Splunk és SOC alapjai PDF 2024-10-22

Summary

Ez az anyag a Splunk és a Biztonsági Műveleti Központ (SOC) alapjait ismerteti, a kiberbiztonság területére fókuszálva. Az anyag 2024-10-22-i előadás az Óbuda Egyetem Doktori Iskoláján. A prezentáció a Splunk eszközt és annak működését, valamint a SOC alapvető szerepeit taglalja.

Full Transcript

11/25/2024

A Splunk és a SOC alapjai
2024-10-22

Kovács Attila Máté CISM (#232191855) | CISA (#242401823) | CEHv11
(#ECC4786953012) | CCSISO and CCISO HallofFame 2023 (#ECC2789360451) | ISO27kcLA (#HU-
K-2021/0069-BATK-01049) | OSCP [Offensive Security Certified Professional]

Óbuda University Doctoral School on Safety and Security Sciences
Researchgate: https://www.researchgate.net/profile/Attila-Kovacs-40

Bevezetés
Célkitűzés:
Alapvető ismeretek megszerzése a Biztonsági Műveleti Központ (SOC) felépítéséről és szerepéről a kiberbiztonság
területén.
A Splunk megismerése, mint SIEM eszköz, amelyet biztonsági adatgyűjtésre, elemzésre és válaszadásra használnak.
Gyakorlati tevékenységek végzése, amelyek segítenek a résztvevőknek megismerkedni a Splunk felületével és alapvető
funkcióival.

1. rész: Elmélet
Mi az a SOC?
A Biztonsági Műveleti Központ (SOC) egy központosított egység, amely a kiberbiztonsági figyeléssel, észleléssel és
incidensre való reagálással foglalkozik.
Kritikus szerepet játszik abban, hogy megvédje a szervezet adatait, hálózatait és infrastruktúráját a kiberfenyegetésektől.

2. rész: Gyakorlat

Elmélet
 11/25/2024

SOC

Struktúra és szerepek a SOC-ban

SOC-elemzők: Biztonsági adatok figyelése és elemzése gyanús tevékenységek szempontjából.
Threat Hunters: Biztonsági incidensek kivizsgálása és reagálása, a kockázatcsökkentési erőfeszítések kezelése.
Fenyegetésvadászok: Proaktívan keresse meg a rejtett fenyegetéseket a hálózaton belül, azonosítsa a
sebezhetőségeket, mielőtt kihasználnák őket.

Az SOC fontossága a kiberbiztonsági műveletekben:

A hálózati és rendszertevékenységek folyamatos felügyelete.
A kiberfenyegetések észlelése SIEM-eszközökkel és fejlett elemzéssel.
Gyors reagálás a potenciális biztonsági résekre vagy sebezhetőségekre.

Kulcsszerepek az SOC-ban:
Elemző: Figyeli a naplókat, adatokat és riasztásokat a fenyegetések jeleit keresve.
Incidensválaszadó: Azonnali lépéseket tesz a fenyegetések megfékezése és kiküszöbölése érdekében.
Threat Hunter: Olyan speciális fenyegetéseket keres, amelyek megkerülik a hagyományos észlelési
módszereket.

A kék csapat szerepe a SOC-műveletekben:
A Blue Team felelős a védekező kiberbiztonságért, beleértve:
A biztonsági incidensek azonosítását.
A lehetséges kockázatok csökkentése.
A védelem megerősítése folyamatos monitorozással és incidenskezeléssel.
 11/25/2024

Miért a Splunk?

Naplókezelés: Hatékonyan kezeli a nagy mennyiségű naplót, biztosítva a könnyű

hozzáférést és kereshetőséget.

Incidensészlelés: Az incidensek valós idejű észlelését biztosítja, lehetővé téve a gyors

reagálást és szervizelést.

Valós idejű figyelés: Folyamatosan figyeli a biztonsági környezetet, és segít azonosítani

a fenyegetéseket, mielőtt kárt okoznának.

A Splunk főbb SOC műveleti jellemzői

Adatbetöltés: Feldolgozza és indexeli a különböző forrásokból, például tűzfalakból,

webkiszolgálókból és DNS-forgalomból származó naplókat.

Keresés és szűrés: Az SPL segítségével gyorsan megtalálhatja a releváns biztonsági

eseményeket, így könnyebben azonosíthatja a potenciális fenyegetéseket.

Riasztások: Riasztások konfigurálása, hogy értesítsék az SOC-csapatot a kritikus

eseményekről, például az ismétlődő bejelentkezési hibákról vagy a kártevők észleléséről.

Miért részesítik előnyben a Splunkot a SOC használathoz?

Rugalmasság: Az adatforrások széles skáláját támogatja, és könnyen integrálható a meglévő
SOC-munkafolyamatokba.
Felhasználóbarát irányítópultok: Intuitív és testreszabható irányítópultokat biztosít, amelyek
lehetővé teszik a csapatok számára az adatok gyors megjelenítését.
Méretezhetőség: Nagy méretekben kezeli az adatokat, így bármilyen méretű szervezet számára
megfelelő.
Gyors telepítés: Gyorsan megvalósítható minimális konfigurációval más rendszerekhez
képest.
Közösségi támogatás: A nagy felhasználói közösség és a robusztus dokumentáció
hozzáférhető tanulási és hibaelhárítási erőforrásokat biztosít.
 11/25/2024

A Splunk mint SIEM áttekintése
Mi az a Splunk?
A Splunk egy biztonsági információ- és eseménykezelő (SIEM) eszköz, amely valós idejű monitorozást, adatelemzést és
incidenskezelést tesz lehetővé.
A Splunk az adatok gyűjtésével, rendszerezésével és elemzésével segíti a biztonsági csapatokat a kiberfenyegetések
gyors észlelése és az azokra való reagálás érdekében.

A Splunk legfontosabb képességei:
Valós idejű naplógyűjtés: Valós időben gyűjti és dolgozza fel a naplókat több forrásból (pl. tűzfalak, DNS, e-mail
naplók).
Keresés és szűrés: A Search Processing Language (SPL) használatával szűri és lekérdezi a biztonsági adatokat a hasznos
elemzések érdekében.
Riasztások: Lehetővé teszi valós idejű riasztások beállítását kritikus biztonsági eseményekhez vagy gyanús
tevékenységekhez.
Jelentéskészítés: Átfogó jelentéseket készít a mélyebb elemzéshez és megfelelőségi auditokhoz.

SOC-eszközök és SIEM-rendszerek
SIEM-eszközök összehasonlítása:
Splunk vs. ELK verem:
Splunk: Dobozos funkcióiról ismert, beleértve a valós idejű riasztásokat, a fejlett jelentéseket és a felhasználóbarát
felületet.
ELK Stack: Nyílt forráskódú alternatíva, nagyszerű testreszabáshoz, de több konfigurációt és karbantartást igényel.
Splunk vs. IBM QRadar:
Splunk: Nagymértékben méretezhető, ideális valós idejű elemzésekhez és nagy mennyiségű adat betöltéséhez.
QRadar: A beépített intelligenciával rendelkező automatizált fenyegetésészlelésre összpontosít, de hosszabb
üzembe helyezési időt igényelhet.
Splunk és ArcSight:
Splunk: Rugalmasságáról, gyors keresési képességeiről és intuitív irányítópultjairól ismert.
ArcSight: Összetettebb, meredek tanulási görbével, de kiválóan teljesít a megfelelőségi jelentések és a korrelációs
szabályok terén.

Alapvető terminológia és használati esetek
Fő terminológia:
Fenyegetések: Olyan lehetséges események vagy műveletek, amelyek kárt okozhatnak egy szervezetnek (pl.
rosszindulatú program, adathalászat).
Biztonsági rések: A biztonság olyan gyengeségei vagy hiányosságai, amelyeket fenyegetések (például javítatlan
szoftverek) kihasználhatnak.
Kockázatok: A sebezhetőséget kihasználó fenyegetés lehetséges hatása és valószínűsége.
Naplók: A rendszerekben zajló események, például hálózati tevékenységek, felhasználói műveletek vagy
rendszerhibák rögzítése.
Riasztások: Adott feltételek vagy küszöbértékek által kiváltott értesítések, amelyek potenciális biztonsági
problémákat jeleznek.
Incidensek: Megerősített biztonsági események, amelyek veszélyeztetik az információk integritását, titkosságát vagy
rendelkezésre állását.
 11/25/2024

Use Case-ek:

Insider Threat Detection:
A Splunk segítségével figyelemmel kísérheti és észlelheti a gyanús alkalmazotti tevékenységeket, például a
szokatlan bejelentkezési időket vagy a jogosulatlan adathozzáférést.
Példa: A bizalmas adatokhoz való újbóli hozzáférés észlelése a szokásos munkaidőn kívül.

External Threat Detection:
Használja ki a Splunkot a külső fenyegetések azonosítására és az azokra való reagálásra, például:
Adathalászat: Az e-mail naplókban gyanús hivatkozások vagy mellékletek figyelése.
Brute Force támadások: Ismétlődő bejelentkezési kísérletek észlelése jogosulatlan IP-címekről.
Malware: A naplók elemzése rosszindulatú programok fertőzésére utaló jelek, például rendellenes hálózati
forgalom vagy fájlváltozások után kutatva.

Összegzés és átmenet a gyakorlati részhez
Foglaljuk össze a legfontosabb tanulságokat:

SOC-szerepkörök:
SOC-kulcsszerepkörök:Elemző: A biztonsági adatokat folyamatosan monitorozza és elemzi, hogy azonosítsa a
potenciális fenyegetéseket és azok forrását. Szerepe kulcsfontosságú az események korai felismerésében, így
lehetőséget biztosít a megelőző intézkedésekre.
Incidensválaszadó (IR): Valós időben reagál a felmerülő biztonsági incidensekre, gyors döntéseket hoz, és
megteszi a szükséges lépéseket a károk minimalizálására és a rendszer védelmének helyreállítására. A hatékony
incidenskezelés segíti a bizalom visszaállítását a rendszerekben.
Threat Hunter: Proaktív megközelítéssel azokat a rejtett fenyegetéseket keresi, amelyek hagyományos
módszerekkel nem feltétlenül azonosíthatók. Tevékenysége jelentős mértékben hozzájárul a rendszerek hosszú
távú védelméhez és a sebezhetőségek felszámolásához.

A SIEM fontossága
Központosított monitoring: Az adatokat több forrásból gyűjti össze valós idejű elemzés céljából.Incidens
Észlelés: Lehetővé teszi a potenciális fenyegetések korai felismerését és gyors választ biztosít a biztonsági
eseményekre.
Megfelelés és jelentéskészítés: Segíti a jogszabályi előírások betartását átfogó naplózási és jelentési
lehetőségeken keresztül.

Alapvető Splunk műveletek:
Adatgyűjtés (Log Ingestion): Az adatokat különböző forrásokból, például tűzfalakból, DNS- és
emailnaplókból dolgozza fel.
Keresés és Szűrés: Az SPL (Search Processing Language) segítségével biztonsági események elemzése és
keresése.
Riasztások (Alerts): Valós idejű értesítéseket állít be kritikus biztonsági eseményekhez.

Most egy gyakorlati szekció következik, ahol a következőket fogjuk végrehajtani:
Splunk környezet beállítása és a felület felfedezése.
Mintaadatok betöltése
És alapvető keresések végrehajtása az SPL segítségével.

Legközelebb: Valós idejű riasztások létrehozása előre meghatározott biztonsági feltételek alapján.
 11/25/2024

Extra elmélet 1. Slide Kiberbiztonság: Sérülékenység, Támadás, Fenyegetés
és Reakció

Sérülékenység: A rendszerek gyenge pontjai, amelyek kihasználhatóak.
Példa: Nem megfelelően frissített operációs rendszer.
Támadás: A támadók kihasználják a sérülékenységet.
Példa: Adathalász e-mail rosszindulatú linkkel.
Fenyegetés: Potenciális esemény, amely veszélyezteti a rendszert.
Példa: Állami hátterű támadó hozzáférést próbál szerezni.
Reakció: A SOC csapatok gyors válaszlépései.
Példa: A fertőzött rendszer izolálása.

Extra elmélet 2. Slide: SOC (Security Operations Center) és Splunk:
Fenyegetésészlelés és válaszadás
SOC szerepe: A SOC központi szerepet játszik a biztonsági incidensek kezelésében és a folyamatos megfigyelésben. A SOC
csapat feladata az észlelt fenyegetések analizálása, riasztások kezelése, és gyors reakciók végrehajtása. A SOC egyaránt
használ SIEM rendszereket (Security Information and Event Management), mint például Splunk, a valós idejű
adatelemzéshez és incidenskezeléshez.

Példa: SOC-elemzők valós időben figyelik a hálózati eseményeket, azonosítják a potenciális fenyegetéseket, és gyorsan
reagálnak az incidensekre.
Splunk észlelés és reakció: A Splunk erős eszköz a naplók és biztonsági események elemzésében. Segítségével a SOC
elemzők gyorsan azonosíthatják a gyanús tevékenységeket, előre meghatározott riasztásokat konfigurálhatnak, és
mélyebben elemzhetik a fenyegetések természetét. Splunk automatikus jelentései és vizualizációi segítik a SOC csapatok
hatékonyabb munkavégzését.

Példa: Egy Splunk alapú riasztás azonnal jelzi a gyanús bejelentkezési kísérleteket egy kritikus rendszerhez.

3. Extra - A SOC előnyei
Jobb hálózati láthatóság:
A SOC lehetővé teszi a valós idejű hálózati forgalom monitorozását, és segít az anomáliák észlelésében és gyors
válaszlépések megtételében.
Gyorsabb incidensválasz:
A valós idejű adatgyűjtés gyors válaszidőt tesz lehetővé, amikor incidensek történnek, így a kockázatok gyorsan
azonosíthatók és kezelhetők.
Költségcsökkentés:
Az adatlopások komoly költségeket okozhatnak, de a SOC segíthet megelőzni ezeket a támadásokat. A biztonsági
automatizálási megoldások növelik a hatékonyságot, ami csökkenti a költségeket.
Megfelelés biztosítása:
A SOC segít a szigorú megfelelőségi követelmények betartásában, különösen a szektorokban, ahol szigorú szabályozások
vannak érvényben. Automatikus jelentéskészítéssel is támogatja a megfelelőségi folyamatokat.
 11/25/2024

A SOC fő funkciói
Megelőzés és proaktív monitorozás:

A SOC csapat naprakészen tartja a legfrissebb kiberbűnözési trendeket, incidensválasz-terveket készít, és sebezhetőségeket javít.

Riasztáskezelés:

A SOC egyik elsődleges feladata, hogy a monitorozó eszközök által generált riasztásokat kezelje (tűzfalak, IDPS-ek, SIEM rendszerek).

Incidensválasz:

Amikor egy incidens bekövetkezik, a SOC azonnal reagál, elkülöníti a fenyegetett pontokat, osztályozza a fenyegetéseket és megfelelően dokumentálja az eseteket.

Helyreállítás és orvoslás:

Incidens után a SOC helyreállítja a rendszereket és adatokat, és szükség esetén biztonsági másolatokat telepít.

________________________________________

4. DIA: A SOC típusai és kihívásai

Belső SOC:

Fizikai helyszínen működik, saját személyzettel, akik helyben figyelik a biztonsági eseményeket.

Külső SOC:

Teljesen külsős szolgáltató által kezelt SOC, amely különböző üzleti igényeknek megfelelően nyújt szolgáltatásokat.

Hibrid SOC:

A házon belüli biztonsági csapat és a külsős szolgáltató kombinációja. Kisebb biztonsági csapatok számára nyújt támogatást, anélkül, hogy további személyzetet kellene felvenni.

Virtuális SOC:

Nem fizikai helyszínen működik, a folyamatok irányelveken és biztonsági paramétereken alapulnak. Virtuális eszközökkel valósít meg riasztástrágyalást.

2. Rész - Gyakorlat

Gyakorlatok megismerése és specifikus feladatok
Hogyan működik a Splunk?
A Splunk a gép által generált adatok betöltésével, indexelésével és kereshetővé tételével működik. Elosztott
architektúrát használ a méretezhetőség érdekében, a továbbítók adatokat gyűjtenek és küldenek az indexelőknek.
A Splunk keresési és elemzési képességei lehetővé teszik a felhasználók számára, hogy értékes betekintést nyerjenek az
összegyűjtött adatokból.
 11/25/2024

Kezdés – Login
Itt van a Splunk bejelentkezési folyamatának összefoglalása lépésről lépésre:
1. lépés: A Splunk felület elérése
1. Nyisd meg a böngészőt:
Nyiss meg egy böngészőt, és írd be a Splunk szerver IP-címét vagy URL-jét, ahol a Splunk telepítve van. Például:
http://127.0.0.1:8000 vagy a vállalati hálózati címed.
2. Login oldal megnyitása:
Amikor a Splunk URL betöltődik, a bejelentkezési felület fog megjelenni.
2. lépés: Hitelesítés
1. Felhasználónév és jelszó megadása:
Írd be a Splunk rendszergazda vagy a hozzárendelt felhasználói felhasználónevet és jelszót. Ha ez az első bejelentkezés, a rendszergazdától kapott
alapértelmezett hitelesítő adatokat használhatod, például:
o Felhasználónév: admin
o Jelszó: changeme (vagy ahogyan beállították a telepítéskor).
2. Hitelesítés megerősítése:
Miután beírtad a hitelesítő adatokat, kattints a Login (Bejelentkezés) gombra.

Kliens-hoszt kontextus
1. Kliens (Client):

A kliens az a számítógép vagy eszköz, amely kéréseket küld a szerver felé, hogy hozzáférjen bizonyos erőforrásokhoz (pl. weboldalak, alkalmazások).

Jellemzői: Böngészőt használva csatlakozik a hálózathoz, és adatokat kér vagy küld a hosztnak/szervernek.

2. Hoszt (Host):
A hoszt az a szerver, amely a kért erőforrásokat (pl. fájlokat, weboldalakat, adatokat) tárolja és a kérésekre válaszol.

Jellemzői: A webes vagy hálózati szolgáltatásokat biztosítja, és feldolgozza a beérkező kéréseket a kliensektől.

3. Kapcsolatok és szerepek:

Kliens-hoszt kapcsolat: A kliens egy kérést küld a hoszt/szerver felé, amely válaszként adatokat vagy szolgáltatásokat biztosít.

Szerepek:

Kliens: Kér adatokhoz való hozzáférést (pl. böngészés, fájllekérés).

Hoszt: Megválaszolja a kéréseket és biztosítja a szükséges erőforrásokat vagy adatokat.

Ez a kapcsolat az alapja a webes és hálózati infrastruktúrák működésének, ahol a kliensek kérnek, a hosztok szolgáltatnak.
 11/25/2024

Mire jó a log?

A webes hozzáférési naplók elemzése több szempontból is hasznos:

Biztonság: Azonosítani lehet a rosszindulatú aktivitásokat, például brute force támadásokat, DoS
(Denial of Service) támadásokat vagy más gyanús viselkedést.

Teljesítmény: Elemezhető, hogy a felhasználók hogyan használják a rendszert, mely oldalak vagy
szolgáltatások a legnépszerűbbek, és hol lehet optimalizálni.

Hibakeresés: Segítségével azonosíthatóak a rendszerhibák vagy olyan kérések, amelyek nem a várt
módon teljesültek.

Auditálás: Nyomon követhető, hogy mikor és hogyan fértek hozzá a rendszerhez, ezáltal
megfelelőségi és biztonsági auditokra is felhasználható.

ELSŐ SZAKASZ - Adatbetöltés

1. példa: Webkiszolgáló naplófájljának
betöltése

2.Lépés 2: Válasszuk a Feltöltés lehetőséget a access.log fájl feltöltéséhez a helyi
rendszerből.
 11/25/2024

A következő képernyőn
ellenőrizzük, hogy a forrástípust
helyesen észlelte-e
access_combined_wcookie. Ha
nem, válasszuk ki manuálisan a
megfelelő típust.

Forrás típusának beállítása
Ezen az oldalon megtekinthetjuk, hogy a Splunk platform hogyan látja az adatainkat az indexelés előtt. Ha az események
helyesnek tűnnek és megfelelő időbélyegekkel rendelkeznek, katt. a "Tovább" gombra a folytatáshoz.
Ha nem, használjuk az alábbi beállításokat a megfelelő eseményszünetek és időbélyegek meghatározásához.

Következő lépés: Tekintsük át az eseményszüneteket és az időbélyegeket. Győződjünk meg arról, hogy
minden HTTP-kérést külön eseményként kezelünk, és az időbélyeg formátuma megegyezik
[18/Oct/2023:18:22:16].
Ha elkészült, katt. a Tovább gombra az adatok indexelésének megkezdéséhez.
 11/25/2024

Input Settings
Szükség esetén további bemeneti paramétereket is beállíthatunk ehhez az adatbevitelhez az alábbiak szerint:
Leírás: Azonosítja, honnan származnak az adatok, például a kiszolgáló vagy az eszköz neve (pl. DESKTOP-8EPUNQV).
Miért fontos: Segít az adatok eredetük alapján történő nyomon követésében és szűrésében.

Host:
A Splunk platform a bejövő adatokat eseményként tárolja a kiválasztott indexben. Ha nem biztos a forrás típusában, fontolja meg
egy "védőfal" index használatát. Ez lehetővé teszi a konfigurációk hibaelhárítását az éles indexek befolyásolása nélkül.

Index:
Leírás: Megadja, hogy hol lesznek tárolva az adatok (pl. datatest index).
Miért fontos: Rendszerezi és optimalizálja a kereséseket azáltal, hogy lehetővé teszi adott indexek
lekérdezését.
 11/25/2024

Feltöltés zárása - Áttekintés
Feltöltött fájl
Fájlnév - access.log
Forrás típusa - access_combined_wcookie
Gazdagép - DESKTOP-8EPUNQV
Index – datasetpres

File has been uploaded successfully.
Bemenetek konfigurálása a Settings > Data Inputs menüpontban

Keresés
Ez a kép a Splunk felhasználói felületetünket
mutatja be, amelyen egy naplófájl (access_log)
adatait elemezzük, egy keresési lekérdezés
segítségével.
Az itt megjelenő adatok webes hozzáférési naplók
(access logs), amelyek információkat
tartalmaznak arról, hogy különböző kliensek
hogyan fértek hozzá egy weboldalhoz vagy
alkalmazáshoz.

De: „sto étá”? ;) / Mi ez?
Ez egy webes hozzáférési napló (access log), amely részletes információkat tartalmaz a felhasználói aktivitásokról egy
szerveren. Az ilyen naplófájlok tipikusan a felhasználói kéréseket, az IP-címeket, a felhasznált böngészőket, a kért
erőforrásokat (pl. URL-eket) és az eredménykódokat (pl. 200 OK, 404 Not Found) tartalmazzák. A Splunk platformot arra
használják, hogy ezeket a naplófájlokat feldolgozza, elemezze és betekintést nyújtson a rendszer működésébe vagy az
esetleges problémákba.
 11/25/2024

Vizualizáció
source="access.log" host="DESKTOP-8EPUNQV" index="datasetpres" sourcetype="access_combined_wcookie" | sort -
response_time

Vizualizáció 2
source="access.log" host="DESKTOP-8EPUNQV" index="datasetpres" sourcetype="access_combined_wcookie" | rename
client_ip as user_ip

Köszönöm a figyelmet, 3 hét múlva találkozunk, keressenek addig is nyugodtan!