Как обнаружить киберугрозы
27 февраля 2022 г.В этой статье мы узнаем больше о том, как возникают киберугрозы, как мы можем их обнаружить и как мы можем их избежать.
Смотреть видео
https://www.youtube.com/watch?v=_Xw43NLo2kg&ab_channel=GrantCollins
00:00
хорошо, так что я, наконец, вернулся с
00:01
проект домашней лаборатории кибербезопасности и в
00:02
сегодняшнее видео
00:03
это будет над сем или системой
00:06
информационное управление событиями
00:07
система я сделал видео здесь говорить
00:09
о том, что делает asm
00:11
а как это работает и в сегодняшнем видео
00:13
я собираюсь быть
00:14
работа с splunk splunk — это индустрия
00:17
оценка
00:18
Сэм, и они предлагают издание для сообщества
00:20
так что я собираюсь делать сегодня
00:22
настраивает этот sem и использует
00:24
универсальный экспедитор
00:26
для пересылки данных с Linux-сервера через
00:29
к sem, чтобы я мог визуализировать
00:32
и понять, что происходит с
00:34
различные системы, связанные с запахом
00:36
я действительно понятия не имею, что я делаю
00:38
здесь
00:38
так что это будет много исследований, так что
00:40
Да, позвольте мне пойти дальше и дать вам
00:42
обзор того, что я нашел до сих пор
00:44
хорошо, так что переходим к моему
00:45
компьютер здесь у меня есть пара вещей
00:47
что я бегу прямо сейчас, так что я собираюсь
00:48
отделить себя
00:49
от виртуализации, которую я сделал
00:51
в моей другой домашней лаборатории по кибербезопасности
00:53
компьютер
00:54
и я на самом деле собираюсь использовать lenode
00:56
здесь и передо мной
00:58
у меня уже есть пара машин
01:00
это включает в себя мой тест splunk
01:02
окружающая обстановка
01:03
а также базовый сервер Linux, поэтому я
01:06
собираюсь использовать Лено, чтобы
01:07
включить этот проект, я буду работать
01:10
с участием
01:10
это руководство здесь, чтобы идти вперед и просто
01:12
в основном настроить панель инструментов splunk
01:15
и оттуда я могу использовать splunk
01:17
официальная документация
01:19
чтобы понять, что происходит с
01:22
универсальный форвард или для получения данных
01:23
в
01:24
приборная панель, вероятно, намного больше
01:25
ресурсы, с которыми я буду работать, но здесь
01:27
это то, что у меня есть на данный момент, так что давайте продолжим
01:28
и начните с настройки splunk
01:30
панель приборов
01:38
хорошо, через пару часов я здесь
01:40
передо мной у меня
01:42
приборная панель splunk запущена и работает
01:45
так что, как вы можете видеть здесь, я пошел вперед и
01:48
настроить панель мониторинга splunk
01:49
на моем базовом узле сервера Ubuntu
01:52
и из этого я могу попасть в
01:55
splunk корпоративный веб-сайт
01:57
пройдя через IP-адрес, а также
01:59
по умолчанию
02:00
порт я оставлю эту ссылку в
02:02
описание ниже так что теперь следующее
02:04
это пойти дальше и получить данные в
02:07
splunk машина и понять, что
02:08
черт возьми, здесь все в порядке, так что пока
02:10
настройка splunk 4 я хочу
02:12
быстро упомянуть
02:12
стол flexispot, который был отправлен
02:15
мне от команды flexispot
02:17
у меня уже есть пара flexispot
02:18
столы, и они были на самом деле щедрыми
02:20
достаточно, чтобы отправить
02:21
один для моего домашнего офиса конкретно я
02:23
получил
02:24
гибкое точечное стекло черного цвета eg8b из моего дома
02:27
офис и, как вы знаете, я
02:29
все о производительности с этими
02:31
стоячие столы стекло flexi spot
02:33
чернить
02:34
является идеальным постоянным испытанием для удовлетворения моих
02:36
потребности в производительности
02:37
поставляется с моторизованной подъемной системой
02:39
для простоты использования
02:40
есть четыре разных пронумерованных режима
02:42
вы можете использовать для установки разной высоты
02:44
корректировки
02:45
хотите ли вы стоять сидеть или если
02:47
что-то среднее, но это также приходит
02:49
со стандартными стрелками вверх и вниз
02:51
чтобы соответствовать вашему росту нужно стекло
02:53
отделка выглядит великолепно даже поставляется с
02:54
маленький
02:55
ящик для блокнотов и карандашей
02:58
flexispot стеклянный черный стол - это
03:00
идеальный стол для повышения производительности
03:02
так что, если вам интересно, вы можете продолжить
03:03
и воспользуйтесь ссылкой в описании ниже
03:05
а также
03:05
еще раз спасибо команде за отправку
03:08
один из них закончился
03:10
ладно, после долгого забвения
03:12
время, когда я наконец использовал это видео на YouTube
03:14
и я понял что-то splunk
03:16
компоненты обработки архитектуры
03:18
так вот они самодовольные у нас трое
03:20
основные компоненты
03:21
форвардеры индексаторы и поисковые головки
03:23
границы используются для
03:25
пересылать или отправлять данные в splunk
03:28
корпоративная машина
03:29
это будет централизованный
03:30
устройство, которое будет хранить все это
03:32
Информация
03:33
и заполните эти данные, чтобы их можно было
03:35
запрашивается после того, как данные пересылаются, это
03:37
индексируется, что означает, что он хранится
03:39
индексаторы хранят данные, чтобы они могли
03:41
быть запросом после сохранения данных
03:43
можешь зайти в поисковые головы это
03:45
где вы можете на самом деле посмотреть данные
03:47
искать то, что является аномальным любого типа
03:49
данных, которые вы ищете
03:50
и вы можете использовать поисковый запрос
03:52
язык для настройки
03:54
и активно искать разные типы
03:56
данные и заполнить информационные панели
03:58
отсюда, так что теперь, когда мы знаем основные
04:00
компоненты обработки splunk
04:02
пришло время настроить этот универсал
04:04
экспедитор хорошо так активно
04:05
настроить универсальный форвардер вы можете
04:07
на самом деле скачать
04:09
скинул универсальную папку на официальную
04:11
страница в Интернете
04:12
я буду использовать голый линукс
04:14
сервер, поэтому я собираюсь использовать wpit
04:16
команда
04:16
чтобы продолжить и установить эту папку в
04:19
мой
04:26
машина в порядке, так что это пара часов
04:29
позже
04:29
и я, наконец, закончил свой основной
04:32
цель получить
04:33
данные в splunk, чтобы я мог продолжить
04:35
и искать
04:36
для этого все в порядке, так что здесь передо мной
04:38
как видите, у меня есть
04:40
Linux-машина, на которой работает splunk
04:42
прямо сейчас
04:43
а также другая работающая Linux-машина
04:46
splunk forwarder
04:48
отправка данных, в частности системных журналов
04:51
в
04:51
моя приборная панель splunk здесь, так что если мы закроем
04:54
здесь вы можете пойти дальше и увидеть
04:56
данные поступают, как я уже сказал, прежде чем мы сможем
04:58
иди и используй
04:59
поисковый запрос по конкретным данным
05:01
соответствие
05:02
шаблон или строка, поэтому в этом случае
05:04
ты можешь идти вперед и
05:05
используйте хост, но вы можете пойти дальше и передать
05:08
вещи и
05:09
вы можете добавить другую информацию, такую как
05:11
используя таблицу
05:12
чтобы продолжить и запросить конкретные данные
05:15
так что здесь передо мной, как вы можете видеть, я
05:17
пошел вперед и создал таблицу
05:19
с типом источника в часе даты и как
05:21
вы можете видеть, что это просто всплывает здесь
05:23
язык запросов в splunk очень
05:25
мощный
05:26
я особо не касался этого, но
05:28
определенно есть чему поучиться
05:29
в этом направлении, потому что я заинтересован в
05:31
сторона безопасности splunk я пошел вперед
05:33
и протестировал некоторые
05:34
тестовые варианты использования, в которых вы на самом деле
05:37
искать индикаторы компрометации
05:38
то, что я пытался сделать, было базовым тестом
05:42
я хотел посмотреть, если я, скажем, вошел в систему
05:46
в машину с линуксом
05:47
и имел имя пользователя и пароль root
05:50
как ничто
05:51
или какая информация будет отправлена
05:54
в пух и прах
05:54
сын так вот что я пошел вперед и сделал
05:56
с новым сеансом шпаклевки, вы можете видеть
05:58
что журналы отправлены
06:00
к приборной панели, которую вы знаете, скажем, вы
06:02
было 5000 различных попыток входа в систему
06:04
через две минуты и у вас не было скорости
06:06
ограничение или
06:07
какой-то контроль над этим linux
06:10
машина, которая может быть сказать, что
06:11
кто-то пытается взломать это
06:13
линукс сервер например
06:16
так что просто хочу увидеть, что вы знаете другие типы
06:18
индикаторов компрометации или других
06:20
виды деятельности, которыми вы могли бы заниматься
06:22
линукс-машина
06:23
так что это было просто основное, что я просто
06:25
выступал там еще один очень мощный
06:27
особенность, что я
06:28
разобрался тут конечно я это знал
06:30
раньше, но на самом деле делаю это
06:32
вы можете пойти дальше и создать новый
06:34
приборные панели
06:35
из данных, которые отправляются на отправку
06:38
так, например, вы могли бы визуализировать это
06:40
данные, чтобы
06:41
вы знаете, что можете показать на панели инструментов
06:43
сколько у тебя попыток в день
06:45
на этом Linux-сервере с очень простым ssh
06:49
вещи здесь и что вы можете сделать, это вы
06:51
можно добавлять новые информационные панели, и вы можете
06:53
создавать различные виды
06:55
содержимое панели теперь я ничего не создавал
06:56
приборные панели, потому что у меня не было
06:58
достаточное количество данных, но
07:00
используя быстрый поиск на YouTube, как вы можете
07:02
сказать, что вы можете сделать довольно мощный
07:04
графики линейные графики гистограммы все типы
07:07
разных
07:08
информационные панели для визуализации ваших данных, чтобы
07:10
это было
07:11
за то, что я сделал в рамках этого проекта
07:14
очень простая настройка настройки splunk
07:16
и получение универсального экспедитора на
07:18
отправить данные в splunk для поиска этого
07:19
данные в порядке, так что это на сегодня
07:21
видео
07:21
это на самом деле оборачивает кибер
07:23
Проект домашней лаборатории безопасности
07:25
так что сегодняшнее видео было довольно простым с
07:28
настройка
07:28
sem и получение данных внутри него
07:30
надеюсь, вам понравилось это
07:32
серия и, наконец, пришло время завернуть
07:35
хорошо, так что это на сегодня
07:36
видео до следующего видео
07:38
хорошего дня
английский (сгенерировано автоматически)
ВсеПо темеПросмотрено
Оригинал