Caz de utilizare: Security Operations Center (SOC)

Scenariul: Ești un SOC Analyst și trebuie să monitorizezi încercările eșuate de autentificare, să detectezi accesul neautorizat și să generezi alerte automate în Splunk.

Obiectivele proiectului:

• Ingesta loguri de autentificare dintr-un server Linux & Windows.
• Crearea unui dashboard de securitate pentru vizualizarea trendurilor de autentificare.
• Configurarea alertelor pentru autentificările eșuate care depășesc pragurile stabilite.
• Setarea unui raport programat care rezumă activitatea de autentificare zilnică.
• Implementarea RBAC astfel încât doar analiștii de securitate să poată accesa datele.

Pasul 1: Configurarea Ingestiei de Loguri

• Pasul 1.1: Activarea logării autentificării în Linux
  • Editează fișierul de configurare pentru logare:
    • sudo nano /etc/rsyslog.conf
  • Asigură-te că autentificarea este activată:
    • auth,authpriv.* /var/log/auth.log
  • Restart log service:
    • sudo systemctl restart rsyslog
  • Pasul 1.2: Activarea logării evenimentelor Windows
    • Instalează Splunk Universal Forwarder pe Windows Server.
    • Activează forwardarea logurilor de securitate:
      • wevtutil sl Security /e:true
    • Configurează forwarder-ul Splunk pentru a trimite logurile către Indexer.

Verificare: Rulează următoarea căutare Splunk pentru a confirma ingestia logurilor:

• index=auth_logs | stats count by host

Pasul 2: Crearea Dashboard-ului de Securitate

• Pasul 2.1: Crearea unui Dashboard Nou
  • Navigate to Dashboards → Create New Dashboard.
  • Introdu un nume: „SOC Security Dashboard”.
  • Click Create.
• Pasul 2.2: Adăugarea Panourilor Cheie la Dashboard
  • Tabel – Încercări de autentificare eșuate
    • index=auth_logs status=failed | table _time user src_ip host
    • ➡ Tip Vizualizare: Table
  • Top Surse de Autentificare Eșuate (Grafice de Bare)
    • index=auth_logs status=failed | stats count by src_ip | sort -count
    • ➡ Tip Vizualizare: Bar Chart
  • Autentificări Eșuate în Timp (Timechart)
    • index=auth_logs status=failed | timechart span=1h count
    • ➡ Tip Vizualizare: Line Chart

Salvează și testează dashboard-ul!

Pasul 3: Configurarea Alertelor pentru Autentificări Eșuate

• Pasul 3.1: Crearea unei alerte în timp real pentru multiple autentificări eșuate
• Rulează următoarea căutare:
  • index=auth_logs status=failed | stats count by src_ip | where count > 5
• Click pe Save As → Alert.
• Definirea condiției de declanșare: Dacă count > 5 în 10 minute.
• Acțiuni Alertă:
  • Trimite e-mail echipei SOC.
  • Loghează evenimentul în Splunk Index.
  • Activează un webhook pentru răspuns la incidente.
• Salvează & Testează alerta!
• Test: Rulează comanda în Linux pentru a genera autentificări eșuate:
  • for i in {1..6}; do ssh invalid_user@server; done

Pasul 4: Crearea unui Raport Programat cu Activitatea de Autentificare

• Pasul 4.1: Configurarea unui raport zilnic cu rezumatul autentificărilor
• Rulează căutarea:
  • index=auth_logs | stats count by user, src_ip | sort -count
• Click pe Save As → Report.
• Programează raportul: Zilnic la ora 6:00 AM.
• Export Format: CSV / PDF.
• Trimite raportul pe e-mail echipei SOC.

Verificare: Accesează Reports Section și verifică scheduled jobs.

Pasul 5: Implementarea RBAC pentru Acces Securizat)

• Pasul 5.1: Crearea unui Rol Personalizat pentru Analiștii SOC
  • Navighează la: Settings → Access Controls → Roles.
  • Click pe Create New Role → Nume: soc_analyst.
  • Permisiuni:
    • Poate căuta în index=auth_logs.
    • Nu poate modifica setările Splunk.
  • Atribuie utilizatorii la rolul soc_analyst.

Testează RBAC logându-te cu un cont SOC Analyst.