Sigma-Hunting-App 项目教程
1. 项目的目录结构及介绍
Sigma-Hunting-App 是一个用于 Splunk 的插件,主要用于动态更新 Sigma 检测规则。以下是项目的目录结构及其介绍:
Sigma-Hunting-App/
├── pictures/
│ └── sigma_hunting_app/
├── spl/
├── .gitignore
├── .gitmodules
├── LICENSE
├── README.md
- pictures/: 包含项目相关的图片资源。
- sigma_hunting_app/: 存放与 Sigma Hunting App 相关的图片。
- spl/: 存放 Splunk 应用的核心文件和配置。
- .gitignore: 指定 Git 版本控制系统忽略的文件和目录。
- .gitmodules: 用于管理 Git 子模块的配置文件。
- LICENSE: 项目的开源许可证文件,本项目使用 MIT 许可证。
- README.md: 项目的介绍文档,包含项目的概述、安装和使用说明。
2. 项目的启动文件介绍
Sigma-Hunting-App 项目的启动文件主要集中在 spl/
目录下,具体文件和功能如下:
- spl/default/inputs.conf: 配置 Splunk 的输入源,定义数据如何被索引和处理。
- spl/default/props.conf: 配置 Splunk 的属性,定义如何处理和转换数据。
- spl/default/transforms.conf: 配置 Splunk 的转换规则,定义如何将数据映射到索引字段。
- spl/default/savedsearches.conf: 配置 Splunk 的保存搜索,定义预定义的搜索查询。
这些文件共同作用,确保 Sigma 检测规则能够正确地被 Splunk 应用和处理。
3. 项目的配置文件介绍
Sigma-Hunting-App 项目的配置文件主要用于定义 Splunk 应用的行为和功能。以下是主要的配置文件及其介绍:
-
spl/default/inputs.conf:
- [monitor://...]: 定义监控的文件路径和类型。
- disabled = 0: 确保输入源处于启用状态。
-
spl/default/props.conf:
- [source::...]: 定义数据源的属性。
- TRANSFORMS-...: 定义数据转换规则。
-
spl/default/transforms.conf:
- [transform-name]: 定义数据转换的具体规则。
- DEST_KEY = ...: 定义目标字段。
- REGEX = ...: 定义正则表达式匹配规则。
-
spl/default/savedsearches.conf:
- [savedsearch-name]: 定义保存的搜索查询。
- search = ...: 定义搜索查询语句。
- dispatch.earliest_time = ...: 定义搜索的最早时间。
- dispatch.latest_time = ...: 定义搜索的最晚时间。
这些配置文件确保 Sigma-Hunting-App 能够正确地从 Git 仓库动态更新 Sigma 检测规则,并将触发的事件存储在专门的威胁狩猎索引中,帮助 SOC 分析师进行调查。