آموزش ایجاد جستجوهای همبستگی در Splunk Enterprise

برای رسیدگی به مسئله یا مشکل امنیتی‌ای که قصد حل آن را دارید، جستجوهای همبستگی را ایجاد کنید. اگر می‌خواهید بدانید چه زمانی اسکنرهای آسیب‌پذیری شبکه‌ی شما را اسکن می‌کنند یا تعداد زیادی از دستگاه‌ها به همان نوع بدافزار آلوده می‌شوند، می‌توانید یک جستجوی همبستگی را برای شناسایی آن رفتار و دریافت هشدار ایجاد کنید. جستجوهای همبستگی شما را قادر می‌سازد تا در یک یا چند نوع داده جستجو کرده و الگوهایی را شناسایی کنید که می‌توانند فعالیت مشکوک یا مخرب را در محیط شما را نشان دهند.

چه زمانی از جستجوهای همبستگی استفاده کنیم؟

از جستجوی همبستگی برای شناسایی الگوهایی در داده‌های خود استفاده کنید که می‌تواند نشان‌دهنده‌ی خطر امنیتی باشد.

• هنگامی که می‌خواهید بدانید کاربران پرخطر چه زمانی وارد ماشین‌های آلوده به بدافزار می‌شوند.
• هنگامی که می‌خواهید رفتار اسکن آسیب‌پذیری در شبکه‌ی خود را شناسایی کنید.
• وقتی می‌خواهید با نظارت بر فعالیت حساب غیرفعال و منقضی شده، تأیید کنید که فرآیند حذف کنترل دسترسی شما طبق انتظار کار می‌کند.
• هنگامی که می‌خواهید، با شناسایی ورودهایی که از لحاظ جغرافیایی غیرممکن است، به دنبال حساب‌های در معرض خطر باشید.

از راهکار Splunk Enterprise چه میدانید؟

ویدیوهای بیشتر درباره ی Splunk Enterprise

موارد استفاده از جستجوهای همبستگی را تعریف کنید

مورد استفاده‌ای را ایجاد کنید که می‌خواهید قبل از شروع فرآیند، جستجو به آن بپردازد. این آموزش شما را در ایجاد جستجوی Excessive Failed Logins search (ورود ناموفق بیش از حد) که برای شناسایی تلاش‌های دسترسی به‌زور و بی‌رحمانه طراحی شده است، راهنمایی می‌کند. برای مثال، یک تحلیل‌گر امنیتی می‌خواهد همه‌ی کاربرانی را که حداقل شش بار سعی کرده‌اند وارد برنامه‌ای شوند و رمز عبور خود را به درستی تایپ نکرده‌اند، بشناسد. جست‌وجوی همبستگیThe Excessive Failed Logins موجود در Splunk Enterprise Security، موارد استفاده را دریافت کرده و وظایف زیر را انجام می‌دهد:

• جستجوی رویدادهای منبع احراز هویت را از یک برنامه.
• شمارش تعداد شکست‌های ایجاد شده توسط کاربر.
• ایجاد هشدار برای بیش از شش شکست در یک دوره‌ی زمانی منتخب.

این جستجو با جستجوی رویدادهای احراز هویت، شمارش تعداد شکست‌های مربوط به دسترسی، و هشدار در صورت وجود خرابی بیش از حد، در یک دوره زمانی خاص، به رسیدگی به موارد استفاده‌ی تعریف شده می‌پردازد.

بیبشتر بخوانید: 5 کاربرد مهم راهکار Splunk Enterprise Security یا Splunk ES

همچنین، برای مثال، ممکن است یک تحلیلگر امنیتی بخواهد بداند که آیا بیش از ده کامپیوتر در شبکه نتوانستند امضاهای ویروس خود را برای یک هفته به روز کنند یا خیر. بخشThe High Number of Hosts Not Updating Malware Signatures که جست‌وجوی همبستگی آن را در Splunk Enterprise Security گنجانده است، مورد تعریف‌شده را دریافت و عملکردهای زیر را انجام می‌دهد:

• جست‌وجوی رویدادهای منبع آنتی ویروس.
• ارزیابی تاریخ آخرین به‌روزرسانی فایل امضای آنتی ویروس در host.
• مقایسه‌ی آخرین تاریخ به‌روزرسانی با زمانی که جستجو در حال انجام است.
• جمع‌آوری رویدادهایی که آخرین تاریخ به‌روزرسانی آن‌ها بیشتر از هفت روز قبل از زمان اجرای جستجو باشد.
• شمارش رویدادهای توده‌آوری‌شده.
• ایجاد هشدار در صورت وجود بیش از 10 رویداد توده‎آوری‌شده.

داده‌هایی را پیدا کنید که متناسب با مورد استفاده‌ی تعریف‌شده باشند. پس از تعیین موارد استفاده امنیتی‌ای که می‌خواهید جستجوی همبستگی شما به آن بپردازد، تعیین کنید که کدام منابع داده مربوط به مورد استفاده‌ی تعریف‌شده است.

• تعیین کنید که برای رسیدگی به موارد استفاده به چه داده‌هایی نیاز دارید.
• تعیین کنید که کدام مدلِ داده و اهداف آن‌ها حاوی آن داده‌ها در برنامه Splunk برای CIM هستند.
• مطمئن شوید که داده‌ها در مدلِ داده قرار دارند.

در این مورد، جستجوی Excessive Failed Logins به دنبال داده‌های مرتبط با ورود به سیستم است، و بنابراین از مدل داده‌ی Authentication به‌عنوان منبع داده استفاده می‌کند. جستجوی همبستگی با استفاده از یک مدلِ داده، به جای جستجوی مستقیم یک نوع منبع خاص، می‌تواند طیف گسترده‌ای از منابع داده‌ی مرتبط با احراز هویت، مانند سیستم‌عامل‌ها، برنامه‌ها، یا نشان‌خوان‌های RFID را، بدون نیاز به تغییر، جستجو کند. تکیه بر مدل‌ِ داده در جستجوهای همبستگی شما را قادر می‌سازد تا برای چندین نوع داده یک جستجو بنویسید. پس از طرح‌ریزی و تعریف موارد استفاده‌ای، که جستجوی همبستگی پوشش می‌دهد، جستجو را ایجاد کنید.

بیشتر بخوانید: ویژگی‌های Splunk Enterprise و مزایای استفاده از آن – قسمت اول

ایجاد یک جستجوی همبستگی

ایجاد جستجو و استفاده از مزایای Splunk Enterprise

برای ایجاد یک جستجوی همبستگی، از صفحه مدیریت محتوا یا Content Management شروع کنید.

1. از Splunk Home، Splunk Enterprise Security را انتخاب کنید.
2. Configure > Content > Content Management را انتخاب کنید.
3. Create New Content > Correlation Search را انتخاب کنید تا ویرایشگر جستجوی همبستگی باز شود.
4. در قسمت Search Name، Excessive Failed Logins – Tutorial را تایپ کنید.
5. در لیست بازشونده‌ی App، SA-AccessProtection را به عنوان برنامه‌ای که می‌خواهید جستجوی همبستگی در آن ذخیره شود، انتخاب کنید. بافت و محتوای برنامه‌ای را انتخاب کنید که با نوع جستجویی که می‌خواهید بسازید همسو باشد. اگر یک برنامه‌ی سفارشی برای استقرار خود دارید، می توانید جستجوی همبستگی را در آنجا ذخیره کنید.
6. در لیست بازشونده‌ی UI Dispatch Context، None را انتخاب کنید. این برنامه‌ای است که توسط پیوندهای موجود در ایمیل و سایر اقدامات پاسخ تطبیقی ​​استفاده می‌شود. برای اینکه پیوندها کار کنند، برنامه باید برایشان قابل مشاهده باشد.
7. در فیلد Description، شرحی از آنچه جستجوی همبستگی به دنبال آن است، و مورد استفاده امنیتی‌ای که توسط جستجو پرداخته شده است را تایپ کنید. برای مثال، تعداد زیاد تلاش‌های ناموفق برای ورود را تشخیص می‌دهد (احتمالاً این یک حمله brute force است).

داده‌ها را با یک عبارت دارای «Where» یا کجا فیلتر کنید

داده‌هایی که جستجوی همبستگی آنان را برای مطابقت بررسی می‌کند با استفاده از عبارت Where فیلتر کنید. جستجو، قبل از درخواست، آمار فیلتر را اعمال می‌کند. جستجوی Excessive Failed Logins به‌طور پیش‌فرض شامل هیچ‌گونه فیلترِ دارای عبارت «Where» نیست، اما اگر می‌خواهید روی ورود ناموفق برای میزبان‌ها، کاربران یا انواع خاصی از احراز هویت تمرکز کنید، می‌توانید یک فیلتر اضافه کنید.

پیش نمایش جستجو به شما نشان می‌دهد که آیا زنجیره‌ی جستجوی همبستگی قابل تجزیه است یا خیر. زنجیره‌ی جستجو هنگام تایپ دستورها فیلتر را اضافه می‌کند و به شما این امکان را می‌دهد که ببینید آیا دستور فیلتر یک عبارت Where معتبر است یا خیر. می‌توانید جستجو را اعمال کنید تا ببینید آیا نتایج مورد انتظار شما را به‌دست می‌دهد یا خیر. اگر عبارت Where یک مدل داده‌ی «مجموعه داده»، مانند Authentication.dest، را فیلتر کرد، مدل داده‌ی «مجموعه داده» را با نقل قول تکی ضمیمه کنید. برای مثال، یک عبارت دارای کلمه‌ی Where که رویدادهای احراز هویت را، در جایی که مقصد host محلی است، فیلتر می‌کند، به صورت زیر است:  | where ‘Authentication.dest’!=”127.0.0.1″.

داده‌های خود را با Statistical Aggregates تجزیه و تحلیل کنید

داده‌های خود را با Statistical Aggregates تجزیه و تحلیل کنید. Statistical Aggregates تابعی است که برای یک ویژگی خاص در مدلِ داده یا فیلد، در یک فایل جستجو، اعمال می شود. از توده‌ها برای شناسایی آمارهای مرتبط با موارد استفاده‌ی تعریف‌شده‌ی خود استفاده کنید.

برای مثال، جستجوی همبستگی Excessive Failed Logins از چهار Statistical Aggregates آماری برای نشان دادن نقاط داده مهم مورد نیاز برای تعریف آستانه هشدار استفاده می‌کند. برای این جستجو، موارد زیر را شناسایی می‌کنند:

• برچسب‌های مرتبط با احراز هویت کاربران.
• تعداد کاربران.
• تعداد مقصدها.
• تعداد کل تلاش‌ها

ها را ایجاد کنیدTags Aggregate

با استفاده از برچسب‌ها، موفقیت و شکست‌های تلاش‌ها برای احراز هویت را شناسایی کنید.

1. روی Add a New Aggregate کلیک کنید.
2. تابع values یا مقادیر را از لیست Function انتخاب کنید.
3. گزینه‌ی Authentication.tag را از لیست Field انتخاب کنید.
4. کلمه‌ی «tag» را در قسمت Alias ​​تایپ کنید.

این Aggregate همه‌ی مقادیر مجموعه‌داده‌ی Authentication.tag را بازیابی می‌کند.

ایجاد Aggregate تعداد کاربران

تعداد کاربران مشخص دخیل را شناسایی کنید.

1. روی Add a new aggregate کلیک کنید.
2. تابع dc را از لیست Function انتخاب کنید.
3. گزینه‌ی Authentication.user را از لیست Field انتخاب کنید.
4. عبارت  user_count را در قسمت Alias ​​تایپ کنید.

این توده تعداد مشخصی از کاربران را بازیابی می‌کند.

ایجاد Aggregate تعداد مقصدها

تعداد مقاصد مشخص دخیل را شناسایی کنید.

1. روی Add a new aggregate کلیک کنید.
2. تابع dc را از لیست Function انتخاب کنید.
3. گزینه‌ی Authentication.dest را از لیست Field انتخاب کنید.
4. عبارتdest_count  را در قسمت Alias تایپ کنید.

این توده تعداد مشخصی از دستگاه‌هایی را که مقصد فعالیت‌های احراز هویت هستند بازیابی می‌کند.

ایجاد Aggregate تعداد کل

تعداد کل را شناسایی کنید.

1. روی Add a new aggregate کلیک کنید.
2. تابع شمارش را از لیست Function انتخاب کنید.
3. فیلدهای attribute و Alias را خالی بگذارید.

این توده تعداد کل را برای تجزیه و تحلیل آماری مشخص می‌کند.

فیلدهایی که باید تقسیم شوند

فیلدهایی را که می‌خواهید نتایج توده را بر اساس آنها تقسیم کنید، مشخص کنید. فیلدهای تقسیم شده فیلدهایی را تعریف می‌کنند که می خواهید نتایج توده را بر اساس آنها گروه بندی کنید. برای مثال، اگر کاربران، از یک منبع، وارد یک برنامه‌ی مشخص شده باشند، شما به ورود ناموفق «بیش از حد» اهمیت بیشتری خواهید داد. به منظور به دست آوردن رویدادهای قابل توجه و خاص‌تر و جلوگیری از هشدار بیش از حد، فیلدهای تقسیم شده را برای نتایج جستجوی توده تعریف کنید.

Aggregateها را بر اساس برنامه تقسیم کنید.

1. روی Add a new split-by کلیک کنید.
2. گزینه‌ی Authentication.app را از لیست Fields انتخاب کنید.
3. عبارت app  را در فیلد Alias تایپ کنید.

Aggregateها را بر اساس منبع تقسیم کنید

1. روی Add a new split-by کلیک کنید.
2. گزینه‌ی Authentication.src را از لیست Fields انتخاب کنید.
3. عبارت src  را در فیلد Alias تایپ کنید.

برای تعریف معیارهای مطابقتِ جستجوی همبستگی، روی Next کلیک کنید.

معیارهای مطابقت جستجوی همبستگی را برای تجزیه و تحلیل تعریف کنید

معیارهایی را که مطابقت را برای جستجوی همبستگی تعریف می‌کنند، شناسایی کنید. جستجوی همبستگی زمانی عملی را انجام می‌دهد که نتایج جستجو با شرایط از پیش تعریف شده مطابقت داشته باشند. تابع آماری مورد استفاده برای جستجوی یک مورد منطبق را تعریف کنید.

برای ورودهای ناموفق بیش از حد، یعنی هنگامی که یک کاربر خاص دارای شش ورود ناموفق یا بیشتر از یک منبع است و تلاش می‌کند که به همان برنامه وارد شود، جستجوی همبستگی یک مورد را شناسایی کرده و اقدام می‌کند.

1. در لیست Field ، تعداد تابع (count) را انتخاب کنید. لیست Field با ویژگی‌های مورد استفاده در توده‌ها و با فیلدهای مورد استفاده در تقسیم‌بندی پر می‌شود.
2. در لیست Comparator، گزینه‌ی Greater than or equal to را انتخاب کنید.
3. در فیلد Value، عدد 6 را تایپ کنید.
4. روی Next کلیک کنید.