KUNGFU TECH

0
0
Lập trình
Admin Team
Admin Teamtechmely

Triển Khai Bảng Điều Khiển Giám Sát Đăng Nhập Windows Với Splunkbase

Đăng vào 1 tháng trước

• 5 phút đọc

Chủ đề:

#cybersecurity#dfirlab#cybertools#securityanalytics

Triển Khai Bảng Điều Khiển Giám Sát Đăng Nhập Windows

Giới thiệu
Vào ngày thứ chín, trọng tâm là sử dụng Splunkbase để cải thiện phân tích và tăng cường khả năng phát hiện. Sau khi tìm hiểu các ứng dụng và tiện ích do cộng đồng phát triển để đẩy nhanh quá trình điều tra, tôi đã thiết lập một Bảng Điều Khiển Giám Sát Đăng Nhập Windows. Điều này đã củng cố chiến lược giám sát tổng thể của phòng thí nghiệm và cung cấp cái nhìn theo thời gian thực về hoạt động xác thực, giúp phát hiện các nỗ lực đăng nhập đáng ngờ.

Mục tiêu
Mục tiêu là triển khai một Bảng Điều Khiển Giám Sát Đăng Nhập Windows để cung cấp cái nhìn theo thời gian thực về các hoạt động xác thực của người dùng, cho phép giám sát và phân tích hiệu quả các sự kiện đăng nhập.

Nói cách khác, tìm, cài đặt và tùy chỉnh một bảng điều khiển đã được xây dựng sẵn từ cộng đồng Splunk để có cái nhìn nhanh chóng về hoạt động xác thực Windows.

Sức mạnh của Splunkbase (apps.splunk.com)
Cửa hàng ứng dụng cho các nhà phân tích SOC

Splunkbase là gì? Đây là một thị trường rộng lớn các tiện ích và ứng dụng miễn phí được tạo ra bởi cộng đồng Splunk nhằm tăng cường khả năng của Splunk.

Mục đích của việc sử dụng nó là gì?

  • Tốc độ: Thay vì bắt đầu từ đầu, bạn có thể lấy ngay những bảng điều khiển đã được xây dựng tốt.
  • Thực tiễn tốt nhất: Sử dụng các tìm kiếm và hình ảnh hóa được tạo ra bởi các chuyên gia trong lĩnh vực của bạn.
  • Tập trung: Dành nhiều thời gian hơn cho phân tích và ít thời gian hơn cho việc xây dựng.

Mục tiêu hôm nay là tìm và cài đặt "Bảng Điều Khiển Đăng Nhập Windows" để nhận thông tin theo thời gian thực về các đăng nhập thành công và thất bại.

Tìm kiếm và tải xuống bảng điều khiển
Điều hướng đến Splunkbase (apps.splunk.com).

Tìm kiếm "Bảng Điều Khiển Đăng Nhập Windows"
Bạn có thể tìm thấy một bảng điều khiển phù hợp với bạn. Thường thì, chúng được cung cấp dưới dạng tệp "Simple XML" hoặc một ứng dụng.
Tải xuống tệp XML hoặc gói ứng dụng.

Cài đặt - Phương pháp XML
Nhập bản thiết kế vào phòng thí nghiệm của bạn
Trong Splunk, đi đến Dashboards và nhấp vào Tạo Bảng Điều Khiển Mới.

Đặt tiêu đề (ví dụ: "Hoạt Động Đăng Nhập Windows")
Đặt quyền truy cập (thường thì "Riêng tư" cho phòng thí nghiệm của bạn là phù hợp).

Nhấp vào "Chỉnh sửa" để mở bảng điều khiển trong chế độ nguồn XML
Dán và cấu hình lại một số phần của mã bảng điều khiển đăng nhập Windows ở đây.
Xóa mã XML mặc định và dán toàn bộ nội dung của tệp .xml đã tải xuống.
Nhấp Lưu.

Xem lại và cấu hình lại
Tạo bảng điều khiển theo cách của bạn
Bước chính: Các bảng điều khiển đã được xây dựng sẵn thường yêu cầu điều chỉnh nhỏ để hoạt động hiệu quả trong môi trường cụ thể của bạn.

Các thay đổi cấu hình phổ biến:

  • Tên chỉ mục: Thay đổi index=windows thành index=main hoặc bất kỳ chỉ mục nào mà nhật ký Windows của bạn đang sử dụng (ví dụ: index=win).
  • Sourcetype: Đảm bảo sourcetype (ví dụ: sourcetype="WinEventLog: Security") khớp với những gì các forwarders đang sử dụng.
  • Máy chủ: Bảng điều khiển có thể lọc cho các máy chủ cụ thể. Điều chỉnh hoặc xóa bộ lọc để xem dữ liệu từ tất cả các máy tính trong phòng thí nghiệm của bạn.

Kiểm tra: Sau khi lưu, kiểm tra xem các panel có xuất hiện dữ liệu không. Nếu không, hãy kiểm tra các tìm kiếm trong mỗi panel để tìm kiếm sự không khớp giữa index/sourcetype.

Tổng quan về Bảng Điều Khiển Đăng Nhập Windows

Góc nhìn của một Nhà Phân Tích SOC
Một bảng điều khiển chuyên nghiệp cung cấp cái nhìn ngay lập tức về các sự kiện xác thực.

Các panel điển hình bao gồm:

  • Hoạt động đăng nhập theo thời gian: Biểu đồ thời gian về các đăng nhập thành công và thất bại.
  • Người dùng hàng đầu với các đăng nhập thất bại: Nhanh chóng xác định các mục tiêu có khả năng bị tấn công bằng brute force.
  • Phân loại loại đăng nhập: Hiểu cách người dùng đang đăng nhập (Mạng, Tương tác, v.v.).
  • Địa lý IP nguồn: Bản đồ cho thấy nơi các đăng nhập đang phát sinh.
  • Danh sách sự kiện chi tiết: Một bảng các sự kiện thô để điều tra sâu.

Bảng điều khiển này chuyển đổi dữ liệu sự kiện thô thành thông tin có thể hành động ngay lập tức.

Giá trị của việc tùy chỉnh: Từ Chung đến Cụ thể
Ý tưởng cho việc tùy chỉnh:

  • Thêm một panel: Kết hợp tìm kiếm brute force mà bạn đã tạo vào Ngày 7.
  • Thay đổi ngưỡng: Điều chỉnh số lượng đăng nhập thất bại trong các panel để phù hợp hơn với mức độ tiếng ồn trong phòng thí nghiệm của bạn.
  • Liên kết đến cảnh báo: Thêm các drill-down để khi nhấp vào một người dùng hoặc IP trong bảng điều khiển tự động chạy một tìm kiếm mới cho thực thể đó.

Suy ngẫm về Ngày 9
Mục tiêu đã đạt được: Thành công trong việc nhập và cấu hình bảng điều khiển đăng nhập Windows đã được xây dựng sẵn từ Splunkbase.

Một nhà phân tích bảo mật giỏi không xây dựng mọi thứ từ đầu. Họ biết cách tận dụng các tài nguyên sẵn có và kiến thức cộng đồng để đạt được kết quả nhanh hơn. Hôm nay, tôi đã học cách triển khai nhanh chóng một công cụ giám sát mạnh mẽ, cho tôi cái nhìn ở cấp độ chuyên nghiệp về môi trường của mình trong vài phút, không phải vài ngày. Điều này cho phép tôi tập trung vào nhiệm vụ có giá trị cao nhất: giải thích dữ liệu và săn lùng các mối đe dọa.

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào