这个Splunk上的app,ThreatHunting,忍了它很久了,终于本周实践了一下,效果一般,也就这一期吧,
这个app的官方地址,https://splunkbase.splunk.com/app/4305/,
Splunk的安装就不说了,前面实践了多次,
在Splunk里就能搜索安装ThreatHunting这个app,安装完在app介绍里能看到状态,缺少的东西,一样一样搜索安装就行,
右边显示缺少的东西,从这里下载,https://github.com/olafhartong/ThreatHunting/raw/master/files/ThreatHunting.tar.gz,解压出来的csv文件拷贝到/opt/splunk/etc/apps/ThreatHunting/lookups/,
然后状态这就都对了,
配置个接收日志的端口服务,
再创建两个索引,都是ThreatHunting这个app要用到的,
threathunting和windows,Splunk这边就完事儿了,
Windows这边要先安装sysmon,从这里下载,
https://download.sysinternals.com/files/Sysmon.zip,
再从这里下载配置文件,https://github.com/olafhartong/sysmon-modular/blob/master/sysmonconfig.xml,
安装,Sysmon64.exe -accepteula -i sysmonconfig.xml,
接着再安装SplunkUniversalForwarder,
安装过程中就把配置文件拷贝进去,省的二次重启了,
C:Program FilesSplunkUniversalForwarderetcsystemlocalinputs.conf,
[WinEventLog://Microsoft-Windows-Sysmon/Operational]
index = windows
disabled = false
renderXml = true
source = XmlWinEventLog:Microsoft-Windows-Sysmon/Operational
然后就去Splunk那边等吧,等了好长时间,就出来这么一条,
看明细,怀疑是个误报,
自己造了个PowerShell反弹shell,没有新的sysmon日志产生,自然ThreatHunting也就没啥反应,就这样吧,跟之前实践过的wazuh一样,不太实用。
本文始发于微信公众号(云计算和网络安全技术实践):Sysmon+Splunk(ThreatHunting)的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论