iT邦幫忙

2022 iThome 鐵人賽

DAY 2
0
Security

none系列 第 2

1-2. 災情確認 - 使用Splunk實作

  • 分享至 

  • xImage
  •  

說明

前一章節處理過程中"遠端連線到SIEM平台,查看該事件來源IP也嘗試對多台主機攻擊的Events"

因為對告警訊息信心度不夠,因此透過觀察更多Events來確認是否為Incident,

再不斷優化告警規則中,對其信心度上升(無誤判)可以縮短排查,甚至做到自動化處理

依據情境,假設得知疑似受駭主機為imreallynotbatman.com來做查找

實作

參照 https://samsclass.info/50/proj/purple-bots.htm

該Lab是Splunk提供的資料https://github.com/splunk/botsv1

登入後搜尋輸入index="botsv1" ,可以想成是資料庫的Table,接著空白再加上imreallynotbatman.com為我們要搜尋的關鍵字

因為該資料是2016年的,在搜尋時間上我們改成所有時間,當然實務上盡可能精確,因為可能會造成搜尋時間過長,以及搜尋資料量過多的問題
https://ithelp.ithome.com.tw/upload/images/20220917/20077752xlr5Ajlxk4.jpg

接著查看sourcetype,有四種Log類型有match到,先從stream看起
https://ithelp.ithome.com.tw/upload/images/20220917/20077752PPObDx0dbt.jpg

通常網站刺探都會用../ 這種Directory Traversal方式,ctrl+f 立刻就查到好幾筆
https://ithelp.ithome.com.tw/upload/images/20220917/200777526YgPHn2wtf.jpg
從該Event分析
時間: 2016-08-10 22:22:24
URL: http://imreallynotbatman.com/
行為: Directory Traversal, Post searchphrase=../.../../
Source IP: 40.80.148.42
Des IP: 192.168.250.70
Tool Agent: Acunetix (網頁弱掃工具)

REF

CNIT 152: Incident Response
https://samsclass.info/152/152_F22.shtml
https://samsclass.info/50/proj/purple-bots.htm

Incident Response & Computer Forensics, Third Edition


上一篇
1-1. 被駭了 - 緊急應變
下一篇
1-3. 災情確認 - 使用Splunk實作 2
系列文
none36
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言