Splunk és SOC alapjai

Questions and Answers

Mi a SOC egyik elsődleges feladata?

Biztonsági másolatok készítése

A felhasználók hitelesítése

Riasztások kezelése monitorozó eszközök által (correct)

A gép által generált adatok indexelése

Mire van szükség incidenst követően a SOC által?

Új felhasználók létrehozására

A riasztások újbóli monitorozására

A rendszerek és adatok helyreállítására (correct)

Fizikai helyszíneket kell biztosítani

Melyik SOC típus jellemzője, hogy a biztonsági csapat házon belül működik?

Belső SOC (correct)

Virtuális SOC

Hibrid SOC

Külső SOC

Hogyan működik a Splunk?

Adatok indexelésével és kereshetővé tételével

Melyik SOC típus nyújt támogatást kisebb biztonsági csapatoknak?

Hibrid SOC

Melyik lépés nem része a Splunk bejelentkezési folyamatának?

Rendszergazda kijelölése

Milyen formában működik a virtuális SOC?

A folyamatok irányelveken alapul

Melyik jelszó példa megfelelő az első bejelentkezéshez a Splunk rendszerben?

admin

Mi a Biztonsági Műveleti Központ (SOC) legfőbb feladata?

Kiberbiztonsági figyelés és reagálás

Milyen szerepe van a SOC-elemzőknek?

Biztonsági adatok figyelése és elemzése

Ki a Threat Hunter szerepében dolgozik?

A hálózaton belüli rejtett fenyegetések keresése

Mi a SOC fontossága a kiberbiztonsági műveletekben?

Hálózati és rendszertevékenységek folyamatos felügyelete

Milyen módszereket használnak a kiberfenyegetések észlelésére?

SIEM-eszközök és fejlett elemzés

Melyik a SOC feladatai közé tartozik?

A fenyegetések analizálása és riasztások kezelése.

Mi az incidensválaszadó feladata?

Azonnali lépések megtétele a fenyegetések kezelésére

Ki nem a SOC feladatköréhez tartozik?

Adatbázisok karbantartásáért felelős szakember

Mi a Splunk szerepe a SOC működésében?

Naplók és biztonsági események elemzése.

Melyik állítás a Threat Hunter szerepéről nem helytálló?

Folyamatosan figyeli a biztonsági adatokat

Hogyan segít a SOC a költségek csökkentésében?

A támadások megelőzésével.

Melyik előnye a SOC-nak a hálózati láthatósággal kapcsolatban?

Valós idejű hálózati forgalom monitorozása.

Mi a feladata az időbélyegeknek a Splunk platformon?

Az események időpontjának nyomon követése.

Milyen formátumban kell megjelenniük az időbélyegeknek?

[18/Oct/2023:18:22:16]

Milyen célra használják a SOC csapatok a valós idejű adatgyűjtést?

Gyorsabb incidensválasz biztosítása.

Mit jelent a fenyegetésészlelés a SOC szempontjából?

A potenciális fenyegetések azonosítása.

Miért fontos a forrástípus meghatározása az adatok indexelésekor?

Segít a forrásból származó adatok szűrésében.

Melyik index típust érdemes használni, ha nem biztos a forrás típusában?

Védőfal index

Melyik állítás igaz a SOC proaktív monitorozására?

Segít a kiberbűnözési trendek figyelésében.

Milyen támogatást nyújt a SOC a megfelelés biztosításában?

Automatikus jelentéskészítés.

Milyen információkat tartalmaznak a webes hozzáférési naplók?

Felhasználói kéréseket, IP-címeket és böngészőket.

Milyen eseményeket tárol a Splunk platform?

Minden bejövő adatot eseményként.

Milyen jelentősége van a gazdagép (host) mezőnek az adatokban?

Azonosítja az adatforrás helyét.

Milyen feladatokat lát el a Splunk platform az események feldolgozása során?

Az adatok elemzéséért és betekintést ad a rendszer működésébe.

Melyik szerepe van a Blue Teamnek a SOC műveletekben?

A biztonsági incidensek azonosítása és kezelése.

Miért választják sokan a Splunkot a SOC környezetben?

Rugalmassága és széleskörű adatforrástámogatása miatt.

Melyik funkciója jellemzi leginkább a Splunkot mint SIEM eszközt?

Valós idejű naplógyűjtés és elemzés.

Milyen típusú riasztások állíthatók be a Splunkban?

Kritikus eseményekről értesítő riasztások.

Milyen módon segíti a Splunk a fenyegetések azonosítását?

Valós idejű figyeléssel és adatelemzéssel.

Melyik jellemzője nem kapcsolódik a Splunk funkcióihoz?

Képesség a hacker támadások végrehajtására.

Melyik nem jellemző a Splunkra a SOC összefüggésében?

Kizárólag kis méretű szervezetek számára készült.

Milyen típusú naplókat kezel a Splunk?

Több forrásból, például tűzfalakból és DNS-forgalomból származó naplókat.

Mi a kliens feladata a kliens-hoszt kapcsolatban?

Kérések küldése a hoszt felé

Milyen célból használható a webes hozzáférési naplók elemzése?

Rendszer optimalizálás

Mi jellemzi a hosztot a kliens-hoszt kapcsolatban?

Válaszokat ad a kliensektől érkező kérésekre

Miért fontos a log fájlok elemezése a biztonság szempontjából?

Mert azonosíthatóak a rosszindulatú aktivitások

Milyen lépés szükséges a fájl betöltéséhez a webkiszolgáló naplófájl esetében?

A feltöltés lehetőség kiválasztása

Mi történik, ha a forrástípus nem észlelhető helyesen az adatok indexelése előtt?

Manuálisan kell kiválasztani a megfelelő típust

Melyik nem jellemző a hoszt szerepére?

Adminisztrálja a felhasználói fiókokat

Mi a célja a hibakeresésnek a webes naplók használatával?

Rendszerhibák azonosítása

Study Notes

Splunk és SOC alapjai

• A Splunk egy biztonsági információ- és eseménykezelő (SIEM) eszköz, amely valós idejű monitorozást, adatelemzést és incidenskezelést tesz lehetővé.
• A SOC (Security Operations Center) egy központosított egység, amely a kiberbiztonsági figyeléssel, észleléssel és incidensre való reagálással foglalkozik.
• A SOC kulcsszerepe a szervezet adatainak, hálózatainak és infrastruktúrájának védelme a kiberfenyegetésektől.
• A SOC-ban szereplő kulcsszerepek:
  • Elemző: Figyeli a naplókat, adatokat és riasztásokat a fenyegetések jeleit keresve.
  • Incidensválaszadó: Azonnali lépéseket tesz a fenyegetések megfékezése és kiküszöbölése érdekében.
  • Threat Hunter: Proaktívan keres rejtett fenyegetéseket.
  • Kék csapat: felelős a védekező kiberbiztonságért (incidensek azonosítása, kockázatok csökkentése, védelem megerősítése).
• A Splunk előnyei a SOC használatához:
  • Rugalmasság és integrálhatóság
  • Kényelmes felhasználói felület
  • Méretezhetőség
  • Gyors telepítés
  • Aktív közösség és dokumentáció

Splunk működése

• Adatgyűjtés: Különböző forrásokból (pl. tűzfalak, webkiszolgálók, DNS-szerverek, e-mail naplók) gyűjti az adatokat.
• Indexelés: Egyszerűsíti és gyorsabbá teszi a keresést (például SPL-en keresztül).
• Keresés: Az SPL (Search Processing Language) segítségével gyorsan megkereshetők az események.
• Riasztások: Lehetővé teszi valós idejű riasztások beállítását kritikus biztonsági eseményekhez.
• Jelentéskészítés: Átfogó jelentéseket készít az elemzéshez és auditokhoz.

Splunk vs. egyéb SIEM eszközök

• Splunk vs. ELK-verem: A Splunk felhasználóbarát, a konfigurációjával és karbantartásával szemben az ELK-verem bonyolultabb.
• Splunk vs. IBM QRadar: A Splunk nagymértékben méretezhető, ideális valós idejű elemzésekhez, a QRadar pedig automatizált és intelligenciával rendelkezik.
• Splunk vs. ArcSight: A Splunk rugalmasabb és gyorsabb, az ArcSight pedig összetettebb, de jól teljesít megfelelőségi jelentésekben.

Használati esetek

• Belső fenyegetések észlelése: Gyanús alkalmazotti aktivitás keresése (szokatlan bejelentkezési időpontok, jogosulatlan hozzáférés).
• Külső fenyegetések észlelése: Adathalászati kísérletek (gyanús hivatkozások e-mailben), Brute Force támadások (ismétlődő bejelentkezési kísérletek), rosszindulatú programok detektálása (rendellenes hálózati forgalom, fájlváltozások).

Alapvető terminológia

• Fenyegetések: kárt okozó események vagy akciók.
• Biztonsági rések: a rendszer gyengeségei, kihasználhatóak.
• Kockázatok: a sebezhetőséget kihasználó fenyegetés lehetséges hatásának és valószínűségének értékelése.
• Naplók: események rögzítése a rendszereken (hálózati tevékenységek, felhasználói műveletek, rendszerhibák).
• Riasztások: értesítések a potenciális problémákról.
• Incidensek: megerősített biztonsági események, amelyek károsíthatják az információkat.

A Splunk bejelentkezése/használata

• A Splunk szerver IP-címe vagy URL-je megadása a böngészőben.
• Bejelentkezés (felhasználónév és jelszó megadása).
• A szükséges adatok betöltése a Splunkba.
• Splunk keresők használata a adatok megismerése és vizsgálata céljából.

Description

A quiz célja, hogy bemutassa a Splunk és a SOC (Security Operations Center) alapjait. Megismerheti a SOC szerepeit, mint például az elemzőt és az incidensválaszadót, valamint a Splunk előnyeit az incidenskezelésben. Fedezze fel, hogyan segítik a kiberfenyegetések elleni védekezést e modern eszközök.