Splunk és SOC alapjai

Questions and Answers

Mi a SOC egyik elsődleges feladata?

• Biztonsági másolatok készítése
• A felhasználók hitelesítése
• Riasztások kezelése monitorozó eszközök által (correct)
• A gép által generált adatok indexelése

Mire van szükség incidenst követően a SOC által?

• Új felhasználók létrehozására
• A riasztások újbóli monitorozására
• A rendszerek és adatok helyreállítására (correct)
• Fizikai helyszíneket kell biztosítani

Melyik SOC típus jellemzője, hogy a biztonsági csapat házon belül működik?

• Belső SOC (correct)
• Virtuális SOC
• Hibrid SOC
• Külső SOC

Hogyan működik a Splunk?

Adatok indexelésével és kereshetővé tételével (D)

Melyik SOC típus nyújt támogatást kisebb biztonsági csapatoknak?

Hibrid SOC (A)

Melyik lépés nem része a Splunk bejelentkezési folyamatának?

Rendszergazda kijelölése (C)

Milyen formában működik a virtuális SOC?

A folyamatok irányelveken alapul (B)

Melyik jelszó példa megfelelő az első bejelentkezéshez a Splunk rendszerben?

admin (B)

Mi a Biztonsági Műveleti Központ (SOC) legfőbb feladata?

Kiberbiztonsági figyelés és reagálás (D)

Milyen szerepe van a SOC-elemzőknek?

Biztonsági adatok figyelése és elemzése (A)

Ki a Threat Hunter szerepében dolgozik?

A hálózaton belüli rejtett fenyegetések keresése (D)

Mi a SOC fontossága a kiberbiztonsági műveletekben?

Hálózati és rendszertevékenységek folyamatos felügyelete (B)

Milyen módszereket használnak a kiberfenyegetések észlelésére?

SIEM-eszközök és fejlett elemzés (A)

Melyik a SOC feladatai közé tartozik?

A fenyegetések analizálása és riasztások kezelése. (D)

Mi az incidensválaszadó feladata?

Azonnali lépések megtétele a fenyegetések kezelésére (C)

Ki nem a SOC feladatköréhez tartozik?

Adatbázisok karbantartásáért felelős szakember (C)

Mi a Splunk szerepe a SOC működésében?

Naplók és biztonsági események elemzése. (B)

Melyik állítás a Threat Hunter szerepéről nem helytálló?

Folyamatosan figyeli a biztonsági adatokat (B)

Hogyan segít a SOC a költségek csökkentésében?

A támadások megelőzésével. (C)

Melyik előnye a SOC-nak a hálózati láthatósággal kapcsolatban?

Valós idejű hálózati forgalom monitorozása. (C)

Mi a feladata az időbélyegeknek a Splunk platformon?

Az események időpontjának nyomon követése. (A)

Milyen formátumban kell megjelenniük az időbélyegeknek?

[18/Oct/2023:18:22:16] (D)

Milyen célra használják a SOC csapatok a valós idejű adatgyűjtést?

Gyorsabb incidensválasz biztosítása. (D)

Mit jelent a fenyegetésészlelés a SOC szempontjából?

A potenciális fenyegetések azonosítása. (D)

Miért fontos a forrástípus meghatározása az adatok indexelésekor?

Segít a forrásból származó adatok szűrésében. (B)

Melyik index típust érdemes használni, ha nem biztos a forrás típusában?

Védőfal index (A)

Melyik állítás igaz a SOC proaktív monitorozására?

Segít a kiberbűnözési trendek figyelésében. (C)

Milyen támogatást nyújt a SOC a megfelelés biztosításában?

Automatikus jelentéskészítés. (A)

Milyen információkat tartalmaznak a webes hozzáférési naplók?

Felhasználói kéréseket, IP-címeket és böngészőket. (A)

Milyen eseményeket tárol a Splunk platform?

Minden bejövő adatot eseményként. (D)

Milyen jelentősége van a gazdagép (host) mezőnek az adatokban?

Azonosítja az adatforrás helyét. (A)

Milyen feladatokat lát el a Splunk platform az események feldolgozása során?

Az adatok elemzéséért és betekintést ad a rendszer működésébe. (D)

Melyik szerepe van a Blue Teamnek a SOC műveletekben?

A biztonsági incidensek azonosítása és kezelése. (C)

Miért választják sokan a Splunkot a SOC környezetben?

Rugalmassága és széleskörű adatforrástámogatása miatt. (A)

Melyik funkciója jellemzi leginkább a Splunkot mint SIEM eszközt?

Valós idejű naplógyűjtés és elemzés. (C)

Milyen típusú riasztások állíthatók be a Splunkban?

Kritikus eseményekről értesítő riasztások. (B)

Milyen módon segíti a Splunk a fenyegetések azonosítását?

Valós idejű figyeléssel és adatelemzéssel. (B)

Melyik jellemzője nem kapcsolódik a Splunk funkcióihoz?

Képesség a hacker támadások végrehajtására. (B)

Melyik nem jellemző a Splunkra a SOC összefüggésében?

Kizárólag kis méretű szervezetek számára készült. (D)

Milyen típusú naplókat kezel a Splunk?

Több forrásból, például tűzfalakból és DNS-forgalomból származó naplókat. (D)

Mi a kliens feladata a kliens-hoszt kapcsolatban?

Kérések küldése a hoszt felé (B)

Milyen célból használható a webes hozzáférési naplók elemzése?

Rendszer optimalizálás (C)

Mi jellemzi a hosztot a kliens-hoszt kapcsolatban?

Válaszokat ad a kliensektől érkező kérésekre (A)

Miért fontos a log fájlok elemezése a biztonság szempontjából?

Mert azonosíthatóak a rosszindulatú aktivitások (C)

Milyen lépés szükséges a fájl betöltéséhez a webkiszolgáló naplófájl esetében?

A feltöltés lehetőség kiválasztása (D)

Mi történik, ha a forrástípus nem észlelhető helyesen az adatok indexelése előtt?

Manuálisan kell kiválasztani a megfelelő típust (A)

Melyik nem jellemző a hoszt szerepére?

Adminisztrálja a felhasználói fiókokat (C)

Mi a célja a hibakeresésnek a webes naplók használatával?

Rendszerhibák azonosítása (C)

Flashcards

SOC

A Biztonsági Műveleti Központ (SOC) egy központosított egység, amely a kiberbiztonsági figyeléssel, észleléssel és incidensre való reagálással foglalkozik.

SOC-elemző

A SOC-elemzők biztonsági adatokat figyelnek és elemeznek gyanús tevékenységek szempontjából.

Threat Hunter

Threat Hunter-ek a biztonsági incidenseket vizsgálják ki és rájuk reagálnak, a kockázatcsökkentési erőfeszítések kezelése.

Fenyegetésvadászok

Proaktívan keresik a rejtett fenyegetéseket a hálózatban, azonosítják a sebezhetőségeket, mielőtt kihasználnák őket.

SIEM

Egy biztonsági információs és eseménykezelési (SIEM) eszköz.

A SOC fontossága

Folyamatos hálózati és rendszertevékenység-felügyeletet biztosít, kiberfenyegetéseket észlel a SIEM eszközzel, és gyorsan reagál a biztonsági résekre.

Elemző szerepe

A SOC elemzője figyeli a naplókat, adatokat és riasztásokat a fenyegetések jeleit keresve.

Incidensválaszadó szerepe

Az incidensválaszadó azonnali lépéseket tesz a fenyegetések megfékezése és kiküszöbölése érdekében.

Riasztáskezelés

A SOC egyik fő feladata, hogy kezelje a monitorozó eszközök (tűzfalak, IDPS-ek, SIEM rendszerek) által generált riasztásokat.

Incidensválasz

A SOC gyorsan reagál az incidensekre, elkülöníti a fenyegetett pontokat, osztályozza a veszélyeket és dokumentálja az eseteket.

Helyreállítás és orvoslás

Az incidensek után a SOC helyreállítja a rendszereket és az adatokat, és szükség esetén biztonsági másolatokat telepít.

Belső SOC

A vállalat saját helyszínén működik, a cég alkalmazottai figyelik a biztonsági eseményeket.

Külső SOC

Különálló vállalat vagy szolgáltató nyújtja a SOC szolgáltatásait, a biztonsági feladatokat külsőleg kezelik.

Hibrid SOC

A vállalat belső biztonsági csapata és egy külsős szolgáltató kombinációja.

Virtuális SOC

A biztonsági folyamatok nem fizikai helyszínen, az irányelveken és paramétereken alapulnak, virtuális eszközökel valósítják meg a riasztás szűrést.

Fenyegetés-észlelés

A fenyegetés-észlelés a folyamat, amely során azonosítják a potenciális támadásokat és veszélyeket a hálózaton vagy az informatikai rendszerekben.

Splunk

A Splunk egy SIEM (Security Information and Event Management) rendszer, amely segít a SOC-nak a naplók és biztonsági események elemzésében.

Incidentszerkezelés

Az incidentszerkezelés magában foglalja a biztonsági incidensek kezelésének teljes folyamatát, az észleléstől a megoldásig.

Valós idejű monitorozás

A valós idejű monitorozás az informatikai rendszerek és hálózatok folyamatos megfigyelését jelenti, hogy azonnal felismerjék a problémákat és fenyegetéseket.

Automatizált jelentéskészítés

Az automatizált jelentéskészítés egy olyan folyamat, amely során a rendszer automatikusan generál jelentéseket a biztonsági eseményekről és incidensekről.

Költségcsökkentés

A SOC segít minimalizálni az adatlopások költségeit, mivel azonosítja és megakadályozza a támadásokat, valamint hatékonyabbá teszi a biztonsági folyamatokat.

Esemény időbélyeg

Egy eseményhez kapcsolódó időpont, amely egyedi azonosítót ad neki. Hasznos a különböző események sorrendjének és időtartamának meghatározásához.

HTTP-kérések feldolgozása

Minden HTTP-kérést külön eseményként kezelünk. Ez azt jelenti, hogy minden kérésnek van egy egyedi időbélyeg, és külön rögzítik a naplóban.

Időbélyeg formátum

Az időbélyeg azonos formátumú, például [18/Oct/2023:18:22:16].

Bemeneti paraméterek

További információk, pl. a napló forrása, amelyek az adatbevitel során hasznosak lehetnek.

Forrás megadása

Fontos információ arról, hogy honnan származnak az adatok, pl. egy kiszolgáló vagy eszköz neve.

Védőfal index

Egy külön index, ahol a konfigurációkat tesztelhetjük, mielőtt az éles adatokkal használnánk.

Indexálás

Az adatokat különböző indexekbe rendezzük a keresési képesség javítása érdekében.

Hozzáférés napló

Egy fájl, amely a weboldal vagy alkalmazáshoz történt hozzáférések információit tartalmazza.

Kliens-Hoszt kapcsolat

A kliens (pl. böngésző) kéréseket küld a hoszt (pl. webszerver) felé, amely a kért adatokat vagy szolgáltatásokat biztosítja.

Log fájlok haszna

A webes hozzáférési naplók (log fájlok) elemzésével azonosítható a rosszindulatú aktivitás, a rendszer teljesítménye optimalizálható, hibakeresés végezhető és auditálásra is használható.

Brute force támadás

Egy olyan támadás, amely automatikusan próbál meg bejelentkezni egy fiókba különböző jelszavakkal, amíg meg nem találja a helyeset.

DoS támadás

Egy olyan támadás, amely megakadályozza a felhasználókat abban, hogy egy adott webszerverhez hozzáférjenek.

Access.log fájl

Egy naplófájl, amely rögzíti a webhelyhez való hozzáféréseket. Ez tartalmazza a kérések információit, például az IP címet, a dátumot, az időt és a kért oldalt.

Forrás típusának beállítása

A Splunk platform elemzi az adatainkat az indexelés előtt, hogy meghatározza a fájl típusát. Ha nem helyes, manuálisan be kell állítani.

Tovább gomb

A Splunk platformon a Tovább gombra kell kattintani, ha az adatok megfelelőek és folytatni szeretnénk az elemzést.

Kék csapat szerepe

A Kék csapat felelős a védekező kiberbiztonságért, beleértve a biztonsági incidensek azonosítását, a lehetséges kockázatok csökkentését és a védelem megerősítését folyamatos monitorozással és incidenskezeléssel.

Splunk előnyei

A Splunk hatékony naplókezelést, valós idejű incidensészlelést és folyamatos monitorozást kínál, így gyors reagálást és szervizelést tesz lehetővé.

Splunk főbb SOC műveleti jellemzői

Adatbetöltés: feldolgozza a naplókat különböző forrásokból, Keresés és szűrés: az SPL segítségével gyorsan megtalálható a releváns információ, Riasztások: értesítik az SOC csapatot a kritikus eseményekről.

Splunk előnyei a SOC-ban

Rugalmasság: adatforrások széles skáláját támogatja, Felhasználóbarát irányítópultok: könnyen kezelhetők, Méretezhetőség: nagy mennyiségű adatot kezel, Gyors telepítés: gyorsan beállítható, Közösségi támogatás: segít a tanulásban és a hibaelhárításban.

Mi az a Splunk?

A Splunk egy biztonsági információ- és eseménykezelő (SIEM) eszköz, amely valós idejű monitorozást, adatelemzést és incidenskezelést tesz lehetővé.

Splunk főbb képességei

Valós idejű naplógyűjtés: valós időben gyűjti és processzálja a naplókat, Keresés és szűrés: a Search Processing Language (SPL) segítségével szűri és lekérdezi a biztonsági adatokat.

Splunk és a kiberfenyegetések

A Splunk az adatok gyűjtésével, rendszerezésével és elemzésével segíti a biztonsági csapatokat a kiberfenyegetések gyors észlelése és az azokra való reagálás érdekében.

Study Notes

Splunk és SOC alapjai

• A Splunk egy biztonsági információ- és eseménykezelő (SIEM) eszköz, amely valós idejű monitorozást, adatelemzést és incidenskezelést tesz lehetővé.
• A SOC (Security Operations Center) egy központosított egység, amely a kiberbiztonsági figyeléssel, észleléssel és incidensre való reagálással foglalkozik.
• A SOC kulcsszerepe a szervezet adatainak, hálózatainak és infrastruktúrájának védelme a kiberfenyegetésektől.
• A SOC-ban szereplő kulcsszerepek:
  • Elemző: Figyeli a naplókat, adatokat és riasztásokat a fenyegetések jeleit keresve.
  • Incidensválaszadó: Azonnali lépéseket tesz a fenyegetések megfékezése és kiküszöbölése érdekében.
  • Threat Hunter: Proaktívan keres rejtett fenyegetéseket.
  • Kék csapat: felelős a védekező kiberbiztonságért (incidensek azonosítása, kockázatok csökkentése, védelem megerősítése).
• A Splunk előnyei a SOC használatához:
  • Rugalmasság és integrálhatóság
  • Kényelmes felhasználói felület
  • Méretezhetőség
  • Gyors telepítés
  • Aktív közösség és dokumentáció

Splunk működése

• Adatgyűjtés: Különböző forrásokból (pl. tűzfalak, webkiszolgálók, DNS-szerverek, e-mail naplók) gyűjti az adatokat.
• Indexelés: Egyszerűsíti és gyorsabbá teszi a keresést (például SPL-en keresztül).
• Keresés: Az SPL (Search Processing Language) segítségével gyorsan megkereshetők az események.
• Riasztások: Lehetővé teszi valós idejű riasztások beállítását kritikus biztonsági eseményekhez.
• Jelentéskészítés: Átfogó jelentéseket készít az elemzéshez és auditokhoz.

Splunk vs. egyéb SIEM eszközök

• Splunk vs. ELK-verem: A Splunk felhasználóbarát, a konfigurációjával és karbantartásával szemben az ELK-verem bonyolultabb.
• Splunk vs. IBM QRadar: A Splunk nagymértékben méretezhető, ideális valós idejű elemzésekhez, a QRadar pedig automatizált és intelligenciával rendelkezik.
• Splunk vs. ArcSight: A Splunk rugalmasabb és gyorsabb, az ArcSight pedig összetettebb, de jól teljesít megfelelőségi jelentésekben.

Használati esetek

• Belső fenyegetések észlelése: Gyanús alkalmazotti aktivitás keresése (szokatlan bejelentkezési időpontok, jogosulatlan hozzáférés).
• Külső fenyegetések észlelése: Adathalászati kísérletek (gyanús hivatkozások e-mailben), Brute Force támadások (ismétlődő bejelentkezési kísérletek), rosszindulatú programok detektálása (rendellenes hálózati forgalom, fájlváltozások).

Alapvető terminológia

• Fenyegetések: kárt okozó események vagy akciók.
• Biztonsági rések: a rendszer gyengeségei, kihasználhatóak.
• Kockázatok: a sebezhetőséget kihasználó fenyegetés lehetséges hatásának és valószínűségének értékelése.
• Naplók: események rögzítése a rendszereken (hálózati tevékenységek, felhasználói műveletek, rendszerhibák).
• Riasztások: értesítések a potenciális problémákról.
• Incidensek: megerősített biztonsági események, amelyek károsíthatják az információkat.

A Splunk bejelentkezése/használata

• A Splunk szerver IP-címe vagy URL-je megadása a böngészőben.
• Bejelentkezés (felhasználónév és jelszó megadása).
• A szükséges adatok betöltése a Splunkba.
• Splunk keresők használata a adatok megismerése és vizsgálata céljából.

Description

A quiz célja, hogy bemutassa a Splunk és a SOC (Security Operations Center) alapjait. Megismerheti a SOC szerepeit, mint például az elemzőt és az incidensválaszadót, valamint a Splunk előnyeit az incidenskezelésben. Fedezze fel, hogyan segítik a kiberfenyegetések elleni védekezést e modern eszközök.