Splunk是个平台,可以满足各种应用场景,那么到底能做什么,这是很多人的困惑,本文的目的是列举一些Splunk在实际使用中落地的场景,供大家参考。
VPN接入
- VPN认证成功用户+来源IP清单
时间、用户、源ip、登录次数
- VPN认证成功、失败时间序列图
- VPN来源IP地图分布
- VPN源IP访问的内部IP
- 来源IP、访问内部IP清单、访问内部IP统计
- VPN 转换IP情况
WAF
- 全部、允许、阻断事件统计
- 高风险阻断攻击事件列表
- 高风险事件
- 中风险事件按类型统计
- 低风险事件按类型统计
- 攻击告警事件趋势
- 攻击来源IP及趋势
- 攻击来源IP Top N
- 攻击威胁内部IP Top N
- 受到web攻击最多的内部主机IP清单
防火墙
- 防火墙拦截统计
- 按照威胁类型统计趋势
- 按照威胁级别统计趋势
- 按照类型统计防火墙拦截的流量趋势
- 流量最大的应用Top N
- 流量最大的内容类型TOP N
- 流量最大的地区Top N
IDS入侵检测
- 漏洞扫描事件的目标分布
- 攻击类型事件统计总览
- 攻击事件按照危害统计分布
攻击事件的统计,例如漏洞扫描事件、触发中危、高危事件的比例。
- 攻击事件按照危害时间序列统计
- 被攻击次数最多的域名、IP
- 安全告警事件等级统计分布
- 漏洞扫描事件TOP N
- 威胁趋势
- 攻击分类统计
- 威胁来源Top N
- 威胁目标Top N
IPS入侵防御
- 拦截攻击列表
来源IP、目标IP、攻击名称、数量
- 按照来源IP统计攻击趋势
在时间上,统计源IP的攻击数量
- 按威胁级别统计入侵趋势
按照高、中、低威胁级别,在时间序列上统计变化趋势
数据库审计/防火墙
- SQL语句时间序列统计
- Sql语句执行成功、失败统计
- 数据库访问告警变化趋势
- 数据库访问告警-高风险-分类统计
- 数据库访问告警-高风险-源IP
- 共享数据库账号审计(同一账号访问来源于多个IP)
操作审计
- 高危命令使用统计
- 登录访问生产服务器时间序列统计
终端安全
- 按照严重级别统计
- 阻止运行的进程按趋势
- 病毒、木马感染文件列表
- 风险最高Top N
- 按照入侵行为类型统计趋势Top N