用splunk高效分析安全设备日志

已于 2022-07-08 13:29:08 修改
阅读量1.6k 收藏 2
点赞数
分类专栏: 技术贴 文章标签: 网络 数据分析
于 2022-07-08 00:29:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llmmkc123/article/details/125667846
版权

写在前面

LZ是一个信息安全工程师,最近面对的安全告警分析越来越多。分析攻击的平台也越来越多,通常一轮下来就半个小时过去了。因为网络特殊性,包含了自身和外部的流量,但我只需要关注自己的网络情况,奈何安全设备的搜索能力都不够强,很多搜索条件做不到,于是就想借助日志分析平台高效分析。

之前借助过splunk导入linux的安全日志分析的,想着挑一些字段搞搞应该很简单,真的配套其他设备用起来没想到这么多坑,这次主要接入奇安信的天眼做介绍给各位安全同行抛砖引玉。

安装

网上关于splunk的安装教程很多,这里就不详细介绍了,我用的是windows版,接近傻瓜式的安装,主要是安装完后如果有防火墙的需要把默认的8000端口打开才能访问网页。

日志源配置-输入

奇安信的天眼平台可提供的告警字段选取还是很多的,配置起来也简单。
在这里插入图片描述
在这里插入图片描述
添加一条日志配置把告警日志开关打开,然后选择自己感兴趣的字段。我这里全选,端口选514.

日志源配置-接收

splunk选择设置-添加数据-监视数据
添加数据
添加数据
写入刚定义的514端口
写入刚定义的514端口
来源类型这里新建一个叫做安全设备的,类别选网络和安全。后面会用到
来源类型这里新建一个叫做安全设备的,类别选网络和安全。后面会用到。然后下一步就完成了。如无意外,告警日志应该很快会发送过来(再次强调如果装在服务器的,一定要确定514端口通不通,可以用抓包软件测试下)

点击左上角splunk,然后选择数据摘要就能看到系统为接受到的数据新建的索引了
点击左上角splunk,然后选择数据摘要就能看到系统为接受到的数据新建的索引了。
天眼传输过来的是json格式的log,正常来说splunk能够自动索引然后分析出告警字段的,可是很可惜,原始日志里在json体前面加了一串字符,导致系统认不出这是json格式了,把整个日志信息当做一条text来对待。

扰乱平台分析的字符串
扰乱平台分析的字符串

这里来到了第一个难点,我想到的解决方法是在日志传入数据库的时候就将那穿多余的字符串干掉。可是splunk在国内并不算多人用,可以找的资料少之又少。经过各种搜索后,找到了这个:
[https://blog.csdn.net/BigDatayun/article/details/104982645]
介绍了几种方法脱敏数据源,其实同样可以用于我这个场景。不过作者并没做太详细的介绍,最后结合国内外的搜索,终于找到了方法。
通过自定义数据类型然后使用SEDCMD-功能,结合正则表达式,可以消除自己不想要的数据。

打开数据来源页面
打开数据来源页面
编辑刚刚添加的安全设备日志类型
编辑刚刚添加的安全设备日志类型
在索引提取的地方选择json,然后添加一个字段名称叫做"SEDCMD-"写上正则表达式

s/.*?\|\!alarm\|\!//g s/_origin/origin/g

这个表达式的意识就是s/代表启用正则,.*?|!alarm|!就是匹配刚才多出来的字段,后面两个斜杠之间留空就是代表替换成空。/g代表替换所有。后面那段是替换json里一个叫做_origin开头的字段,因为splunk定义了下划线开头的字段是隐藏的。

点击保存,然后重启splunk服务,再进搜索页面就能看到splunk很规范的识别出各个字段的信息了,可能有同学会问”有啥用“。肯定是为了更加方便个性化定制搜索啊!

在这里插入图片描述

可以看到左边很整齐的帮你整理出了告警字段
随便选中一个字段就能帮你统计什么类型攻击最高
随便选中一个字段就能帮你统计什么类型攻击最高
现在可以自定义选中一些字段,搭配自己的分析思路去分析了。

进阶篇

虽然有了日志来源,也能识别出字段了,可是这么多ip看得是在眼花缭乱。于是想能不能把资产和ip匹配起来,只关心自己想要的资产呢。于是又开始了几天的疯狂搜索,终于实现了。说说思路

graph LR
导入资产csv --> 用jion方式把告警ip和资产ip连接起来(和sql的jion方式差不多)-->选择想要的字段--> 给字段重新命名

首先建立一张csv的资产表格,可以用excel表来做然后导出csv格式。表格必须包含最基本的ip字段,然后上传。
请添加图片描述

全部下一步就可以,主机字段值可写上“资产表”

再回到刚才的搜索页面,输入下面的搜索公式

source="udp:514" earliest=-2d@d | join origin.sip [search source="资产.csv" |rename 资产IP as "origin.sip"] | table  "origin.sip" "origin.sport" "origin.dip" "origin.dport" "资产名称"  "备注" "attack_type" "ioc" "access_time" "host_state" | rename  origin.sip as "源IP" "origin.dip" as "目标IP" "origin.dport" as "目标端口" "origin.sport" as "源端口" "attack_type" as "攻击类型" "access_time" as "告警时间"

这里代码的意识就是搜索514的输入源,earliest=-2d@d 两天内的日志。

 join origin.sip [search source="资产.csv" |rename 资产IP as "origin.sip"]

这个就是联合资产表查询,并且把资产表里叫做”资产IP“的字段改名成”origin.sip“字段,后面的table就是选择自己要关注的字段,再接下来就用rename这个方法去把我们关注的字段改名。

如无意外应该就能得到一张这样的搜索结果表单

在这里插入图片描述

因为两张表联合起来了,所以只能自定写代码选择查询时间,spunk的时间选择功能失效

这样我们就可以生成一张攻击报表的报表文件了,后面如果需要监控分析直接打开报表页面就知道最近什么资产出现过告警,排除哪些自己不要的结果(天眼搜索没得选不等于功能,这个最烦)。

甚至我们可以自定义告警计划,如果有信告警可以给自己发送邮件,这样就不会错过任何自己想要关注的告警了,又不至于太多垃圾告警
甚至我们可以自定义告警计划,如果有信告警可以给自己发送邮件,这样就不会错过任何自己想要关注的告警了,又不至于太多垃圾告警

END

Dboy1990
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
splunk智能运维&大数据日志分析(网站流量日志分析)实战视频教程
06-10
Splunk是一个分析计算机系统产生的机器数据,并在广泛的场景中提供数据收集、分析、可视化分布式的数据计算平台。客户可使用 Splunk 来搜索、监测、分析和可视化机器数据。本套课程为2018年录制,共23集,软件版本7.1。
使用Splunk工具分析Windows日志和Apache日志
XYZCG的博客
10-30 564
Splunk是一款更能强大的、记录详细的日志分析软件,能处理常见的日志格式,比如Apache、Squid、系统日志、邮件日志等,可对所有日志先进行索引然后可以交叉查询,支持复杂的查询语句,最后通过直观的方式表现出来。将搜索条件改为最初条件,如下,对于导入的日志数据,可以对其进行导出,单击“导出”,在弹出的对话框中可对导出结果进行命名,格式可以选择CSV、原始事件、XML或者JSON,搜索框内容为source=“C:\Users\Administrator\Desktop\access_log”。
Splunk安装配置和基础运维_splunk中文手册
最新发布
2401_83947048的博客
04-28 326
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。索引默认位置:/opt/splunk/var/lib/splunk。可以通过配置文件进行修改。
快速了解常见安全设备2-WAF和日志审计
TT成长博客
02-01 3754
WEB应用防火墙和日志审计系统。
设备告警日志分析及处理
weixin_45007073的博客
04-22 6599
介绍 在整个攻防演练的过程中,我们主要要注意安全监控与分析安全策略优化、安全设备的自身加固。这三部分都是保障网络安全的重要手段。一旦边界设备被入侵,那么就意味着全部都将失守。 安全设备分类 类别 产品 安全防护类 下一代防火墙、防病毒网关、应用安全网关、下一代网闸、单/双向网闸、网络安全准入、抗DDOS 安全检查 IDS/IPS、资产发现、网络扫描、网络行为审计、流量复制聚合、APT监控平台 端点安全 EDR、主机卫士、桌面虚拟化、安全虚拟手机 应用安全 WAF、网页防篡改、
大语言模型LLM如何赋能安全?当前有哪些探索与实践?
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-11 1687
大模型通过赋能安全,如代码补丁自动生成、安全功能代码生成、恶意代码分析、代码相似性分析、事件关联分析等,来驱动安全。大模型可以基于计算机程序代码作为语料进行预训练或优化训练,从而实现自动化修复安全漏洞、生成安全功能代码等功能。此外,大模型还可以通过自然语言文本自然语言标签、安全功能代码理解、恶意代码分析等手段,实现对安全漏洞的检测和修复。
复现 Splunk 框架中的账户异常登录检测案例
qq798280904的博客
03-26 285
海外老牌的数据平台,数据收集、管理、分析、自动化、检测、响应、编排,主要面向安全业务。在 2022 年 Gartner® 安全信息和事件管理 (SIEM) 魔力象限™ 中,Splunk 连续第九年被评为“领导者”。Gartner® 将 SIEM 市场定义为支持用例,包括威胁检测、合规性、实时遥测、事件分析和事件调查全球成千上万的组织依靠 Splunk 作为其 SIEM 来获取数据驱动的见解,从而保护他们的业务并降低风险。
网络安全行业大模型调研总结
yamgyutou的博客
12-07 810
提高安全运营效率,在调查、分析、研判阶段可以作为安全运营人员的助手,提高安全运营效率;随着人工智能技术的发展,安全行业大模型SecLLM(security Large Language Model)应运而生,可应用于代码漏洞挖掘、安全智能问答、多源情报整合、勒索情报挖掘、安全评估、安全事件研判等场景。安全运营专家,提供告警辅助研判、高级溯源分析安全态势分析安全事件预警等能力。场景:集安全风险发现、大模型访问控制、数据泄露管控、违法违规行为溯源、大模型应用分析等为一体。(6)安恒科技---AI恒脑。
Splunk日志分析
11-01
日志分析工具,splunk
Splunk大数据分析
07-23
资源名称:Splunk大数据分析内容简介:Splunk是一种典型的大数据处理工具,能够高效地按时序对数据进行存储、索引、访问,已广泛应用在多个领域。本书是介绍如何实时处理大数据并从中获得商业价值的一本实用指南。...
SPLUNK大数据日志系统分析平台技术方案
06-21
SPLUNK大数据日志系统分析平台技术方案
splunk数据导入
01-05
文件和目录 从网络端口获得数据(UDP:514) 使用脚本(定期使用脚本来获得数据,将脚本放在$splunk_home\bin\scripts目录中) 使用模块输入 需要下载应用command modular input,安装好后在数据输入里面有“command”,用于新建模块。如c:\windows\system32\systeminfo.exe命令 使用通用转发器收集数据 在SUF服务器上安装SUF(splunk universal forwarder)。在SUF安装目录的bin目录下(如c:\program files\splunkuniversalforwarder\bin) 输入命令:splunk start 打开SUF,接受许可证协议 splunk enable boot-start 这是linux下的命令,就是让它开机自动运行,windows自行处理 splunk add forward-server :9997 –auth : 设置索引器的值(即splunk服务器,host),SUF的用户名和密码。9997是端口值 在索引服务器上(splunk服务器)上,设置—转发和接收---配置接收---新增—输入端口值9997 加载样本数据 sp1文件,管理应用—从文件安装应用 在数据输入---脚本,将其激活 在数据输入---文件和目录,将其激活
利用Splunk做应用程序的性能分析
02-24
具手机的数据比较原始,往往还需要一些更进一步的分析,才能定位...(注Splunk免费版支持每天500M的日志数据,超过这个额度需要收费)通过日志进行性能测试是非常常见的,传统的也是在要分析的代码处,注入性能日志,然
深入解析:LLM在软件代码安全领域的实践应用
网络安全
04-02 952
随着数字化时代的到来,软件将成为构建业务数字化的基础设施,软件的安全将成为构筑数字世界的基础。现实中正是由于软件自身存在安全漏洞,才给不法分子可乘之机利用漏洞实施网络犯罪行为。
splunk日志分析
allinallp的博客
06-09 3953
splunk日志分析splunk的使用splunk配置日志字段提取日志分析场景已知ip,查看行为 splunk的使用 在安全服务的多种场景下,我们都离不开日志分析这项工作,特别是在应急与溯源的过程中,日志分析成为快速定位问题的重要方式。轻量级的日志分析我们通常使用文本编辑器或者excel等具备简单筛选功能的工具进行查看,但是对于大量级的日志分析,在很多场景下这些工具不再适用,下面我将介绍splunk这款工具在日常应急及溯源工作中使用的一些思路。 splunk配置 打开splunk选择search&
第55篇:日志分析神器Splunk的介绍与使用|大数据分析|智能运维|业务分析
ABC_123的博客
04-02 3551
Part1 前言大家好,我是ABC_123。我曾经花费时间搭建各种Web服务器、数据库环境去研究分析日志,使用的工具从使用系统自带命令去分析日志,到自动化的360星图,再到后期的Logparser、ELK(ElastiSearch、Kibana、Logstash)等等。到最后我发现还是Splunk这款商业版工具用起来更顺手一些,我个人认为这款软件比ELK要好用得多,只不过ELK免费开源可以包装...
Splunk9.0版本Contos安装及日志收集
h363659487的博客
01-11 807
splunk 9.0版本安装及日志收集配置
SIEM之基于Splunk日志监控
qq_53058639的博客
01-13 367
Splunk是什么?Splunk是一个功能强大的机器数据分析平台,包括机器数据的收集、索引、搜索、监控、可视化和告警等。另一方面来说,Splunk是一个时间序列索引器,因为Splunk索引数据的时候,是基于数据时间戳把数据拆分成事件。Splunk支持从任何IT设备和应用(服务器、路由交换、应用程序、数据库等)收集日志,支持对日志进行高效搜索、索引和可视化。可应用于:IT运营、安全合规、商业分析等。Splunk功能概述Splunk支持各种格式(如XML、JSON)和非结构化机器数据的获取。Splunk
Splunk日志服务器安装
weixin_33950035的博客
12-11 323
在官方下载MSI后缀的镜像 将安装文件拷贝到服务器上,双击安装介质开始安装,点击Next 接受许可协议,点击Next 选择安装路径,点击Next 选择splunk服务启动账户,点击Next 保持默认值,点击Install 保持默认值,点击Finish,完成splunk...
如何上手使用splunk
06-09
要上手使用Splunk,可以按照以下步骤操作: 1. 下载和安装Splunk软件:可以在Splunk官网上下载适合自己操作系统的Splunk软件,然后进行安装。 2. 导入数据:在Splunk中,数据是通过导入日志文件或其他数据源来获取的。可以通过在Web界面上点击“管理”->“数据输入”->“添加数据”来导入数据。 3. 搜索和分析数据:在导入数据后,可以使用Splunk的搜索语言和搜索命令对数据进行搜索和分析。可以在Web界面上使用搜索框输入搜索语句,并在下方的搜索结果中查看搜索结果。 4. 创建面板:在Splunk中,可以将搜索结果呈现为图表、表格等形式,并创建面板进行可视化展示。可以在Web界面上使用“仪表板”->“创建仪表板”来创建面板。 5. 进行监控:Splunk还可以用于实时监控数据,可以在Web界面上使用“搜索”->“实时搜索”来进行实时监控。 需要注意的是,Splunk的搜索语言和搜索命令比较复杂,需要一定的学习和掌握。可以参考Splunk官方文档或者在线教程进行学习。同时,还可以参加Splunk的培训课程和认证考试来深入学习Splunk的使用和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值