Добро пожаловать обратно, мои начинающие кибервоины!
В предыдущих публикациях здесь, на Hackers-Arise, я познакомил вас со Splunk — превосходным инструментом для управления всеми вашими данными, сгенерированными машиной.
В этом уроке я покажу вам, как использовать Splunk для генерации оповещений в режиме реального времени практически о любых состояниях машинных данных, возникающих в вашей системе или сети.
Оповещения Splunk можно создавать на основе любого поиска, созданного в окне поиска ( см. Splunk SPL ). Оповещения будут срабатывать при выполнении условий, указанных в результатах поиска, подобно тому, как система обнаружения вторжений (IDS) создает оповещения по сигнатурам (см. Snort Rule Writing ) . Эти оповещения могут:
Шаг №1 : Создайте поиск
Первым шагом является создание условия поиска. В данном случае мы создали поиск по журналам событий безопасности и системы для EventCode=4672 (этот код события срабатывает при каждом входе любого пользователя или любой службы в систему с правами администратора в системах Windows 7/2008 – Windows 2019).
Сначала нам нужно создать поиск. Чтобы найти все события с кодом EventCode=4672, можно создать такой запрос:
(источник = "WinEventLog:Security" ИЛИ источник = "WinEventLog:System") | где EventCode = 4672
Затем нажимаем на вкладку «Сохранить как» в правом верхнем углу. При нажатии на кнопку «Оповещение» открывается окно, как показано ниже. Введите название оповещения (я назвал его «Оповещение с кодом события 4672») в поле «Название» и добавьте описание.
Чуть ниже описания вы увидите раздел «Разрешения». Если вы установите значение «Частный», доступ к оповещениям, их редактирование и просмотр будут доступны только вам. Если вы выберете «Общий доступ в приложении», другие пользователи смогут просматривать оповещения через общее приложение. В данном случае я выбрал режим «Частный доступ».
Шаг №2: Запланировано или в режиме реального времени
В следующей строке мы можем выбрать оповещение по расписанию или в режиме реального времени. Здесь я выбрал оповещение в режиме реального времени.
Следующая строка — «Условия срабатывания». Они позволяют собрать более обширный набор данных и применить к результатам дополнительные условия перед срабатыванием оповещения. Например, вы можете захотеть увидеть более одного повторения условия в течение определённого периода времени, прежде чем сработать оповещение.
Эти условия по результатам включают в себя:
Здесь мы устанавливаем условие Per-Result на 3 результата в минуту.
Шаг №3 : Задайте действие
На последнем этапе мы определяем, какие действия должно выполнить оповещение. Эти действия включают:
Здесь я хочу настроить отправку оповещения по электронной почте. При сохранении оповещения вам будет предложено:
оповещение, вы увидите результат, подобный показанному ниже.
Теперь, если условие вашего поиска сработает более 3 раз в минуту, Splunk отправит вам уведомление по электронной почте.
Краткое содержание
Splunk — превосходный и мощный инструмент для мониторинга безопасности. Он не только собирает и индексирует все данные вашего компьютера, но и может использоваться подобно системе обнаружения вторжений (IDS), если вы знаете, что искать. Пока ваша IDS ищет сигнатуры вредоносных программ, ваш экземпляр Splunk может отслеживать поведение, указывающее на подозрительную активность, и уведомлять вас об этом в режиме реального времени!
В предыдущих публикациях здесь, на Hackers-Arise, я познакомил вас со Splunk — превосходным инструментом для управления всеми вашими данными, сгенерированными машиной.
В этом уроке я покажу вам, как использовать Splunk для генерации оповещений в режиме реального времени практически о любых состояниях машинных данных, возникающих в вашей системе или сети.
Оповещения Splunk можно создавать на основе любого поиска, созданного в окне поиска ( см. Splunk SPL ). Оповещения будут срабатывать при выполнении условий, указанных в результатах поиска, подобно тому, как система обнаружения вторжений (IDS) создает оповещения по сигнатурам (см. Snort Rule Writing ) . Эти оповещения могут:
- Создайте запись в разделе «Сработавшие оповещения»
- Зарегистрировать событие
- Вывести результаты в файл поиска
- Отправлять электронные письма
- Используйте вебхук
- Выполнить пользовательское действие
Шаг №1 : Создайте поиск
Первым шагом является создание условия поиска. В данном случае мы создали поиск по журналам событий безопасности и системы для EventCode=4672 (этот код события срабатывает при каждом входе любого пользователя или любой службы в систему с правами администратора в системах Windows 7/2008 – Windows 2019).
Сначала нам нужно создать поиск. Чтобы найти все события с кодом EventCode=4672, можно создать такой запрос:
(источник = "WinEventLog:Security" ИЛИ источник = "WinEventLog:System") | где EventCode = 4672
Затем нажимаем на вкладку «Сохранить как» в правом верхнем углу. При нажатии на кнопку «Оповещение» открывается окно, как показано ниже. Введите название оповещения (я назвал его «Оповещение с кодом события 4672») в поле «Название» и добавьте описание.
Чуть ниже описания вы увидите раздел «Разрешения». Если вы установите значение «Частный», доступ к оповещениям, их редактирование и просмотр будут доступны только вам. Если вы выберете «Общий доступ в приложении», другие пользователи смогут просматривать оповещения через общее приложение. В данном случае я выбрал режим «Частный доступ».
Шаг №2: Запланировано или в режиме реального времени
В следующей строке мы можем выбрать оповещение по расписанию или в режиме реального времени. Здесь я выбрал оповещение в режиме реального времени.
Следующая строка — «Условия срабатывания». Они позволяют собрать более обширный набор данных и применить к результатам дополнительные условия перед срабатыванием оповещения. Например, вы можете захотеть увидеть более одного повторения условия в течение определённого периода времени, прежде чем сработать оповещение.
Эти условия по результатам включают в себя:
- По результату
- Количество результатов
- Количество хостов
- Количество источников
- Обычай
Здесь мы устанавливаем условие Per-Result на 3 результата в минуту.
Шаг №3 : Задайте действие
На последнем этапе мы определяем, какие действия должно выполнить оповещение. Эти действия включают:
- Зарегистрируйте событие
- Вывести результаты t-поиска
- Вывод результатов на конечную точку телеметрии
- Запустить скрипт
- Отправить электронное письмо
- Вебхук
Здесь я хочу настроить отправку оповещения по электронной почте. При сохранении оповещения вам будет предложено:
- Кому отправить оповещение?
- Приоритет
- Предмет
- Сообщение
- Тип сообщения (HTML или обычный текст)
оповещение, вы увидите результат, подобный показанному ниже.
Теперь, если условие вашего поиска сработает более 3 раз в минуту, Splunk отправит вам уведомление по электронной почте.
Краткое содержание
Splunk — превосходный и мощный инструмент для мониторинга безопасности. Он не только собирает и индексирует все данные вашего компьютера, но и может использоваться подобно системе обнаружения вторжений (IDS), если вы знаете, что искать. Пока ваша IDS ищет сигнатуры вредоносных программ, ваш экземпляр Splunk может отслеживать поведение, указывающее на подозрительную активность, и уведомлять вас об этом в режиме реального времени!
