一、 安全分析插件
守望者前段时间刚分析了一下Splunk App For EnterpriseSecurity,并总结了篇文章《看一看威胁情报相关的安全分析插件(Splunk平台)》请关注守望者实验室可阅读。目前团队为了将分析能力实体化,最近也基于安全实践经验结合用户的实际需求制作了专门的的Splunk App ForEnterprise Security。
我们会将watcherlab打造一个安全分析的社区共享平台,后续陆续推出新的基于不同平台的分析app。
二、 安全分析app制作流程与方法
Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据,从一个位置搜索并分析所有实时和历史数据。
Splunk的所有应用app都在应用里面(包含通常所用的Search & Reporting),实现简单的app可以参考以下流程:
(1)、创建app:
里面注明app的基本信息即可
点击保存,基本上一个app的雏形已经出来了,返回主页便可以看见我们前面创建的app了。
(2)、丰富app内容
仪表盘中支持添加时间输入,只需添加输入-------时间便可(时间在使用过程中是可以调整的)。
接下来到数据展示部分了,即添加并使用特定规则语句生成面板,如下图:
下图使用host=fa status=200 select AND union | top limit=10 client来生成饼图,使用host=fa | timechart useother=false usenull=false count as"*" by client来生成曲线图(其中host=fa代表日志源,client是客户端IP,status=200select AND union是注入的检索条件)。
(3)、修改页面呈现
配置页面路径为$splunk_home/etc/app/appname/default/data/ui/nav/default.xml,可以通过修改default.xml文件来实现对页面的修改,如下图所示是本次所使用页面配置文件
修改完配置信息,重启splunk即可,如下图:
至此,简易app已经制作完成。在使用过程中,可以利用splunk语句对面板搜索字符串进行更改,实现对数据的精确处理展现。
原文始发于微信公众号(守望者实验室):信息安全分析师实践:splunk平台分析app制作教程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论