Splunk:构建安全监控解决方案(第 1 部分)

news2024/11/6 23:35:47

在我的网络安全训练营的最后几周,我们的最终项目之一是使用 Splunk Enterprise 为一个名为 VSI(虚拟空间工业)的虚构组织构建安全监控环境,对于那些可能不知道的人来说,它是一个 SIEM(安全信息和事件管理器)。SIEM 是公司可以用来检测、分析和响应针对其组织的潜在威胁的基本工具。

由于这是一个包含很多步骤的大项目,我将把它分成两部分:

第 1 部分:
为 Windows 服务器日志数据和 Apache Web 服务器日志数据创建报告、警报和仪表板,以帮助指出任何异常活动。

第 2 部分:
通过上传攻击日志数据检查第 1 部分中创建的解决方案是否有效抵御假想攻击,并查看我们的报告、警报和仪表板是否找到任何有助于组织采取适当行动的信息尽快。

第 1 部分
我首先启动 Splunk,它已预安装在我的 ubuntu VM 中。我登录到应用程序并上传了我将用于创建报告、警报和仪表板的文件。

上传日志后,我简要地注意到并分析了以下字段:
o signature
o signature_id
o user
o status
o severity

抱歉,某些图像可能有点小且难以阅读。幸运的是,我还对每个字段中的数据进行了一些截图:

签名:

签名编号:

用户:

地位:

严重性:

这些将是我们将用来创建报告、警报和仪表板的主要兴趣点。让我们从报告开始吧!

报告 1:包含签名表及其关联的 signature_id 的报告。这将允许 VSI 查看显示与 Windows 活动的每个特定签名关联的 ID 号的报告。

报告 2:显示严重性级别以及每个级别的计数和百分比的报告。这将使 VSI 能够快速了解​​正在查看的 Windows 日志的严重级别。

报告 3:提供 Windows 活动成功与失败比较的报告。这将显示 VSI 在其 Windows 服务器上是否存在任何可疑级别的失败活动。

现在这些都已完成,是时候继续创建警报了!

所有警报都会触发一封电子邮件,发送至

警报 1:达到每小时失败的 Windows 活动的阈值时触发的警报。这将有助于 VSI 查看是否有任何失败的登录或任何其他活动在一个小时内发生的次数过多,这可能表明有人试图做他们不应该做的事情,例如尝试登录并反复失败.

我选择的此警报的阈值是每小时 > 18。

警报 2:达到每小时成功登录次数的阈值时触发的警报。

我为此警报选择的阈值是每小时 > 26。

警报 3:当用户帐户被删除时签名计数达到阈值时触发的警报,再次在每小时窗口中。

对于此警报,我在一小时内选择了大于 35 的值。

现在是有趣的部分,创建仪表板来快速监控Windows Server 活动!

我总是乐于在 Splunk 中创建仪表板,这个项目也不例外。我做了:

  1. 显示帐户删除签名随时间变化的折线图,时间跨度为 1 小时。
  2. 随时间显示不同用户字段值的线形字符。
  3. 基于 Windows 活动的不同签名的饼图。
  4. 另一个饼图显示了活跃的不同用户。
  5. 跟踪源域的最终饼图。

折线图 1 和 2:

饼状图:

全视图 Windows Server 监控仪表板:

接下来,我们需要重复此过程,但针对 Apache 日志数据。我继续上传日志文件,然后开始处理报告。

这次,我们要特别注意的重要字段是:
o 方法
o referrer_domain
o 状态
o clientip
o useragent

报告 1:显示不同 HTTP 方法(GET、POST、HEAD 等)的表格的报告。这将向 VSI 显示对 VSI 网络服务器发出的 HTTP 请求的类型。

报告 2:一份显示引用 VSI 网站的前 10 个域的报告,以帮助 VSI 识别任何可疑的引用者。

注意:我发现 'referer' 拼写错误(在字段列表中应该是 'referrer')有点好笑,但我知道它必须匹配数据,所以拼写错误以便在我必须匹配时匹配。

报告 3:显示每个 HTTP 响应代码计数的报告。这将帮助 VSI 快速评估其网络服务器的整体健康状况以及在其上发生的活动。

有了这个,是时候创建一些警报了!

警报 1:该项目要求在从美国以外的任何 IP 地址建立连接时触发警报。我为此示例选择了法国,其 IP 地址为 176.31.39.30(法国鲁贝)。

警报 2:每当 1 小时内 HTTP POST 方法计数达到阈值时触发的警报。

我为 HTTP POST 请求选择的阈值是在 1 小时内大于 10。

现在回到为我们的仪表板创建视觉效果的乐趣!

每小时 HTTP GET 方法请求数:

每小时 HTTP POST 方法请求数:

每小时按类型分类的 HTTP 方法:

连接到服务器的热门国家:

顶级用户代理:

顶级 URI:

全视图 Apache 服务器监控仪表板:

所以你有它!我为 VSI 的 Windows 和 Apache 服务器创建了报告、警报和监控仪表板。

在第 2 部分中,我们将了解我制作的解决方案是否保护了 VSI。

第 2 部分:[URL 待定]

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/625012.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

科一容易忘、容易混的点——图类

注意行人 和 人行横道区别 注意行人:黄色,里面是什么就注意什么 人行横道:正方形 “不得” xxx 的 就选择 【正确】 点火开关 1、LOCK档:这是一个锁止档,功能是当除了防盗系统和车内小灯以外,电路是完全关…

【Redis应用】用户签到统计连续签到(三)

🚗Redis应用学习第三站~ 🚩本文已收录至专栏:Redis技术学习 签到功能是我们非常常见的一个功能,几乎在每个app中都能碰到,让我们一起看看如何实现吧~ 一.BitMap用法引入 我们针对签到功能完全可以通过mysql来完成&am…

Python基于指定范围筛选并剔除Excel表格中的数据

本文介绍基于Python语言,读取Excel表格文件,基于我们给定的规则,对其中的数据加以筛选,将不在指定数据范围内的数据剔除,保留符合我们需要的数据的方法。 首先,我们来明确一下本文的具体需求。现有一个Exce…

【JavaScript】讲解JavaScript的基础知识并且配有案例讲解

🎊专栏【 前端易错合集】 🍔喜欢的诗句:更喜岷山千里雪 三军过后尽开颜。 🎆音乐分享【如愿】 大一同学小吉,欢迎并且感谢大家指出我的问题🥰 目录 🎁JavaScript嵌入网页的方式 🍔a…

LVS--DR集群部署

LVS--DR集群 一、DR模式原理二、实验 一、DR模式原理 原理:首先负载均衡器接收到客户的请求数据包时,根据调度算法决定将请求发送给哪个后端的真实服务器(RS)。然后负载均衡器就把客户端发送的请求数据包的目标MAC地址改成后端真…

PCI Express架构概述

目录 1. PCIe 总线概述 2. PCIe 拓扑结构 3. PCIe 分层结构 4. PCIe 事务层类型 5. PCIe 配置和地址空间 1. PCIe 总线概述 PCIe(Peripheral Component Interconnect Express)是一种用于连接计算机内部硬件设备的高速串行总线。它是在PCI&#xff08…

在Windows 11 中安装和使用 WSL 2

文章目录 列出可安装的发行版/分发安装WSL 2常用命令显示帮助启动分发从powershell中退出分发关闭正在运行的分发立即终止所有正在运行的分发和 WSL 2轻型虚拟机。更新wsl 使用VSCode连接WSL设置代理换源WSL 与 Windows 11 共享文件导入、导出 WSL 发行版导出导入 安装Docker E…

Nacos架构与原理 - 总体架构

文章目录 Nacos 起源Nacos 定位Nacos 优势Nacos 生态Nacos 总体设计设计原则架构图用户层业务层内核层插件 小结 Nacos 起源 Nacos 在阿里巴巴起源于 2008 年五彩石项目(完成微服务拆分和业务中台建设),成长于十年双十⼀的洪峰考验&#xff…

【大数据之路1】Hadoop 入门

1. Hadoop 入门 1. 大数据概述1. 大数据相关说明2. Hadoop 及大数据生态圈3. Hadoop 核心组件4. Hadoop 生态圈5. 集群安装模式6. Hadoop 运行模式7. Hadoop 工作流程8. Hadoop 的推行策略9. 知识点 2. Hadoop 启动与服务名1. Hadoop(HDFS/YARN)启动2. H…

区间预测 | MATLAB实现基于QRCNN-BiGRU卷积双向门控循环单元多变量时间序列区间预测

区间预测 | MATLAB实现基于QRCNN-BiGRU卷积双向门控循环单元多变量时间序列区间预测 目录 区间预测 | MATLAB实现基于QRCNN-BiGRU卷积双向门控循环单元多变量时间序列区间预测效果一览基本介绍模型描述程序设计参考资料 效果一览 基本介绍 1.Matlab实现基于QRCNN-BiGRU卷积神经…

数据结构4:二叉树

目录 1.树概念及结构 1.1树的概念 1.3树的表示 1.4树在实际中的运用(表示文件系统的目录结构) 2.二叉树的概念及结构 2.1概念 2.2现实中的二叉树: 2.3特殊的二叉树: 2.4 二叉树的性质 2.5二叉树的存储结构 1.顺序结构 …

如何用 10 种策略改进 ChatGPT 的人工智能

你是否曾有过和AI机器人交互无果的经历?或许只是因为提示语的问题!想要ChatGPT/Bard/Bing Chat等AI机器人更智能、回应更高效? 必须学会AI提示语技巧!本文将深入解析如何用精准的语言编写提示,让您的AI聊天机器人更进一步。 为什…

从买卖股票入手谈谈DP Table

动态规划问题主要就是要明确dp函数定义、搞清楚状态以及状态转移方程 构建DP思路解析 状态 188. 买卖股票的最佳时机 IV - 力扣(LeetCode) 对于股票,我们每天有三种选择 > buy, sell, hold 限制条件有 > 天数限制(n&…

Java关键字abstract详解

abstract 1.可以用来修饰:类、方法 2.具体的: abstract修饰类:抽象类 抽象类不能实例化 抽象类中一定有构造器,便于子类实例化时调用(涉及:子类对象实例化的全过程)。 开发中,都会提…

(转载)基于蚁群算法的旅行商问题(TSP)求解(matlab实现)

蚁群算法(ant colony algorithm,ACA)是由意大利学者M.Dorigo等人于20世纪90年代初提出的一种新的模拟进化算法,其真实地模拟了自然界蚂蚁群体的觅食行为。M.Dorigo等人将其用于解决旅行商问题(traveling salesman problem,TSP),并取得了较好的实验结果。 近年来&am…

论文精读 —— Invisible Backdoor Attack with Sample-Specific Triggers

文章目录 带有样本特定触发器的隐形后门攻击论文信息论文贡献理解性翻译摘要1. 引言2. 相关工作2.1. 后门攻击2.2. 后门防御 3. 深入了解现有防御4. 样本特定的后门攻击(SSBA)4.1. 威胁模型4.2. 提出的攻击如何生成样本特定的触发器样本特定的后门攻击流…

linux学习之top命令详解

参考文章 https://blog.csdn.net/langzi6/article/details/124805024 top ​ 第一行:运行时长,负载 top - 10:04:54 up 474 days, 22:16, 2 users, load average: 2.07, 1.60, 0.94 top - 10:04:54:当前时间。 up 474 days, 22:16&#…

redis与分布式锁浅谈

redis与分布式锁浅谈 1.高并发下缓存失效问题 1.1 缓存穿透: 缓存穿透:指查询一个一定不存在的数据,由于缓存是不命中,将去查询数据库,但是数据库也无此记录,我们没有将这次查询的null写入缓存&#xff0…

windows禁用输入法

Rime 呼出菜单的快捷键 ctrl grave 跟 vs code 呼出底部命令行的快捷键冲突了,每次用 vs code 时都会用 ctrl space 将输入法禁用,让它变成一个圈叉: 由 [1],这个快捷键是 windows 系统禁用输入法的快捷键,在 Setti…

实战干货——教你用Fiddler捕获HTTPS请求

目录 安装Fiddler 配置Fiddler 配置手机 iOS机安装证书 安全思考? 总结: 安装Fiddler 这里不特别说明了,网上搜索一大把,根据安装引导一步步安装即可。(这里采用的是fiddler v4.6) fiddler抓包视频教…