Splunk boss of the SOC - Xây dựng giải pháp thu thập log cho một doanh nghiệp

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
316
446 bài viết
Splunk boss of the SOC - Xây dựng giải pháp thu thập log cho một doanh nghiệp
Chào các bạn, hôm nay mình xin giới thiệu các bạn về giải pháp SIEM sử dụng Splunk, được biết đến là một hệ thống xây dựng thu thập log tập trung, dùng trong các doanh nghiệp, để phân tích, xử lý, phản ứng, phát hiện kịp thời các hành vi bất thường trong hệ thống từ đó đưa ra các cảnh báo đến người quản trị để kịp thời xử lý về bảo mật, hệ thống của mình.

Splunk-2.png

Cài đặt Splunk Server trên Centos 7

Mã:
yum update -y

2.png

Mã:
yum install wget -y

wget -O splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=8.0.2.1&product=splunk&filename=splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm&wget=true'

rpm -i splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm

/opt/splunk/bin/splunk  start --accept-license

3.png

Mở firewall

4.png

Truy cập vào server qua ip public http://ippublic:8000

5.jpg

Mã:
firewall-cmd --add-port=8000/tcp --permanent

firewall-cmd --reload
Cấu hình truy cập qua https
Sau khi đăng nhập được vào
Settings > System > Server settings, và click General Settings

6.png

Khởi động lại dịch vụ và mở port 443 truy cập https://IP public để đến giao diện web

Cấu hình trên máy chủ Splunk Server
Tạo 2 index để nhận log đẩy về, ở đây mình nhận log windows và linux nên đặt tên là linux và windows
Chọn Setting -> indexes -> New Index

7.png

Các bạn nên cấu hình thông số Max Size of Entire Index =50GB để 1 index nó sẽ lưu tối đa 50GB, index= windows làm tương tự.
Cấu hình mở port 9998 để nhận log
Cấu hình tại Forwarding and receiving » Receive data

8.png


Command hỗ trợ mở firewall
Mã:
firewall-cmd --zone=public --add-port=9998/tcp --permanent

Hướng dẫn đẩy log về Windows

Bật Success/Failure audit log tại Administrator Tools → Local security policy → Local Policy → Audit Policy

Audit các trường sau:

  • Audit account logon events

  • Audit account management

  • Audit logon events

  • Audit policy change

  • Audit privilege use

  • Audit system event
9.png

Tải splunk forwarder cho windows https://www.splunk.com/en_us/download/splunk-enterprise.html
Tải file về máy client cần cài đặt

10.png

Sau đó, chọn kiểu cấu hình “Customize Options”

11.png

chọn Next

12.png

Cài đặt ssl, nếu có Browse đến đường dẫn chứa tập tin public và private, sau đó nhập password và Browse đường dẫn SSL root CA. Nếu không sử dụng tính năng này có thể Next sang bước tiếp theo

13.png

Chọn Local System và Next

14.png

Tick chọn các log cần đẩy về để giám sát, nếu muốn giám sát 1 tập tin ứng dụng bất kì chọn “File” và đường dẫn đến File đó

15.png

nhập tài khoản Administrator cho app

16.png

Nếu có Deployment Server thì có thể nhập vào. Không có nhấn Next để bỏ qua

17.png
Nhập IP Server và port sẽ nhận log từ client đẩy về

18.png

Cài đặt

Sau khi cài đặt chạy lệnh bên dưới để restart service splunk trên powershell

PS C:\Program Files\SplunkUniversalForwarder\bin> .\splunk.exe restart

*Thay đổi cấu hình log đẩy về chỉnh sửa tại path C:\Program Files\SplunkUniversalForwarder\etc\apps\SplunkUniversalForwarder\local\inputs.conf

19.png


Restart lại splunk sau khi thay đổi cấu hình​
Hướng dẫn đẩy log về Linux

Mã:
yum install  wget -y
wget -O splunkforwarder-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=8.0.2.1&product=universalforwarder&filename=splunkforwarder-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm&wget=true'
rpm -ivh splunkforwarder-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm
cat > /opt/splunkforwarder/etc/system/local/user-seed.conf << EOF
[user_info]
USERNAME = admin
PASSWORD = admin123
EOF
/opt/splunkforwarder/bin/splunk start --accept-license --answer-yes --auto-ports --no-prompt
/opt/splunkforwarder/bin/splunk enable boot-start
/opt/splunkforwarder/bin/splunk add forward-server ServerSplunk:port -auth admin:admin123
echo "[monitor:///var/log/messages]" >> /opt/splunkforwarder/etc/system/local/inputs.conf
echo "disabled = false" >> /opt/splunkforwarder/etc/system/local/inputs.conf
echo "sourcetype=linux_message" >> /opt/splunkforwarder/etc/system/local/inputs.conf
echo "index=linux" >> /opt/splunkforwarder/etc/system/local/inputs.conf
echo "[monitor:///var/log/audit/audit.log]" >> /opt/splunkforwarder/etc/system/local/inputs.conf
echo "disabled = false" >> /opt/splunkforwarder/etc/system/local/inputs.conf
echo "sourcetype=linux_audit" >> /opt/splunkforwarder/etc/system/local/inputs.conf
echo "index=linux" >> /opt/splunkforwarder/etc/system/local/inputs.conf
/opt/splunkforwarder/bin/splunk restart
rm -rf /opt/splunkforwarder/etc/system/local/user-seed.conf
rm -rf  splunkforwarder-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm
Thay đổi cấu hình để monitor
vi /opt/splunkforwarder/etc/system/local/inputs.conf
[default]
host = IP.localdomain
sourcetype = linuxOS / đặt tên
[monitor:///var/log/messages] / giám sát log messages tại đường dẫn
[monitor:///var/log/secure] / giám sát log secure tại đường dẫn
[monitor:////var/log/audit/audit.log] / giám sát log audit tại đường dẫn
B5: /opt/splunkforwarder/bin/splunk add forward-server IP: Port / IP và port nhận log đẩy về
B6: /opt/splunkforwarder/bin/splunk restart / sau mỗi lần thay đổi configure
Command hỗ trợ mở fw
iptables -A INPUT -p tcp -m tcp --dport port-j ACCEPT
Server
firewall-cmd --zone=public --add-port=port /tcp --permanent
Vào splunk kiểm tra log đẩy về

20.png

21.png

Bài này mình xin giới thiệu đến đây để các bạn có thể hiểu được cách thức và các lấy log từ các endpoint như thế nào, những bài tiếp theo mình sẽ giới thiệu các bạn về cách làm rule, như phát hiện login thành công ngoài giờ hành chính, bash của user gõ gì, hay tạo mới user, cả trên windows và linux

 
Chỉnh sửa lần cuối:
có phần 2 không anh ơi. Hi vọng a nhận được phản hồi này
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình đang setup lab bạn nhé :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: nmhoang19
Comment
hi vọng a có thể public sơm ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
anh ơi em muốn hỏi anh 1 chút ạ:
1. em cấu hình để log của pfsense firewall nhận trên splunk rồi thì a có thể cho em hướng để phân tích những cái log đó, khi pfsense của e có cả cổng WAN để kết nối internet ạ (kiểu tấn công vào firewall đó ý ạ...)
em cảm ơn
 
Comment
anh ơi em muốn hỏi anh 1 chút ạ:
1. em cấu hình để log của pfsense firewall nhận trên splunk rồi thì a có thể cho em hướng để phân tích những cái log đó, khi pfsense của e có cả cổng WAN để kết nối internet ạ (kiểu tấn công vào firewall đó ý ạ...)
em cảm ơn
anh ơi em muốn hỏi anh 1 chút ạ:
e cho a xin config của e nhé. config đẩy về splunk ấy
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: thanhccxr
Comment
em đã inbox cho ad trên FB để nhận được sự trợ giúp. Hi vọng a giúp e những câu này ạ, em cảm ơn: về cách làm rule, như phát hiện login thành công ngoài giờ hành chính, bash của user gõ gì, hay tạo mới user, cả trên windows và linux
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
em đã inbox cho ad trên FB để nhận được sự trợ giúp. Hi vọng a giúp e những câu này ạ, em cảm ơn: về cách làm rule, như phát hiện login thành công ngoài giờ hành chính, bash của user gõ gì, hay tạo mới user, cả trên windows và linux
Bạn đã lấy được log os của máy cần lấy về splunk chưa? ở windows bạn lấy log gì? ở Linux bạn lấy log gì?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn đã lấy được log os của máy cần lấy về splunk chưa? ở windows bạn lấy log gì? ở Linux bạn lấy log gì?
em lấy được log từ win về rồi, bây giờ muốn làm như phát hiện login thành công ngoài giờ hành chính, bash của user gõ gì, hay tạo mới user ấy ad. cảm ơn ad đã giúp em
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
em lấy được log từ win về rồi, bây giờ muốn làm như phát hiện login thành công ngoài giờ hành chính, bash của user gõ gì, hay tạo mới user ấy ad. cảm ơn ad đã giúp em
Log bạn lấy là log gì? bạn có thể login vào sau đó search với account của bạn để tìm event login vào server, bạn có thể làm tương tự với tạo mới, xóa, sửa user
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
soc splunk
Bên trên