KUNGFU TECH

0
0
Lập trình
Flame Kris
Flame Krisbacodekiller

Tích hợp Splunk Cloud và Dữ liệu: Hướng Dẫn Chi Tiết

Đăng vào 16 giờ trước

• 7 phút đọc

Chủ đề:

#cybersecurity#dfirlab#cloudsecurity#splunkcloud

Tích hợp Splunk Cloud và Dữ liệu

Giới thiệu

Ngày thứ ba, phòng thí nghiệm được mở rộng vào đám mây thông qua việc tích hợp Splunk Cloud và đăng ký các nguồn dữ liệu. Sau khi thiết lập kết nối an toàn giữa Splunk Cloud và hạ tầng tại chỗ, tôi đã nhập các tập dữ liệu thử nghiệm để xác minh quá trình lập chỉ mục. Đối với các hoạt động DFIR hiện đại, giai đoạn này đã chứng minh những lợi thế về khả năng mở rộng của việc tích hợp đám mây và khả năng thích ứng của các cài đặt hybrid.

Mục tiêu

Thiết lập một SIEM dựa trên đám mây, cấu hình nó để nhận dữ liệu và thành công trong việc onboard một tập dữ liệu mẫu để phân tích. Quy trình này đảm bảo rằng SIEM hoạt động và có khả năng xử lý dữ liệu thực tế cho việc giám sát và phân tích an ninh.

Đăng ký SIEM Đám Mây

Đặt nền tảng trong đám mây

Hành động: Truy cập cloud.splunk.com và đăng ký dùng thử miễn phí.

Mục đích: Mô phỏng một môi trường doanh nghiệp hiện đại nơi SIEM được lưu trữ trong đám mây, tách biệt với các nguồn dữ liệu.

Kết quả: Bạn có quyền truy cập vào một phiên bản Splunk được quản lý hoàn toàn mà không cần cài đặt tại chỗ, giúp đơn giản hóa quy trình thiết lập.

Chuẩn bị cho việc thu thập dữ liệu

Bước này liên quan đến việc cấu hình SIEM để nhận và xử lý dữ liệu từ các nguồn khác nhau. Nó bao gồm việc thiết lập đầu vào dữ liệu, xác định các phương pháp nhập dữ liệu và đảm bảo hệ thống sẵn sàng để thu thập và phân tích dữ liệu cho việc giám sát an ninh.

Tạo thông tin xác thực Forwarder

  • Thách thức: Làm thế nào để phiên bản đám mây tin tưởng dữ liệu từ máy của bạn?
  • Giải pháp: Thông tin xác thực Forwarder.
  • Trong Splunk Cloud, truy cập vào Cài đặt > Chuyển tiếp và Nhận.
  • Tạo một bộ thông tin xác thực mới (tên người dùng/mật khẩu).

Tại sao điều này quan trọng: Những thông tin xác thực này hoạt động như một khóa API duy nhất xác thực Universal Forwarder, cho phép nó gửi dữ liệu một cách an toàn đến phiên bản đám mây.

Onboarding Dữ Liệu Mẫu

Quy trình này liên quan đến việc nhập một tập dữ liệu mẫu vào SIEM để xác minh khả năng nhập dữ liệu và phân tích của nó. Bằng cách onboard dữ liệu mẫu, bạn có thể kiểm tra chức năng của hệ thống và đảm bảo rằng nó đã sẵn sàng cho việc thu thập và phân tích dữ liệu trong thế giới thực.

Cung cấp Dữ Liệu cho “Bộ não Đám mây”

Bước này liên quan đến việc gửi dữ liệu đến SIEM được lưu trữ trên đám mây, cho phép nó phân tích và xử lý thông tin. Bằng cách cung cấp dữ liệu vào hệ thống, bạn đảm bảo rằng SIEM đang theo dõi tích cực và có khả năng cung cấp thông tin cho phân tích an ninh.

  1. Mục tiêu: Đưa dữ liệu thực vào Splunk Cloud để thực hành tìm kiếm.
  2. Phương pháp: Thêm Dữ liệu > Tải lên
  3. Tải dữ liệu hướng dẫn từ trang tài liệu chính thức của Splunk.
  4. Trong Splunk Web, nhấp vào Thêm Dữ liệu và chọn Tải lên.
  5. Chọn tệp tutorialdata.zip đã tải xuống.
  6. Splunk sẽ tự động thiết lập nguồn, sourcetype và chỉ mục (thường sử dụng mặc định là main).
  7. Nhấp vào Bắt đầu Tìm kiếm.
  8. Kết quả: Phiên bản đám mây của bạn hiện đã chứa các nhật ký truy cập web thực để phân tích.

Quy trình

  • Thêm Dữ liệu > Tải lên
  • Tải dữ liệu hướng dẫn từ trang tài liệu chính thức của Splunk.

Bước này liên quan đến việc truy cập tài liệu chính thức của Splunk để tải dữ liệu hướng dẫn, sẽ được sử dụng để kiểm tra và xác minh chức năng của SIEM.

Trên trình duyệt của bạn, tìm kiếm để tải dữ liệu hướng dẫn:
https://docs.splunk.com/Documentation/Splunk/8.0.4/SearchTutorial/Systemrequirements#Download\_the\_tutorial\_data\_files

Nhấp vào Thêm Dữ liệu trên Splunk Web, sau đó chọn Tải lên. Chọn tệp tutorialdata.zip đã tải xuống.

Chọn Phân đoạn trong đường dẫn

Gõ '1' cho số phân đoạn.

Nhấp vào Gửi.

Nhấp vào Bắt đầu Tìm kiếm.

Hiểu về Chỉ mục và Vị trí Dữ liệu

Bước này liên quan đến việc tìm hiểu cách dữ liệu được tổ chức và lưu trữ trong SIEM. Các chỉ mục được sử dụng để phân loại và quản lý dữ liệu, giúp xác định và truy xuất thông tin cho phân tích và giám sát một cách hiệu quả.

Nhiệm vụ Điều tra

Nhiệm vụ này liên quan đến việc phân tích dữ liệu trong SIEM để xác định các sự cố an ninh hoặc bất thường tiềm năng. Nó yêu cầu tìm kiếm qua các nhật ký, tương quan các sự kiện và sử dụng các công cụ của hệ thống để điều tra và phản ứng với các mối đe dọa tiềm năng.

Tôi thực hiện lệnh sau để xác minh tìm kiếm trong Đám mây: index=_internal | head 10.

Lệnh này tìm kiếm các nhật ký nội bộ của phiên bản Splunk và thu hồi 10 kết quả đầu tiên, giúp xác minh rằng dữ liệu đang được lập chỉ mục và có thể truy cập để phân tích.

Không tìm thấy kết quả
Điều này là đúng! Chỉ mục _internal chứa các nhật ký về hoạt động của Splunk. Phiên bản đám mây khỏe mạnh, nhưng tôi chưa tạo ra bất kỳ nhật ký hoạt động nào để nó lưu trữ.

Khám Phá Dữ Liệu của Bạn

Sử dụng eventcount để lập bản đồ các Chỉ mục

Để kiểm tra chỉ mục mặc định (main)
Tôi nhập lệnh này: index=main | head 10

Tập dữ liệu hướng dẫn đã đến chỉ mục main, không phải chỉ mục tutorial. Đó là lý do tại sao index=tutorial | head 10 không hiển thị kết quả nào.

Các Chỉ mục có sự kiện

Tôi thực hiện tìm kiếm này để liệt kê tất cả các chỉ mục có sự kiện
| eventcount summarize=false index=*

Truy vấn Dữ Liệu Thực Tế

Bước này liên quan đến việc thực hiện các truy vấn cụ thể để truy xuất và phân tích dữ liệu thực từ SIEM. Bằng cách truy vấn dữ liệu thực tế, bạn có thể đánh giá khả năng của hệ thống trong việc xử lý và cung cấp thông tin cho việc giám sát và phân tích an ninh.

Để thực hiện Kiểm tra Sức khỏe Cơ bản
Tìm kiếm đúng mà tôi đã sử dụng:
index=main sourcetype=access_combined_wcookie | stats count by status

Để đếm mã trạng thái HTTP từ dữ liệu nhật ký web, tôi đã sử dụng:

index=main sourcetype=access_combined_wcookie | stats count by status

Điều này cung cấp cho tôi một kiểm tra sức khỏe cơ bản của các nhật ký web của tôi.

Xác minh Thành công & Phản ánh Ngày 3

Các mục tiêu đạt được:

  • Đã đăng ký thành công cho Splunk Cloud.
  • Tìm thấy Quản lý Forwarder và tạo thông tin xác thực.
  • Onboard một tập dữ liệu mẫu thông qua tải lên.
  • Sử dụng các tìm kiếm điều tra (eventcount) để tìm và phân tích dữ liệu.

Ngày 3 tập trung vào việc kết nối giữa đám mây và mặt đất, nhấn mạnh rằng hiểu nơi dữ liệu của bạn rơi xuống (chỉ mục nào) cũng quan trọng như việc đưa nó đến đó.

Thực hành tốt nhất

  • Luôn đảm bảo rằng các thông tin xác thực Forwarder được bảo mật để tránh rò rỉ thông tin.
  • Kiểm tra thường xuyên các chỉ mục để đảm bảo dữ liệu đang được lưu trữ và truy xuất đúng cách.

Cạm bẫy thường gặp

  • Không tạo thông tin xác thực Forwarder có thể dẫn đến lỗi khi gửi dữ liệu.
  • Không kiểm tra các chỉ mục có thể dẫn đến việc bỏ lỡ dữ liệu quan trọng.

Mẹo hiệu suất

  • Tối ưu hóa quy trình nhập dữ liệu để giảm thời gian xử lý.
  • Sử dụng các truy vấn tối ưu để nhanh chóng truy xuất thông tin từ SIEM.

Khắc phục sự cố

  • Nếu không thấy dữ liệu trong chỉ mục, kiểm tra lại thông tin xác thực và các bước nhập liệu.
  • Đảm bảo rằng các nguồn dữ liệu đã được cấu hình đúng trước khi gửi.

Câu hỏi thường gặp (FAQ)

  1. Làm thế nào để xác thực thông tin xác thực Forwarder?

    • Bạn có thể kiểm tra bằng cách vào phần Quản lý Forwarder trong Splunk Cloud.

  2. Có thể sử dụng Splunk Cloud cho các nguồn dữ liệu lớn không?

    • Có, Splunk Cloud cung cấp khả năng mở rộng linh hoạt cho các nguồn dữ liệu lớn.

  3. Làm thế nào để kiểm tra tình trạng của SIEM sau khi nhập dữ liệu?

    • Sử dụng các truy vấn để xác minh rằng dữ liệu đã được lập chỉ mục đúng cách.

Kết luận

Việc tích hợp Splunk Cloud với các nguồn dữ liệu mang lại nhiều lợi thế cho các tổ chức trong việc giám sát và phân tích an ninh. Bằng cách làm theo các bước trong bài viết này, bạn có thể thiết lập một SIEM đám mây hiệu quả và sẵn sàng cho việc phân tích dữ liệu thực tế. Hãy bắt đầu ngay hôm nay để bảo vệ hệ thống của bạn tốt hơn!

Xem quảng cáo để đọc tiếpHoặc nâng cấp tài khoản để tắt quảng cáo

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào