Статья для участия в конкурсе Конкурс 2018 года - авторская статья по любой тематике нашего форума!
Доброго времени суток!
Сейчас я вам поведаю об одном инструменте безопасника/системных администраторов/аналитиков, делающем их жизнь немного легче.
Читая новости на хакере или securitylab, наверняка ты замечал, что часто ведется речь про какую-то SIEM. Так что это, и с чем его едят? Об этом и поговорим.
Security Information and Event Management – по-простому, это система с модульной архитектурой, которая анализирует полученные данные. Источником данных системы, может быть любой узел в локальной сети и все логи, которые он может предоставить. Важно заметить, что SIEM ничего не предотвращает.
Скелетом SIEM является математика и статистика.
Задачи которые ставят перед SIEM системами:
Если вы тут, то предварительное погружение прошло успешно!
Сразу скажу, это не туториал по splunk, я буду разбирать некоторые примеры и большинство оставлю за кулисами.
Разберем одину из таких SIEM систем – SPLUNK.
Для затравки посмотрим, как все это выглядит в продакшене.
Уверен, что ваша хотелка завибрировала от восторга. Что же, приступим!
И видим как стартует наш сервис, открываются порты и подгружаются необходимые модули.
По умолчанию веб-интерфейс находится по адресу localhost:8000. Заходим и вводим в поля, созданную в процессе установки учетную запись.
Загрузим данные, чтобы с ними поработать и ближе познакомиться с инструментом.
Кликаем на “Add data” → “upload” → выбираем заготовленный файлик. (Для читателя я специально подготовил логи, с которыми он может поиграть
Файл загружен, и мы видим, что спланк определил наши логи как access_combined, окей посмотрим, что можно из этого выжать.
Далее нам предлагают определить хоста и индекс, таким образом нам будет легче отфильтровать логи. Нам хост не важен, а вот индекс лучше создать новый, чтобы не засорять основной.
Под индексом можно понимать обычную директорию, в которой будет лежать наши данные.
Проверяем и заканчиваем загрузку файла. И сразу нажимаем Start Searching.
Открывается поисковая строка. Расскажу о особенностях SPL(Search Processing Language):
Картинка была взята с сайта
Сделаем первый выстрел, используя SPL.
К примеру, выведем все успешные
В таком формате они никому не нужны, визуализируем результат
Команда timechart строит временной график, где x – время, y – количество успешных запросов(кол-во строк), за span можно считать единицу, сколько запросов за 8 часов.
Данный запрос уже интереснее, но без количества ошибок выглядит бедно. Изменим запрос так, чтобы были видны коды ошибок и их количество.
Уже понятная демострация, ясно видно, что более 60% запросов это коды состояния > 399, т.е. 4хх,5хх.
Логи были сгенерированы таким образом, что большое количество ошибок 404, что наводит на мысль о бруте веб-директорий.
Теперь нужно найти того злодея, что брутит директории нашего сайта.
"[Врага надо знать в лицо]...."
— Андрей Гарольдович Кнышев
На этом ознакомительный рассказ я завершаю. Если статья зайдет публике, продолжу.
Доброго времени суток!
Сейчас я вам поведаю об одном инструменте безопасника/системных администраторов/аналитиков, делающем их жизнь немного легче.
Читая новости на хакере или securitylab, наверняка ты замечал, что часто ведется речь про какую-то SIEM. Так что это, и с чем его едят? Об этом и поговорим.
Security Information and Event Management – по-простому, это система с модульной архитектурой, которая анализирует полученные данные. Источником данных системы, может быть любой узел в локальной сети и все логи, которые он может предоставить. Важно заметить, что SIEM ничего не предотвращает.
Скелетом SIEM является математика и статистика.
Задачи которые ставят перед SIEM системами:
- Сбор и хранение журналов событий(логов) от различных источников;
- Предоставление инструментов для анализа событий и разбора инцидентов;
- Обработка по определенным правилам;
- Оповещение.
Ссылка скрыта от гостей
Сразу скажу, это не туториал по splunk, я буду разбирать некоторые примеры и большинство оставлю за кулисами.
Разберем одину из таких SIEM систем – SPLUNK.
- Регаемся и скачиваем
Ссылка скрыта от гостей.
- В процессе установки создаем учетку. Не забываем пароль, скоро он нам пригодится.
- Установили, теперь запускаем.
Код:
splunk startПо умолчанию веб-интерфейс находится по адресу localhost:8000. Заходим и вводим в поля, созданную в процессе установки учетную запись.
Кликаем на “Add data” → “upload” → выбираем заготовленный файлик. (Для читателя я специально подготовил логи, с которыми он может поиграть
Ссылка скрыта от гостей
)
Под индексом можно понимать обычную директорию, в которой будет лежать наши данные.
Открывается поисковая строка. Расскажу о особенностях SPL(Search Processing Language):
- Более 150 команд
- присутствует UNIX pipeline, с той же функцией.
- Используя команды, можно искать, отфильтровывать, объединять и удалять выходные данные
Картинка была взята с сайта
Ссылка скрыта от гостей
К примеру, выведем все успешные
Ссылка скрыта от гостей
.
Данный запрос уже интереснее, но без количества ошибок выглядит бедно. Изменим запрос так, чтобы были видны коды ошибок и их количество.
Логи были сгенерированы таким образом, что большое количество ошибок 404, что наводит на мысль о бруте веб-директорий.
Теперь нужно найти того злодея, что брутит директории нашего сайта.
— Андрей Гарольдович Кнышев
На этом ознакомительный рассказ я завершаю. Если статья зайдет публике, продолжу.
Последнее редактирование модератором:
