-
30/08/2016
-
319
-
448 bài viết
Splunk Boss of Soc - Phát hiện và cảnh báo bất thường trên Server Linux
Chào các bạn, hôm nay mình xin chia sẻ về cách lấy log linux về splunk. Để lấy được full log cần thiết đầu tiên các bạn phải bật audit log để các log này khi vi phạm các rule audit sẽ có log mình cần, từ đó đẩy về splunk để làm các rule cảnh báo như tạo, xóa user, hay gõ các dòng bash như xem các tập tin nhạy cảm của hệ thống.
Trên Server Splunk:
Chạy services splunk và mở port 9997 để nhận log từ client đẩy về
Tạo index nhận log và cấu hình thông số, mình tạo index đó chứa tối đa 500MB, khi đầy nó sẽ rotate log (lưu đè lên log cũ nhất)
Trên Client:
Chạy audit log các bạn có thể xem ở bài trước tại đây
Chạy splunk forwarder monitor các tập tin chứa log và đẩy log về khi có thay đổi
Và cấu hình thêm đẩy log về Server Splunk 192.168.175.107 port 9997
Mình chạy lại audit lần trước đã share cho các bạn
Sau khi cấu hình xong vào Server check log của client bằng cách gõ vào ô search index mình đã tạo phía bên trên và check lại các source mà mình đã config ở phía client đã đủ chưa
Ok check đã đủ 3 path cấu hình
Sau khi có log, tiến hành các case study bên dưới trên máy chủ client
Case 1: Tạo, xóa user
Qua splunk xem kết quả nhé )
Case 2: User sugi gõ bash cat file shadow, passwd
Case 3: Cảnh báo IP brute force SSH
Case 4: Alert Shutdown Server
Các bạn có thể tự làm thêm các rule khác và comment thêm case của các bạn gặp phải bên dưới nhé,
Trên Server Splunk:
Chạy services splunk và mở port 9997 để nhận log từ client đẩy về
Tạo index nhận log và cấu hình thông số, mình tạo index đó chứa tối đa 500MB, khi đầy nó sẽ rotate log (lưu đè lên log cũ nhất)
Trên Client:
Chạy audit log các bạn có thể xem ở bài trước tại đây
Chạy splunk forwarder monitor các tập tin chứa log và đẩy log về khi có thay đổi
Và cấu hình thêm đẩy log về Server Splunk 192.168.175.107 port 9997
Mình chạy lại audit lần trước đã share cho các bạn
Sau khi cấu hình xong vào Server check log của client bằng cách gõ vào ô search index mình đã tạo phía bên trên và check lại các source mà mình đã config ở phía client đã đủ chưa
Ok check đã đủ 3 path cấu hình
Sau khi có log, tiến hành các case study bên dưới trên máy chủ client
Case 1: Tạo, xóa user
Qua splunk xem kết quả nhé )
Case 2: User sugi gõ bash cat file shadow, passwd
Case 3: Cảnh báo IP brute force SSH
Case 4: Alert Shutdown Server
Các bạn có thể tự làm thêm các rule khác và comment thêm case của các bạn gặp phải bên dưới nhé,