• 2024-11-06【安全运维】检测即代码(DAC) 详细步骤
    原创Zafkie1SecLink安全空间引言DAC(DetectionAsCode),检测即代码是一种战略方法,可将安全检测机制无缝集成到软件开发生命周期中。通过将安全控制视为代码,组织可以在整个SIEM运维过程中自动部署、配置和维护安全措施。或许很多人听说过DAC的概念,但是并没有一步步地实现过
  • 2024-08-22蓝队新手应该学习的 4 个 SOC 工具(如何掌握这些基本的 SOC 工具及其相关技能。)
    安全运营中心(SOC)分析师依靠各种工具来帮助他们监视他们的域。然而,仅仅依靠工具来完成工作,而未能理解其背后的基本流程和方法,对于分析师来说可能是一个代价高昂的错误。我们发现,近三分之一(29.5%)的专业人士认为事件处理流程和方法是SOC分析师需要掌握的最重要的知识领域:我从
  • 2024-07-31Splunk Enterprise 9.3 发布,新增功能概览
    SplunkEnterprise9.3.0(macOS,Linux,Windows)-机器数据管理和分析SplunkEnterprise9.3于2024年7月发布。新增功能新功能、增强或更改描述对IngestActionsfilesystem目标的官方支持将数据路由到NFS或本地文件系统。这对于与成本节约、审计、合
  • 2024-07-20使用 Python 操作 Splunk
    使用Python操作Splunk目录使用Python操作Splunk1参考文档2安装PythonSplunk-SDK3连接splunk4配置查询5参考1参考文档SplunkGithub地址:GitHub-splunk/splunk-sdk-python:SplunkSoftwareDevelopmentKitforPythonSplunk开发者文档地址:Pythontools|
  • 2024-07-16基于WAF+Splunk+FW简单SOAR平台搭建
    基于WAF+Splunk+FW简单SOAR平台搭建目录基于WAF+Splunk+FW简单SOAR平台搭建1基于WAF+Splunk简单SOC平台搭建1.1准备环境1.2配置Splunk1.2.1配置数据源(从网络端口获取)1.2.2创建应用1.2.3创建警报1.2.4创建警报触发动作1.2.5建议封禁的策略2基于FW+Splunk警报实现自动化运
  • 2024-05-14Splunk常用关键字
    1.search-用于过滤事件[search...]#在默认情况下,所有搜索都隐含了search命令2.index-用于指定搜索的索引index="xxx"#如果不指定索引,Splunk会在所有可访问的索引中搜索3.|-管道符:将一个命令的输出作为另一个命令的输入|wheretype=="result"#
  • 2024-02-20常用的Splunk命令
    查看版本./splunkversion首次启动./splunkstart--accept-license开机自启动./splunkenableboot-start状态、启动、停止、重启./splunkstatus|start|stop|restartSSL配置./splunkenableweb-ssl./splunkdisableweb-ssl查看进程ps-ef|grepsplunk关闭/开启splunk
  • 2024-02-20Splunk转发器centos部署
    Spunk概述1)Splunk分为服务器(Splunk)和客户端(Splunkforwarder)。Splunk的服务器就是索引器和接收器。客户端就是数据的转发器。顾名思义就是数据可由客户端转发至server端进行索引。客户端只起到转发数据的作用。2)Splunk是一款功能强大,功能强大且完全集成的软件,用于实时企业日
  • 2024-02-20centos安装splunk
    一.介绍Splunk是一款功能强大,功能强大且完全集成的软件,用于实时企业日志管理,可收集,存储,搜索,诊断和报告任何日志和机器生成的数据,包括结构化,非结构化和复杂的多行应用程序日志。它允许您以可重复的方式快速,可重复地收集,存储,索引,搜索,关联,可视化,分析和报告任何日志数据或机器生成
  • 2024-02-18Splunk ES 接入 log 的方式
    SplunkES接入log的方式主要有两种:使用SplunkUniversalForwarder(UF)UF是一个轻量级的代理,可以安装在各种操作系统和设备上。它可以收集各种类型的日志文件,并将它们发送到SplunkES进行索引和分析。使用HTTPEventCollector(HEC)HEC是一个RESTfulAPI,可以
  • 2024-02-03Splunk Enterprise 9.2.0 (macOS, Linux, Windows) - 机器数据管理和分析
    SplunkEnterprise9.2.0(macOS,Linux,Windows)-机器数据管理和分析SIEM、全面的日志管理和分析平台请访问原文链接:https://sysin.org/blog/splunk-9/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.org混合世界的数据平台快速、大规模地从可见性转向行动,以实现安
  • 2024-01-25构建基于Snort+Splunk的IDS系统
    Splunk是一款数据分析系统(有社区版和商业版两种类型),它在快速collect、search、分析、实时获取数据方面的能力较为突出,效率高,能够处理PB级数据,并且它支持对数据源进行实时监控。支持自定义过滤规则。   Splunk除了功能强大,在本地化方面也做得非常不错,通过用户图形界面进行各种
  • 2024-01-16Splunk的ES如何接威胁情报
    TI接入到SplunkES可以干啥可以创建关联规则来检测与已知威胁情报匹配的活动,或者用于调查和分析安全事件。 SplunkEnterpriseSecurity(ES)接入威胁情报的步骤通常包括以下几个方面:1.选择选择威胁情报提供商:首先,需要选择一个或多个威胁情报提供商。这些提供商可能是开源
  • 2024-01-13Splunk 输出计算和转换 eval命令
    Splunkeval命令用于对搜索结果进行计算和转换,以生成新的字段或修改现有字段的值。eval命令在Splunk搜索语言中非常常用,可以进行各种数学运算、字符串操作、条件判断等。eval命令的基本语法如下: ...|eval<新字段名>=<表达式>其中,<新字段名>是你想要生成的新字段的名称,<表
  • 2024-01-03Splunk 8.2.0 发布 (macOS, Linux, Windows)
    Data-to-Everything™平台利用为云构建的统一数据平台,推动IT、开发运维和安全领域的成果。优势借助Splunk、您可以…建立更有弹性的组织让您的组织能够实时识别和解决问题。加速云驱动的变革数字计划管理云复杂性以提高效率、加快创新和抵御干扰。超出客户期望更快地创新,使用更
  • 2023-06-03Splunk Enterprise 9.0.5 (macOS, Linux, Windows) 发布 - 机器数据管理和分析
    SplunkEnterprise9.0.5(macOS,Linux,Windows)-机器数据管理和分析请访问原文链接:https://sysin.org/blog/splunk-9/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.org混合世界的数据平台快速、大规模地从可见性转向行动,以实现安全性、可观察性等目标。2TB从
  • 2023-06-02splunk 索引过程
    术语:Event:Eventsarerecordsofactivityinlogfiles,storedinSplunkindexes.简单说,处理的日志或话单中中一行记录就是一个Event;Sourcetype:来源类型,identifiestheformatofthedata,简单说,一种特定格式的日志,可以定义为一种sourcetype;Splunk默认提供有500多种确定格
  • 2023-05-16Splunk系列:Splunk字段提取篇(三)
    一、简单概述Splunk是一款功能强大的搜索和分析引擎,而字段是splunk搜索的基础,提取出有效的字段就很重要。当Spklunk开始执行搜索时,会查找数据中的字段。与预定义提取指定字段不同,Splunk可以通过用户自定义从原始数据中动态提取字段。这里,我们演示一下如何利用Splunk来提取字段。 
  • 2023-05-16Splunk系列:Splunk数据导入篇(二)
    一、简单概述splunk支持多种多样的数据源,支持上传文件,监控本地的文件,配置通用转发器等方式。所有的设置基本上都可以通过Web页面、splunkCLI命令和直接修改配置文件(需重启splunk生效)三种方式。最常见的两种场景,比如收集syslog日志以及使用通用转发器(Agent)收集数据,我们来做一个简
  • 2023-04-17splunk 自定义SPL命令关联威胁情报数据
    通过自定义SPL命令关联微步情报数据,效果如下:  1、安装splunk-sdkcd/data/splunk/etc/apps/search/binpip3install-t.splunk-sdk2、自定义脚本开发[root@SIEM-P-VC-A001bin]#morethreatquery.py#!/usr/bin/python#-*-coding:utf-8-*-importsysfromsplunklib.s
  • 2023-04-17Splunk DB Connect 连接MySQL报错CLIENT_PLUGIN_AUTH is required
    01、问题描述使用SplunkDBConnect连接MySQL数据库读库时,报错CLIENT_PLUGIN_AUTHisrequired,如下图:02、原因分析根据报错信息,查阅相关资料,了解到报错原因:目标数据库为MySQL5.7,使用的mysql-connector-java-8.0.28.jar,mysql的jar包版本过高。JDBC数据库驱动程序:mysql-connector-
  • 2023-04-15网络设备安全审核策略配置
    配置日志服务器和ASA,将ASA的日志发送到日志服务器,并使用Splunk分析、管理ASA日志 网络拓扑图 网络角色功能与版本LOG:日志服务器,ubuntu20.04serverFW:防火墙,Ciscoasav9.17Other:控制Splunkweb端,win10步骤1、LOG开启远程日志服务,在8090/UDP端
  • 2023-04-04splunk配置windows和linux的配置过程和事项
    主服务器安装splunkrpm-ivhsplunk.xxx.rpm--force--nodeps#因为这里可能会有报错说/bin/shisneededbyxx#安装在/opt目录下,解压完成后进入splunk的bin目录cd/opt/splunk/bin1.启动splunk/opt/splunk/bin$./splunkstart###开始一段协议###一直回车然后输入y同意
  • 2023-03-17Splunk DB Connect 连接MySQL报错CLIENT_PLUGIN_AUTH is required
    01、问题描述使用SplunkDBConnect连接MySQL数据库读库时,报错CLIENT_PLUGIN_AUTHisrequired,如下图:02、原因分析根据报错信息,查阅相关资料,了解到报错原因:目标数据库
  • 2022-11-25parseable datadog &splunk& elk 可选开源方案
    parseable是基于rust编写的datadog&splunk&elk可选开源方案,提供了方便的restapi能力支持的特性云原生(无状态)开放模式(基于parquet)简单数据访问(/基于sql兼容的