Splunk Boss of Soc - Phát hiện và cảnh báo bất thường trên Server Linux

Thảo luận trong 'Infrastructure security' bắt đầu bởi Sugi_b3o, 15/05/21, 06:05 PM.

?

Doanh nghiệp của bạn có dùng giải pháp tập trung log Siem ko ? Nếu có thì đang dùng của hãng nào ?

  1. Splunk

    0 phiếu
    0.0%
  2. Qrada

    0 phiếu
    0.0%
  3. Arcsight

    0 phiếu
    0.0%
  4. LogRhythm

    1 phiếu
    100.0%
Multiple votes are allowed.
  1. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 392
    Đã được thích: 294
    Điểm thành tích:
    63
    Chào các bạn, hôm nay mình xin chia sẻ về cách lấy log linux về splunk. Để lấy được full log cần thiết đầu tiên các bạn phải bật audit log để các log này khi vi phạm các rule audit sẽ có log mình cần, từ đó đẩy về splunk để làm các rule cảnh báo như tạo, xóa user, hay gõ các dòng bash như xem các tập tin nhạy cảm của hệ thống.

    upload_2021-5-15_18-2-44.png

    Trên Server Splunk:
    Chạy services splunk và mở port 9997 để nhận log từ client đẩy về

    [​IMG]

    Tạo index nhận log và cấu hình thông số, mình tạo index đó chứa tối đa 500MB, khi đầy nó sẽ rotate log (lưu đè lên log cũ nhất)

    [​IMG]


    Trên Client:
    Chạy audit log các bạn có thể xem ở bài trước tại đây
    Chạy splunk forwarder monitor các tập tin chứa log và đẩy log về khi có thay đổi

    [​IMG]

    Và cấu hình thêm đẩy log về Server Splunk 192.168.175.107 port 9997

    [​IMG]

    Mình chạy lại audit lần trước đã share cho các bạn

    [​IMG]

    Sau khi cấu hình xong vào Server check log của client bằng cách gõ vào ô search index mình đã tạo phía bên trên và check lại các source mà mình đã config ở phía client đã đủ chưa

    [​IMG]

    Ok check đã đủ 3 path cấu hình

    Sau khi có log, tiến hành các case study bên dưới trên máy chủ client

    Case 1: Tạo, xóa user

    [​IMG]

    Qua splunk xem kết quả nhé :))

    [​IMG]

    [​IMG]


    Case 2: User sugi gõ bash cat file shadow, passwd

    [​IMG]

    Case 3: Cảnh báo IP brute force SSH

    [​IMG]

    [​IMG]

    Case 4: Alert Shutdown Server

    [​IMG]

    [​IMG]

    Các bạn có thể tự làm thêm các rule khác và comment thêm case của các bạn gặp phải bên dưới nhé,
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. tuantran
  2. Marcus1337
  3. whf
  4. Marcus1337
  5. Sugi_b3o