Modul 1 - Ce este Splunk si de ce să îl folosim?
Modul 2 - Componentele de bază ale Splunk
Modul 3 - Modele de Implementare Splunk
Modul 4 - Instalarea și Configurarea Splunk
Modul 5 - Înțelegerea Search Processing Language (SPL) în Splunk
Modul 6 - Crearea Dashboard-urilor și Vizualizărilor în Splunk
Modul 7 - Crearea Alertelor și Rapoartelor Programate în Splunk
Modul 8 - Splunk Apps & Add-ons
Modul 9 - Managementul Utilizatorilor & Controlul Accesului în Splunk
Modul 10 - Detectarea Ransomware-ului în Splunk Utilizând Loguri Sysmon
Modul 11 - Recapitulare Finală & Proiect Practic
Quiz
Diploma de Participare
5.6 – Tehnici Avansate SPL
Utilizarea Subsearches
- Subsearches permit transmiterea rezultatelor unei interogări către o altă interogare..
- Example: Găsește toate încercările eșuate de autentificare, extrage adresa IP și numără instanțele unice.
- index=”test_index” [ search index=”test_index” Failed | stats count by src_ip| table src_ip| format ]| stats count by src_ip
- Example: Găsește toate încercările eșuate de autentificare, extrage adresa IP și numără instanțele unice.
Unirea mai multor surse de date (join)
- Join permite corelarea logurilor din surse diferite (ex: loguri firewall + loguri autentificare).
- Exemplu: Corelează logurile de firewall și autentificare pe baza adresei IP..
- index=firewall_logs | join src_ip [ search index=auth_logs ]
- Exemplu: Corelează logurile de firewall și autentificare pe baza adresei IP..
Detectarea anomaliilor (predict, outlier)
Splunk are capabilități încorporate de machine learning pentru identificarea anomaliilor.
-
- index=”test_index” source=”secure.log” status=Failed | timechart span=1h count | predict count
