Конкурс Рынок SIEM систем: инструмент SPLUNK

Bdpk

Bdpk

Member
06.11.2016
8
47
Статья для участия в конкурсе Конкурс 2018 года - авторская статья по любой тематике нашего форума!

Доброго времени суток!

Сейчас я вам поведаю об одном инструменте безопасника/системных администраторов/аналитиков, делающем их жизнь немного легче.
Читая новости на хакере или securityab, наверняка ты замечал, что часто ведется речь про какую-то SIEM. Так что это, и с чем его едят? Об этом и поговорим.

Security Information and Event Management – по-простому, это система с модульной архитектурой, которая анализирует полученные данные. Источником данных системы, может быть любой узел в локальной сети и все логи, которые он может предоставить. Важно заметить, что SIEM ничего не предотвращает.
Скелетом SIEM является математика и статистика.

Задачи которые ставят перед SIEM системами:
  • Сбор и хранение журналов событий(логов) от различных источников;
  • Предоставление инструментов для анализа событий и разбора инцидентов;
  • Обработка по определенным правилам;
  • Оповещение.
Важно понимать, что SIEM – это не только ИБ инструмент, но и ИТ в общем. Узнать о проблеме как можно раньше может очень ценно для бизнеса.


Если вы тут, то предварительное погружение прошло успешно!
Сразу скажу, это не туториал по splunk, я буду разбирать некоторые примеры и большинство оставлю за кулисами.

Разберем одину из таких SIEM систем – SPLUNK.

splunk_logo.png

Для затравки посмотрим, как все это выглядит в продакшене.

photo_from_prod.png


Уверен, что ваша хотелка завибрировала от восторга. Что же, приступим!

  1. Регаемся и скачиваем .
  2. В процессе установки создаем учетку. Не забываем пароль, скоро он нам пригодится.
  3. Установили, теперь запускаем.
Код:
splunk start
И видим как стартует наш сервис, открываются порты и подгружаются необходимые модули.

По умолчанию веб-интерфейс находится по адресу localhost:8000. Заходим и вводим в поля, созданную в процессе установки учетную запись.

main.png

Загрузим данные, чтобы с ними поработать и ближе познакомиться с инструментом.

Кликаем на “Add data” → “upload” → выбираем заготовленный файлик. (Для читателя я специально подготовил логи, с которыми он может поиграть )

add_data.png


Файл загружен, и мы видим, что спланк определил наши логи как access_combined, окей посмотрим, что можно из этого выжать.


sourcetype_apache.png

Далее нам предлагают определить хоста и индекс, таким образом нам будет легче отфильтровать логи. Нам хост не важен, а вот индекс лучше создать новый, чтобы не засорять основной.

Под индексом можно понимать обычную директорию, в которой будет лежать наши данные.
host_index.png

Проверяем и заканчиваем загрузку файла. И сразу нажимаем Start Searching.

Открывается поисковая строка. Расскажу о особенностях SPL(Search Processing Language):
  • Более 150 команд
  • присутствует UNIX pipeline, с той же функцией.
  • Используя команды, можно искать, отфильтровывать, объединять и удалять выходные данные

interface.png

Картинка была взята с сайта

Сделаем первый выстрел, используя SPL.
К примеру, выведем все успешные .
first_searching.png

В таком формате они никому не нужны, визуализируем результат

apache_timechart.png


Команда timechart строит временной график, где x – время, y – количество успешных запросов(кол-во строк), за span можно считать единицу, сколько запросов за 8 часов.

Данный запрос уже интереснее, но без количества ошибок выглядит бедно. Изменим запрос так, чтобы были видны коды ошибок и их количество.


chart_apache.png


Уже понятная демострация, ясно видно, что более 60% запросов это коды состояния > 399, т.е. 4хх,5хх.

Логи были сгенерированы таким образом, что большое количество ошибок 404, что наводит на мысль о бруте веб-директорий.
Теперь нужно найти того злодея, что брутит директории нашего сайта.

bruterip.png

"[Врага надо знать в лицо]...."

— Андрей Гарольдович Кнышев

На этом ознакомительный рассказ я завершаю. Если статья зайдет публике, продолжу.
 
Последнее редактирование:
M

Max1928

New member
14.12.2018
1
1
не совсем согласен с тем, что Splunk - это SIEM. В чистом виде - это вообще не сием) простая собиралка различных логов, парсилка и т.д. Вот SIEM из нее делает аддон EnterpriseSecurity, о котором ты не рассказал, а ведь именно там происходит вся магия с корреляционными серчами и прочими вещами... splunk хорош только тогда, когда помучаешься с ним с годик, выучив все костыли, набив все возможные шишки, научившись js и css для посторения нормальных дашей... а в прочем, спланк уходит из России)
 
  • Нравится
Реакции: yarr
Мы в соцсетях: