Splunk中的事件查詢概述

• 定義：在SIEM數據庫中輸入查詢以訪問已導入的數據。
• 挑戰：SIEM中儲存的大量數據可能會使查詢安全事件變得困難。

failed login

• 範例查詢：尋找失敗的登錄事件，使用關鍵字：
• 問題：這是一個非常廣泛的查詢，可能返回數千個結果，影響查詢速度。
• 解決方案：透過指定額外參數（如事件ID和日期範圍）來縮小查詢範圍。

Splunk的搜索處理語言（SPL/Search Processing Language）

• 定義：Splunk使用的查詢語言，提供多種搜索選項以優化結果。
• 示範查詢：buttercupgames error OR fail*
  說明：
  • 指定索引為buttercupgames。
  • 使用布林運算符OR來確保兩個關鍵字都被搜索。
  • 使用通配符*來擴展搜索結果
• 管道（Pipes）：
  • 定義：使用|字符將一個命令的輸出作為另一個命令的輸入。
• 示例查詢：index=main fail | chart count by host
• 此查詢將失敗事件按主機數量製作圖表，幫助識別高失敗率的主機。
• 通配符（Wildcards）：
  • 定義：特殊字符（如*）可替代任何其他字符，用於匹配字符串中的字符。
  • 示例查詢：index=main fail*
  • 返回所有包含“fail”開頭的事件，如“failed”或“failure”。

使用時間範圍

時間範圍選擇器：選擇特定的時間範圍（如過去30天）以提高查詢的針對性。

查詢結果

結果視圖：

• 時間線：顯示事件數量的視覺表示。
• 事件查看器：列出符合查詢的事件，並高亮顯示查詢詞。

排除特定主機

• 示範：在查詢中添加host!=www1以排除特定主機。

查詢性能

• 原始日誌查詢：提取日誌數據字段的過程較慢，需使用不同命令來優化查詢性能

Splunk查詢的優缺點比較

Query for events with Google SecOps

查詢與 Chronicle Security Operations / Google SecOps 相關的事件

Chronicle的查詢功能

• 定義：Chronicle允許用戶搜索和過濾日誌數據，以便定位特定事件。
• 語言：使用YARA-L語言來定義檢測規則，這是一種用於在日誌數據中搜尋特定活動的計算機語言。

查詢字段

可以搜索的字段包括：

• 主機名稱（hostname）
• 域名（domain）
• IP地址（IP）
• URL
• 電子郵件（email）
• 用戶名（username）
• 文件哈希（file hash）

查詢方法

• UDM查詢：

  • 定義：統一數據模型（Unified Data Model）搜索，通過標準化數據進行查詢。
  • 示例查詢：metadata.event_type = "USER_LOGIN" AND security_result.action = "BLOCK"
    說明：

• metadata.event_type指定事件類型，這裡查找用戶登錄事件。

• security_result.action指定安全行動，這裡表示登錄被阻止或失敗。

• raw logs原始日誌查詢：

  • 定義：搜索未經標準化的日誌數據。
  • 用途：查找可能未包含在標準化日誌中的數據，或用於故障排除數據攝取問題。支持正則表達式以匹配特定模式。

查詢結果

結果視圖：

• 包含搜索條件的概覽。
• 條形圖時間線顯示失敗登錄事件的趨勢。
• 列出與搜索相關的事件及其時間戳。
• 每個事件下方顯示設備名稱（asset），如用戶alice的失敗登錄事件。

快速過濾器

• 功能：可用於進一步過濾搜索結果的附加字段或值。
• 示例：點擊target.ip以查看IP地址列表，選擇其中一個IP進行過濾。

Splunk與Google SecOps（Chronicle）事件查詢比較