Splunk – Search &Report & Alert & Dashboard hakkında

Merhaba,

Çeşitli kaynaklardan toplanmış ve indekslenmiş log(event)’lar arasından; genel olarak bilgi güvenliği süreçlerimize, özel olarak pci dss süreçlerimize veya ağda gerçekleşen başarılı başarısız erişim denemelerine dair anlamlı sonuçları derlemek için, search query’lerden faydalanıyoruz.

Indekslenmiş log’lar arasında search işlemi yaparken aşağıdaki ayrıntıları bilmek, istediğimiz sonuca ulaşmada faydalı olacaktır. Indekslenmiş log’lar arasından istenilen ayrıntılar veya istenilen verileri, “search query” ile bulunabiliyor!

Sarch,Report,Alert ve Dashboard yapılarını örnekler ile inceledikten sonra, bir adet gerçek hayat senaryosu ile yazımı tamamlayacağım.

Search’te

Wildcard (*) destekleniyor.

Örnek: action* ile action=accept , action=deny, vs. log’larını filtreleyebilirsiniz.

AND,OR,NOT (Boolean) desteklenmektedir. Bu bağlaçları içeren karmaşık search query hazırlamak isterseniz ( ) kullanabilirsiniz.

Belli bir phrase üzerine yoğunlaşmak için “ ” kullanabilirsiniz. Üstte bahsettiklerimi de kullanarak çeşitli örnekler ile devam edeceğim. Check Point’ten gelen log(event)’lara bir kaç örnek vererek başlayabilirim.

Continue reading

Splunk ile Check Point R77 log ’larının toplanması

Merhaba,

Önceki yazılarımda, Splunk’ın ve forwarder’ının CentOS üzerinde çalıştırılmasından bahsetmiştim. Blog’umdaki ilgili yazıları inceleyebilirsiniz. Bu yazımda; Splunk ile Check Point R77 log’larının toplanmasından bahsetmek istiyorum.

Not: Bu yazı, Splunk ve Check Point için resmi bir döküman değildir.Bu doküman; yazarın, üretim ortamınız ile uyuşamayabilecek test ortamı deneyimlerini içerebilir.

Note: This is not an official Splunk & Check Point document. This document contains author’s test environment experience which might not fit with your production environment.

Test ortamımdan bahsedeyim.

Sanallaştırma platformu olarak Hyper-v 3 (windows 8.1) kullandım. Aşağıdaki bahsi geçen tüm sunucular sanal sunucudur.

Splunk Indexer,Splunk Web ve Light&Heavy forwarder bileşenleri, fqdn’i siem.nwtraders.msft olan CentOS 6 sunucusu üzerinde çalışmaktadır.

Check Point R77 sürümünü kullandım. Management ve gateway bileşenleri tek bir sanal sunucu üzerinde çalışmaktadır.

Windows Server 2012 R2 işletim sistemi üzerinde Active Directory domain servisi çalışmaktadır.(Bu lab için domain controller ihtiyacı bulunmuyor)

Splunk’ın kurulduğunu ve çalıştığını varsayarak devam ediyorum.

Continue reading

SCOM araçları

Merhaba,

SCOM için bir kaç işlevsel araca aşağıdaki adresten ulaşabilirsiniz.

http://blogs.msdn.com/b/dmuscett/archive/2012/02/19/boris-s-tools-updated.aspx

Şüphesiz ki bir çok bilgiye OpsMgr powershell ile ulaşabiliyor, ama link’teki araçlara göz atmak da bir şey kaybettirmez diye düşünüyorum :)

Herkese sorunsuz ve neşeli günler dilerim.

Splunk Forwarder ‘ın CentOS üzerinde çalıştırılması

Merhaba,

Önceki yazımda Splunk’ın CentOS üzerinde çalıştırılmasından bahsetmiştim. İlgili yazıyı blog’umdan inceleyebilirsiniz. Bu yazımda, forwarder’ın(Log’u toplayıp Splunk’a gönderen bileşen) CentOS üzerinde çalıştırılmasından bahsedeceğim. Forwarder’ı windows işletim sistemine de kurabilirsiniz. Bazı sistemlerin log’larını toplamak için veya herhangi bir ihtiyaçtan dolayı, forwarder’ın linux üzerinde kurulması gerekebilir.

Linux dağıtımı olarak CentOS 6 seçtim. Basic Server seçimi ile CentOS’u kurdum. DNS ‘te CentOS için hostname olarak forwarder.nwtraders.msft Resource Record’unu oluşturdum. IP adresi olarak 17.16.1.16 / 16 ip adresini kullandım. Forwarder kurulumu için gereken rpm dosyasını splunk.com’da temin edebilirsiniz.

WinSCP ile forwarder kurulum dosyasını /root/FW klasörü içine aktardım. Ardından /opt altına yükledim.

Continue reading

Splunk ‘ın CentOS 6 üzerinde çalıştırılması

Merhaba,

Splunk hakkında kısaca bilgi vererek başlayabilirim. Splunk;  log üreten kaynaklardan log’ları toplayıp indeksleyen bir yazılımdır. Toplanan ve indekslenen log’lar üzerinde arama,gözlem,analiz yapabilirsiniz ve raporlar hazırlayabilirsiniz, elde ettiğiniz veriler ile hata denetimi ve güvenlik zafiyetlerine karşı gözlemler yapabilirsiniz, önlemler alabilirsiniz.Ürün hakkında daha detaylı bilgi almak isterseniz http://www.splunk.com/view/product-tour/SP-CAAAAGV adresini ziyaret edebilirsiniz. Benzer bir başka ürün hakkında bilgi almak isterseniz http://www.aydogmusoglu.com/?s=arcsight adresinden daha önce yayınlanmış olan yazıları inceleyebilirsiniz.

Ürünü, windows işletim sistemine de kurabilirsiniz. Bazı testlerim için ürünü CentOS 6 üzerinde çalıştırmak istedim. Ürünü CentOS üzerinde çalışmak da windows üzerinde çalıştırmak da oldukça kolay.

Ürünün download sayfasından, splunk-6.1.3-220630-linux-2.6-x86_64.rpm kurulum dosyasın temin edebilirsiniz.Ürünü CentOS yerine Debian veya windows üzerine kurmak isterseniz ilgili dosyalar da download sayfasında mevcut.

Continue reading

Microsoft , Symantec , Cisco , HP , ….