SIKS – vježba 12 – Upute za konfiguraciju Splunk Dockera u Kali Linuxu

by

Bruno Polonijo
in

Uvod

Sigurnosne informacije i upravljanje događajima, poznato kao SIEM (Security Information and Event Management), odnosi se na softverska rješenja koja omogućavaju organizacijama da u realnom vremenu prate, analiziraju i reagiraju na sigurnosne upozorenja. Ovi sustavi prikupljaju i agregiraju logove i podatke iz različitih izvora unutar IT infrastrukture, uključujući mrežne uređaje, sustave, aplikacije i sigurnosne uređaje poput vatrozida i antivirusnih programa.

Primarni cilj SIEM sustava je pružiti centralizirani pregled sigurnosnih prijetnji i događaja, što omogućava bržu detekciju, analizu i reakciju na potencijalne sigurnosne incidente. Kroz korisničke interfejse, SIEM rješenja omogućuju vizualizaciju i dubinsku analizu podataka, što pomaže sigurnosnim timovima da efikasno identificiraju anomalije, prate sigurnosne trendove i provode forenzičke analize. Uz to, SIEM sustavi često imaju mogućnost automatiziranja odgovora na sigurnosne incidente, što dodatno poboljšava sposobnost organizacije da se brani od cyber prijetnji.

Instalacija Docker-a

Prvo je potrebno instalirati Docker na Kali Linuxu:

Ažuriranje paketa:

sudo apt update

Instalacija Docker.io

sudo apt install -y docker.io

Odgovorite s “yes” na pitanje o restartu tokom instalacije.

Omogućavanje Docker servisa:

sudo systemctl enable docker --now

Dodavanje trenutnog korisnika u Docker grupu:

sudo usermod -aG docker kali

Odjavite se i ponovno prijavite nakon ovog koraka.

Konfiguracija Splunk Laba

Postavljanje varijable okoline za lokaciju logova:

export SPLUNK_LOGS=/var/log

Pokretanje Splunk Laba:

SPLUNK_START_ARGS=--accept-license bash <(curl -s https://raw.githubusercontent.com/dmuth/splunk-lab/master/go.sh)

Pristupite Splunk Web na https://localhost:8000.

  • Korisnički podaci za prijavu:
    • Korisničko ime: admin
    • Lozinka: password1

Učitavanje i analiza podataka

Preuzmite testne podatke:

curl -O https://docs.splunk.com/images/Tutorial/tutorialdata.zip
curl -O https://docs.splunk.com/images/d/db/Prices.csv.zip

U Splunku, idite na “Settings” → “Add Data” → “Upload Files”, i učitajte preuzete datoteke.

Kreiranje i analiza upita:

Na lijevom dijelu Splunk Web sučelja odaberite “Search”.

Postavite vremenski raspon na “All time” i pretražite podatke koje ste učitali.

Izrada modela podataka:

Idite na “Settings” → “Data Models” → “New Data Model”.

Dodajte dataset i automatski izvedena polja.

Kreiranje zaokretnih tablica i grafikona:

Koristite opciju “Pivot” unutar modela podataka da biste kreirali zaokretne tablice.

Izaberite odgovarajući grafikon i spremite ga kao novu komponentu na dashboardu.

Postavljanje alarma i izvještaja:

Unutar “Search”, postavite alaram (“Save as” → “Alert”).

Za izvještaje, unesite podatke i spremite izvještaj (“Save as” → “Report”).

Dodavanje novih korisnika:

Idite na “Settings” → “Users and Authentication” → “Users” → “New User”.

Stvorite novog korisnika i postavite mu lozinku.

Gašenje Splunk Laba

docker kill splunk-lab