freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

【双倍稿费】企业安全运营之安全可视化
2021-08-29 12:08:20

在安全防御架构中,SOC是一个很重要得环节,那么SOC的建立是建立在日志收集分析的基础上.

不言而喻都知道日志对于防御以及审计的重要性,这次主要是对splunk的剖析.不管是安全设备的日志还是应用日志.对我们后期的监控和溯源都是非常重要的,因此对日志的统一收集,以及可视化展现非常重要.

Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据 。从一个位置搜索并分析所有实时和历史数据。 使用 Splunking 处理计算机数据,可让您在几分钟内(而不是几个小时或几天)解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及 IT 和业务智能。

不废话,让我们直观感受下splunk的使用以及效果.

1 准备:centos 服务器两台192.168.0.198 (dvwa 加waf)192.168.0. 136 (splunk)日志文件一份.

2 把安装包拷贝进去

3 解压 splunk tar xzvf splunk-8.0.1-6db836e2fb9e-Linux-x86_64_2.tgz

4 进入到/opt/splunk/bin 文件夹中执行命令安装splunk  ./splunk start --accept-license && ./splunk enable boot-start

让你输入用户名 和密码

安装结束,访问本机ip加8000 端口进入web界面 账号和密码就是你刚刚设置的

我们点击添加数据,会有三个选项 第一个就是本地的日志上传上去 第二个就是监视一个文件夹 有变化就显示 第三个是 实时查看日志

我们点击上载 然后点击下一步

我们可以在里面设置换行

他还支持很多类型的格式

设置完它的 host 和索引 点击下一步

没问题就点击提交

然后文件上传成功 我们点击开始搜索

头 是access_log host是刚刚做的标示头 index也是刚刚做的 索引的类型
source="access_log" host="farmsec" index="farmsec" sourcetype="access_combined" (查询语句)

下面使用日志持续转发,服务端开启转发许可./splunk enable deploy-client

把转发器 上传的web服务器上 因为我们需要转发器将日志内容转发到服务端

将包解压缩出来 进入/opt/splunkforwarder/bin 文件夹内,tar xzvf splunkforwarder-8.0.1-6db836e2fb9e-Linux-x86_64_2.tgz

我们执行脚本./splunk start

会弹出license 我们直接按q 退出 然后在会回复y

会让我们输用户名密码 (口令是客户端的 可以和服务端不是一个)

设置完口令后 就完成了

我们现在设置转发器开机自动启动 (服务端也可以用)
配置自动启动./splunk enable boot-start
chkconfig splunk on

/splunk set deploy-poll 192.168.0.175:8089 #配置转发的服务器地址 (ip 填写服务端) 输入完账号密码就可以了

/splunk add forward-server 192.168.0.175:9997#添加转发的服务器

/splunk list forward-server #列出服务器地址 可以查看添加结果

定义好日志往哪台服务器发后 我们现在定义要发哪个日志服务器上一定得有farmsec索引 sourcetype 是日志类型 还是选之前的
./splunk add monitor /var/log/httpd/access_log -index farmsec -sourcetype access_combined

./splunk list monitor 可以查询转发日志的清单

服务器端配置:web页面-->设置-->转发和接收-->接收数据-->配置接收-->新建

创建一个新的接收的端口

选择9997 客户端和服务端端口要对等

重启一下两边的服务 ./splunk restart

然后我们回到web界面搜索 我们想要的是刚刚添加的数据 所以得进行语法搜索 选择搜索全部时间 索引为farmsec host 为 192.168.0.198 因为最开始导入的数据 host 和索引均为 farmsec 所以现在搜索出来了就是我们转发过来的数据

我们校验日志会不会实施的传过来 现在的事件是2633,我们用kaili 对服务器发送大量的web日志 看看事件会不会增加

我们看到web日志正在疯狂增加

现在我们看看splunk 上同步过来的日志也会增加吗 同步的速度还是挺快的

我们想要上传 modsecurity 日志到splunk
我们没有相应的 index 和 sourcetype (不能用解析阿帕奇的方式来解析它)
所以我们需要先把modsecurity 的日志 先本地导入 做一个解析尝试
scp root@192.168.0.198:/var/log/httpd/modsec_audit.log .

我们把日志上传上去

日志没解析对 ,所以它的显示方式有问题,由于默认的格式不行 也没有相应的标准类型,所以我们需要自己来进行换行

我们使用时间戳来做分割 这样的话日志的的核心信息我们都能看到

我们点击另存为 命名为waf的一个格式

我们新建一个索引 waf 主机字段值可以不用动

我们去客户端 再次设置转发什么日志 索引 waf 解析方式 我们刚刚定义好的waf 方式./splunk add monitor /var/log/httpd/modsec_audit.log -index waf -sourcetype waf

然后还是重启客户端与服务端 服务

我们搜索同步出来的日志

我们在搜索条件上把host也加上(来源于哪里) 然后我们用nikto 跑一下 看看数据量还会不会增加

果然都同步过来了

制作仪表盘:上面我们把应用日志已经转发过来了,我们应该建立一个可视化得可观图.

我们搜索出状态码为200的日志做一个可视化仪表盘

index=farmsec host="192.168.0.198" status=200
搜索完成后,点击“可视化”-->“数据透视表”

这个默认即可

最左边是可视化的样式 中间圈住的那个是对图表进行更详细的设置

我们点击另存为 仪表盘面板

因为没有 创建过仪表盘 我们新建一个

由于默认不开启日志同步刷新 我们需要进入编辑中把刷新打开

我刚刚制作了一个200 和 404 403 状态码的可视化图表

现在我要进入web网站一直刷新 制造出200 的日志 同时还要制造出404和403 的日志

世界地图

由于是内网ip 就把host 去掉了
index=farmsec status=404 |iplocation clientip | geostats count

我们可以点击另存为 把他添加到我们的仪表盘中

我们可只管观察攻击ip得位置

总结:

对于企业安全,应用日志,中间件日志,安全产品日志,网络设备日志我们应该都收集到一个服务器上,再利用数据分析进行可视化展现,这样我们可以很直观观察攻击行为.我们可以借助ELK或者Splunk等大数据分析工具进行可视化展现集成在SOC平台,同时对接邮箱接口攻击报警,这样可以大大简化运营人员的工作量,解决运营人员的痛点,使得更加高效.

本文作者:, 转载请注明来自FreeBuf.COM

# 企业安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑