Splunk Boss of Soc - Phát hiện và cảnh báo bất thường trên Server Linux

Doanh nghiệp của bạn có dùng giải pháp tập trung log Siem ko ? Nếu có thì đang dùng của hãng nào ?

  • Splunk

    Số phiếu: 1 33,3%
  • Qrada

    Số phiếu: 1 33,3%
  • Arcsight

    Số phiếu: 0 0,0%
  • LogRhythm

    Số phiếu: 1 33,3%

  • Số lượng người bầu chọn
    3

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
319
448 bài viết
Splunk Boss of Soc - Phát hiện và cảnh báo bất thường trên Server Linux
Chào các bạn, hôm nay mình xin chia sẻ về cách lấy log linux về splunk. Để lấy được full log cần thiết đầu tiên các bạn phải bật audit log để các log này khi vi phạm các rule audit sẽ có log mình cần, từ đó đẩy về splunk để làm các rule cảnh báo như tạo, xóa user, hay gõ các dòng bash như xem các tập tin nhạy cảm của hệ thống.

splunk.png

Trên Server Splunk:
Chạy services splunk và mở port 9997 để nhận log từ client đẩy về

1.png

Tạo index nhận log và cấu hình thông số, mình tạo index đó chứa tối đa 500MB, khi đầy nó sẽ rotate log (lưu đè lên log cũ nhất)

2.png


Trên Client:
Chạy audit log các bạn có thể xem ở bài trước tại đây
Chạy splunk forwarder monitor các tập tin chứa log và đẩy log về khi có thay đổi

3.png

Và cấu hình thêm đẩy log về Server Splunk 192.168.175.107 port 9997

4.png

Mình chạy lại audit lần trước đã share cho các bạn

5.png

Sau khi cấu hình xong vào Server check log của client bằng cách gõ vào ô search index mình đã tạo phía bên trên và check lại các source mà mình đã config ở phía client đã đủ chưa

6.png

Ok check đã đủ 3 path cấu hình

Sau khi có log, tiến hành các case study bên dưới trên máy chủ client

Case 1: Tạo, xóa user

7.png

Qua splunk xem kết quả nhé :))

8.png


9.png


Case 2: User sugi gõ bash cat file shadow, passwd

10.png

Case 3: Cảnh báo IP brute force SSH

11.png


12.png

Case 4: Alert Shutdown Server

13.png


14.png

Các bạn có thể tự làm thêm các rule khác và comment thêm case của các bạn gặp phải bên dưới nhé,
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
centos7 linux siem splunk
Bên trên