставить кучу проблем. Хотя и с Syslog не так всё просто.....

[Fast] Подключение Secret Net Studio 8.5 к Splunk

 Приветствую, уважаемый читатель!

Сегодня постараюсь быстро рассказать - как можно (один из способов) подключить централизованные журналы СЗИ НСД Secret Net Studio к Splunk. Сразу скажу, вопрос настройки передачи событий в real-time у меня в настоящее время не стоит :)

[Fast] Splunk. Перенос конфигурации после переустановки

 Приветствую, уважаемый читатель!

Сегодня расскажу, на что обратить внимание при условно-бесплатном использовании Splunk (т.е. когда раз в 2 месяца необходимо переставлять Enterprise версию). Любителям халявы, ну или кому нужен постоянно работающий Splunk DB Connect ниже J

 

[Fast] IP пользователей OpenVPN (белый + серый)

Приветствую, уважаемый читатель!

Понадобилось связать публичный IP клиента OpenVPN и выданный ему серый IP. Запрос на SPL и пояснения ниже.

[Fast] Telegram alert от Splunk. Стильно, модно, молодёжно!

 Приветствую, уважаемый читатель!

Хотелось начать пост как-то пафосно – "Мир вокруг нас меняется, нужно меняться вместе с ним!" :) Но, решил упростить - пора настроить оповещения о событиях безопасности в меcсенджер Telegram, т.к. когда в день листаешь 10 каналов с новостями, почему бы не листать канал с оповещениями?

 

[Fast] Splunk. Передача токенов между дашбордами (GUI)

 Приветствую, уважаемый читатель!

Как-то прошло мимо меня важное дополнение Splunk - теперь передачу значений токенов между дашбордами можно настроить в GUI. Об этом ниже.

[Fast] Splunk. "Коварный" оператор rex

Приветствую, уважаемый читатель!

Ещё один пост из новой рубрики Fast. Я думаю все мы часто используем оператор rex, чтобы что-то откуда-то достать и обычно SPL-запрос у меня им заканчивался (или table или stats или timechart), но оказалось, если он не последний, то есть нюанс. Поехали.

[Fast] Splunk. Контроль авторизации пользователей OpenVPN

Приветствую, уважаемый читатель!

Открываю новую рубрику - Fast. Никакой лишней лирики, а только решение конкретных задач с минимальным описанием. Все дополнительные вопросы можно задавать в комментариях. Первая задача - связана с контролем авторизации пользователей через OpenVPN. Поехали :)

Splunk. Time-picker options.

Приветствую, уважаемый читатель!

Иногда встроенных возможностей селекторов Splunk больше, чем хотелось бы видеть. Так вышло и с селектором «Time», с помощью которого задаётся время для отбора событий. О том, как из него выкинуть почти все встроенные опции как его можно слегка упростить сегодня поговорим J

Splunk. Powershell. Автоматизация рутины

Приветствую, уважаемый читатель!

Хотел бы рассказать про решение следующей задачи: автоматизированный контроль работоспособности белого списка сайтов на межсетевом экране. Казалось бы, простая задача, но и у неё есть свои нюансы.

Splunk. Dashboard + HTML.

Приветствую, уважаемый читатель!

Функциональность дашбордов в Splunk от версии к версии становятся всё шире. Достаточно давно в них появилась возможность встраивать блоки HTML текста, и, честно говоря, считал эту возможность бесполезной J Однако, как оказалось её можно использовать для динамического вывода вспомогательной информации к событиям.  

Splunk. SavedSearch. Пару слов о времени.

Приветствую, уважаемый читатель!

От корректного отображения/использования/преобразования времени в SIEM-системах зависит очень много, в т.ч. количество событий, возвращаемых аналитику. В Splunk можно по-разному определять временной интервал поиска событий: хочешь фильтром на дашборде, хочешь переменной (токеном) в теле запроса и т.д. Но вот с savedsearch-запросами, всё оказалось не очевидно.

Splunk. Timechart. Визуализация аномалий.

Приветствую, уважаемый читатель!

Сегодня продолжим расширять познания о способах визуализации событий в Splunk и рассмотрим, как наглядно можно отразить на дашборде аномальную/повышенную активность.

Splunk. Shodan. Интеграция Shodan и Splunk.

Приветствую, уважаемый читатель!

Мне очень импонируют сообщества и специалисты, которые безвозмездно предоставляют какую-либо полезную информацию или полезные аналитические инструменты. Одним из лидеров тут является поисковик Shodan, с помощью которого можно найти и узнать очень много всего! О нем сегодня и поговорим.

Splunk. PowerShell. Осторожно, "лидирующий ноль".

Приветствую, уважаемый читатель!

  

Хочу поделиться историей о том, как можно при парсинге log-файлов неожиданно недосчитаться большого количества событий из-за нехватки нулей, а формат даты и времени перестает быть просто формальностью, которую SIEM "и так проглотит".   

Splunk. Savedsearch. Оптимизация запросов в БД.

Приветствую, уважаемый читатель!

В рамках рассмотрения вопросов повышения производительности, хотел бы рассказать про возможность оптимизации времени выполнения запросов в Splunk. Интересовать нас будут запросы в БД, идущие через приложение Splunk DB Connect.

Splunk. Splunk DB Connect. Подключаем MSSQL.

Приветствую, уважаемый читатель!

В этой короткой заметке будет рассказано про подключение к СУБД MSSQL и некоторые новые особенности Splunk DB Connect, которые появились после обновления данного приложения.

Splunk. Подключаем Vulners к Splunk.

Приветствую, уважаемый читатель!

Год назад я писал про получение списка эксплойтов по CVE-номеру уязвимости при помощи vulners.com http://unitybas.blogspot.ru/2016/07/vulners.html. Спустя какое-то время захотелось более плотно интегрировать данную возможность в splunk, и получать информацию с данного ресурса прямо в запрос на SPL.