>

기록된 미래 위험 목록에 대한 일반적인 Splunk 검색 문자열

이 페이지에는 기록된 미래 위험 목록과 Splunk Enterprise에서 일반적으로 인덱싱하도록 구성된 다양한 로그 파일의 상관 관계에 대한 검색 예제가 포함되어 있습니다. 이러한 검색을 '있는 그대로' 바로 사용할 수 있는 것은 아니며, 지식이 풍부한 Splunk 엔지니어가 클라이언트 Splunk 인스턴스에 있는 다양한 로그 파일과 기록된 미래 위험 목록을 상호 연관시키는 검색을 구축하기 위한 시작점을 제공하기 위한 것입니다.  대부분의 예제는 IP 주소에 초점을 맞추고 있으며 도메인, 취약점 및 해시에 대한 유사한 검색은 여기에 있는 예제를 통해 간단하게 만들 수 있습니다.

이 지원 페이지에서 사용 가능한 검색 목록은 다음과 같습니다:

일반적이고 유용한 추가 검색어에 대한 제안을 환영합니다! 

단일 소스 - 단일 필드 예제입니다:

이 검색은 방화벽(예: 넷스크린)의 가장 최근 24시간 데이터를 향후 기록된 IP 위험 목록 조회와 연관시킵니다. 방화벽 로그에서 위험도가 0이 아닌 것과 연관된 모든 대상("dst") IP 주소가 결과에 표시됩니다.

sourcetype=netscreen:firewallearliest=-24h| eval Name=dst | eval Time=start_time | lookup rf_ip_threatfeed Name OUTPUT Risk, RiskString, EvidenceDetails | search Risk != "" | eval 위험 점수 = 위험 | eval 규칙 = spath(EvidenceDetails,"EvidenceDetails{}.규칙")| eval 증거 문자열 = spath(EvidenceDetails,"증거 문자열{}.증거 문자열")| 검색 위험 != "" | sort -RiskScore | 테이블 이름, 시간, 위험 점수, 위험 문자열, 규칙, 증거 문자열 | 이름을 IP주소로 이름 변경

단일 소스 - 다중 필드 예제

위와 유사한 예시이지만 방화벽 데이터의 "src" 및 "dst" 열을 모두 사용하여 위험한 IP 주소를 식별합니다.

sourcetype=netscreen:firewallearliest=-24h| eval Name=src + "; " + dst | makemv delim=";" Name | mvexpand Name | eval Time=start_time | lookup rf_ip_threatfeed Name OUTPUT Risk, RiskString, EvidenceDetails | search Risk != "" | eval 위험 점수 = 위험 | eval 규칙 = spath(EvidenceDetails,"EvidenceDetails{}.규칙")| eval 증거 문자열 = spath(EvidenceDetails,"증거 문자열{}.증거 문자열")| 검색 위험 != "" | sort -RiskScore | 테이블 이름, 시간, 위험 점수, 위험 문자열, 규칙, 증거 문자열 | 이름을 IP주소로 이름 바꾸기

기록된 미래 위험 정보를 원본 로그 소스에 추가합니다:

아래 샘플은 일괄 보강 예제로, Rapid7의 취약성 스캔 데이터를 Splunk에 로드하고 기록된 미래 위험 정보를 데이터 세트에 추가한다고 가정합니다.

source= "Rapid7_Nexpose_Splunk_Vulnerability_Data" | fields cve, asset_id, dest | eval Name=cve | lookup rf_vuln_threatfeed Name OUTPUT Risk, RiskString, EvidenceDetails | search Risk != "" | eval Rule = spath(EvidenceDetails,"EvidenceDetails{}.Rule")| eval EvidenceString = spath(EvidenceDetails,"EvidenceDetails{}.EvidenceString") | convert ctime(_time) as Time | table Time, Name, asset_id, dest, Risk, RiskString, Rule, EvidenceString | rename asset_id as "NeXpose AssetID" | sort -Risk< /query > </query>

도메인 추출 및 검색:

이 검색은 지난 24시간 동안 "_raw" 로그 필드에 있는 도메인 이름을 추출하여 Recorded Future에서 위험도가 0이 아닌 도메인과 연관성이 있는 도메인을 표시합니다.

index=mainevalNsourcetype=squid:accessearliest=-24h| rex field=_raw "http://(?<domain>[^/]+)/. +" | eval Time=strftime(_time,"%m/%d/%y%I:%M:%S:%p") | eval Name=domain | 조회 rf_domain_threatfeed 이름 출력 위험, 위험 문자열, 증거 세부 정보 | 검색 위험 != "" | eval 도메인 = 이름 | eval 위험 점수 = 위험 | eval 규칙 = spath(증거 세부 정보,"증거 세부 정보{}.규칙")| eval 증거 문자열 = spath(증거 세부 정보,"증거 세부 정보{}.증거 문자열" ) |정렬 -위험 점수 | 테이블 도메인, 시간, 위험 점수, 위험 문자열, 규칙, 증거 문자열

해시 추출 및 검색:

이 검색은 엔드포인트 제품 장치에 기록된 해시를 연관시킵니다(예 시만텍)의 해시 위험 목록과 함께 레코디드 퓨처의 해시 위험 목록을 제공합니다. 위험도가 0이 아닌 기록된 미래 데이터의 데이터와 일치하는 해시는 해시가 관찰된 시점의 타임스탬프와 함께 표시됩니다.

sourcetype="symantec:ep:risk:file" earliest=-24h| rex field=_raw "애플리케이션 해시: (?<file_hash>[^,]+)" | eval Name=file_hash | eval Time=strftime(_time,"%m/%d/%y%I:%M:%S:%p") | lookup rf_hash_threatfeed Name OUTPUT Risk, RiskString, EvidenceDetails | search Risk != "" | eval Rule = spath(EvidenceDetails,"EvidenceDetails{}.Rule")| eval EvidenceString = spath(EvidenceDetails,"EvidenceDetails{}.EvidenceString") |sort -Risk | table Name, Time, Risk, RiskString, Rule, EvidenceString | rename Name as Hash

Splunk 통계를 사용하여 이벤트에 카운트 추가하기

이 검색은 하프록시 로그 파일의 'remoteip' 필드를 향후 기록된 IP 위험 목록과 연관시킵니다. 이 검색은 로그 기록과 위험 목록의 모든 상관관계를 표시하는 대신 IP 주소별로 그룹화하여 지난 24시간 이내에 연관된 이벤트 수를 표시합니다.

sourcetype="haproxy:http" earliest=-24h| rex field=captured_headers "^ (?<remoteip> \d+\ .\d+\.\d+\.\d+).*$" | search remoteip=* | eval Name=remoteip | lookup rf_ip_threatfeed Name OUTPUT 위험, 위험 문자열, 증거 세부 정보 | search 위험 != "" | eventstats count by Name|eval Rule = spath(EvidenceDetails,"EvidenceDetails{}.Rule")| eval EvidenceString = spath(EvidenceDetails,"EvidenceDetails{}.EvidenceString") | sort -count | table Name, count, Risk, RiskString, Rule, EvidenceString | Name 이름을 "대상 IP" | count 이름을 Count로 변경 | Rule 이름을 "Rule (s ) 로 변경합니다. "

Splunk 위협 인텔리전스 KV 스토어에서 RF 데이터 검색

위협 인텔리전스 KV 스토어에서 사용 가능한 기록된 미래 위험 목록을 검색합니다.

| IP_INTEL`| 검색 위협_키=rf*

ES의 RF 조회 테이블에서 IP 검색

이것은 기록된 미래 IP 위험 목록 조회 테이블(Splunk ES)에서 특정 IP 주소를 찾기 위한 간단한 검색입니다.

| 입력 조회 기록된 미래Ip 위협 목록 | 검색 이름=162.208.22.34

코어 스플렁크의 RF 조회 테이블에서 IP(예: 162.208.22.34)를 검색하세요.

이것은 기록된 미래 IP 위험 목록 조회 테이블(Splunk Enterprise)에서 특정 IP 주소를 찾기 위한 간단한 검색입니다.

| 입력조회 rf_ip_threatfeed | 검색 이름=162.208.22.34<