Introduction to SIEM ~ Splunk - Rules and Alerts

SIEM이란?

- 데이터를 수집하고 분석하는 데 사용되는 시스템

- 서로 다른 데이터 소스 간의 상관관계를 통해 새로운 insight를 얻을 수 있음

- 실시간 경고 및 모니터링

- 종종 보안팀의 주요 포인트가 됨

 

core components

1. 어플리케이션들

2. 네트워크와 보안기기들

3. 인프라구조 

4. 사용자들

 

Introduction to Splunk Enterprise Security

SPLUNK란?

데이터 통계, 인덱싱, 분석, 실시간 리포트를 지원하는 소프트웨어

다양한 데이터셋을 모을 수 있음

 

SPLUNK Enterprise Security

- 데이터 포커스는 사이버 보안 소스와 관련이 있음

- 경고, 위협관리, 사고에 대한 지원

- 악의적 이벤트를 식별하기 위해 머신러닝 사용

 

Splunk Architecture 

- Forwarder, indexer, search head

- 범용 forwarder는 raw 데이터를 보냄

- 헤비 forwarder는 파징한 데이터 보냄

- indexer는 데이터를 이벤트로 바꿈

 

Basic Searching in Splunk

 

 

Splunk - Rules and Alerts

alert란?

-  특정 이벤트를 모니터링하는 분석가 지원

- 저장된 search들로 만들어짐

- 실시간과 스케쥴된 타입으로 총 2개

- 트리거 조건들과 빈도 조절?

- alert는 작업환경의 자동화를 도움