设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 手机 数据 公司
当前位置: 首页 > 服务器 > 安全 > 正文

Splunk系列之Splunk搜索解析篇

发布时间:2022-03-30 14:18 所属栏目:53 来源:互联网
导读:Splunk提供了非常强大的能力,通过简单的SPL语句就可以实现对安全分析场景的描述。这里,我们以Linux secure日志分析作为示例,进行安全场景的构建。 一、简单概述 Splunk 平台的核心就是 SPL,即 Splunk 搜索处理语言。 它提供了非常强大的能力,通过简单的
         Splunk提供了非常强大的能力,通过简单的SPL语句就可以实现对安全分析场景的描述。这里,我们以Linux secure日志分析作为示例,进行安全场景的构建。
一、简单概述
       Splunk 平台的核心就是 SPL,即 Splunk 搜索处理语言。
 
       它提供了非常强大的能力,通过简单的SPL语句就可以实现对安全分析场景的描述。
 
       这里,我们以Linux secure日志分析作为示例,进行安全场景的构建。
 
二、安全日志
      我们先来了解一下Linux secure日志中比较常见的登录日志,如下两条登录记录作为示例:
 
复制
#登录失败
Thu Feb 08 2022 00:15:04 www2 sshd[1100]: Failed password for root from 142.162.221.28 port 4585 ssh2
#登录成功
Thu Feb 08 2022 00:15:05 mailsv1 sshd[74181]: Accepted password for nsharpe from 10.2.10.163 port 4245 ssh2
 
通过对比,我们可以找到几个关键信息,比如登录动作(成功/失败),用户名、ip地址等,可以通过编辑正则表达式将关键字段提取出来,以便进行搜索和分析。
 
新增字段提取:
 
三、安全分析场景
3.1 用户暴力破解
场景描述:用户账户在短时间内尝试大量的错误密码,即可视为用户暴力破解攻击。
 
安全策略:单一账号,5分钟内超过20次登录失败
 
复制
sourcetype="secure*" action=Failed | bucket _time span=5m | stats count by user,ip | search count>20
 
3.2 爆破用户名最多的前10个用户名/ip地址
场景描述:获取暴力破解所使用的密码本,或者暴力破解的来源IP地址。
 
爆破用户名TOP 10
复制
sourcetype="secure*" "failed password" |  stats count by user| sort 10 -count
 
爆破IP地址TOP 10
复制
sourcetype="secure*" AND "failed password" |  stats count by ip | sort 10  -count
 
3.3 用户异地登录
场景描述:用户在短时间内多次异地登录,即可视为账号异常。
 
安全策略:1天内超过3个城市登录即可视为异地登录异常。
 
复制
 
sourcetype="secure*" action="Accepted"| bin  _time  span=1d |iplocation  ip  | stats  values(ip) as ip  values(City) as City  dc(City) as src_count by  user|search src_count>3
 
3.4 账号共享
场景描述:同一个ip登录多个账号,以发现存在账号共享的用户。
 
安全策略:1天内同一个ip登录超过10个账号
 
复制
sourcetype="secure*" action="Accepted" |  bin  _time  span=1d | stats count(user) by ip|  rename count(user) as User_count | search User_count>10
 
3.5 异常登录时间
场景描述:定义正常的服务器登录时间,如在正常时间范围之外登录,可提示告警。
 
安全策略:凌晨0点到早上8点内,登录成功的账号。
 
复制
sourcetype="secure*" action="Accepted"  date_hour<8 | table _time,ip,user
 
3.6 异常IP登录
场景描述:定义正常的服务器登录地址,如在正常的IP地址之外登录,可提示告警。
 
安全策略:查找登录成功的用户列表,排除来自堡垒机的登录ip,就可以获取到违规登录行为。
 
复制
sourcetype="secure*"  action="Accepted" AND ip!="10.1.*"  |  stats count by ip,user
 
3.7 整体用户登录情况
场景描述:用户整体的登录趋势应该是呈现规律性变化,如果某一天出现异常,就需要对引发问题的原因进行排查。
 
安全策略:查看每天登录成功/失败的次数,有了对照做参考,我们容易从数据趋势看到异常情况。
 
复制
sourcetype=secure-* "password" | timechart per_day(eval(action="Accepted"))
as success,per_day(eval(action = "Failed" OR action = "failed")) as Failed

(编辑:ASP站长网)
    相关内容
    网友评论
    推荐文章
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱nqiang002@foxmail.com我们将及时予以处理。

        建议您使用1366×768 分辨率、Microsoft Internet Explorer 11浏览器以获得本站的出色浏览效果

        Copygight © 2008-2023 http://www.aspzz.cn All Rights Reserved. ASP站长网

        站长:nqiang002#foxmail.com(请把#换成@)