الخلفية: باعتبارها الشركة الرائدة عالميًا في مجال الاستيراد والتصدير، كانت شركة Vandalay Industries هدفًا للعديد من الخصوم الذين يحاولون تعطيل أعمالهم التجارية عبر الإنترنت. في الآونة الأخيرة، تعرضت شركة Vandaly لهجمات DDOS ضد خوادم الويب الخاصة بها.
لم يقتصر الأمر على قطع اتصال خوادم الويب بسبب هجوم DDOS، بل تأثرت أيضًا سرعة التحميل والتنزيل بشكل كبير بعد انقطاع الخدمة. قدم فريق الشبكات الخاص بك نتائج سرعة الشبكة في وقت قريب من هجوم DDOS الأخير.
ملف اختبار السرعة
لقطة شاشة لملف "server_speedtest.csv" الذي تم تحميله إلى Splunk:
eval ، قم بإنشاء حقل يسمى النسبة الذي يوضح النسبة بين سرعات التحميل والتنزيل. تلميح: تنسيق إنشاء النسبة هو: | eval new_field_name = 'fieldA' / 'fieldB'
الاستعلام المستخدم في Splunk لإنشاء نسبة بين سرعات التحميل والتنزيل - source="server_speedtest.csv" | eval ratio = DOWNLOAD_MEGABITS/UPLOAD_MEGABITS
يمكننا أن نرى نسبة التنزيلات والتحميلات من هذا الاستعلام.
_timeIP_ADDRESSDOWNLOAD_MEGABITSUPLOAD_MEGABITSratioتلميح: استخدم التنسيق التالي عند استخدام أمر الجدول: | حقل الجدول حقل أ حقل ب حقل ج
الاستعلام المستخدم في Splunk لإنشاء نسبة بين سرعات التحميل والتنزيل - source="server_speedtest.csv" | eval ratio = DOWNLOAD_MEGABITS/UPLOAD_MEGABITS | table _time, IP_ADDRESS, DOWNLOAD_MEGABITS, UPLOAD_MEGABITS, ratio
من لقطة الشاشة أعلاه، يمكننا رؤية الجدول الزمني الإجمالي للحدث عند حدوث التنزيلات والتحميلات.
من لقطة الشاشة أعلاه، يمكننا رؤية الوقت الذي تمت فيه التنزيلات والتحميلات بالإضافة إلى عنوان IP المصدر الذي كان يتخذ هذا الإجراء.
من لقطة الشاشة أعلاه، يمكننا رؤية تمثيل مرئي لأحداث التنزيل والتحميل هذه في تنسيق رسم بياني عمودي. يتم عرض الوقت في الأسفل وهذا يجعل بياناتنا أكثر قابلية للقراءة.
بناءً على النتائج التي توصلنا إليها في الاستفسارات المذكورة أعلاه، يمكننا أن نرى انخفاضًا كبيرًا في سرعة التنزيل والتحميل في حوالي الساعة 2:30 ظهرًا يوم 23 فبراير. يمكننا أن نرى هذا في لقطة الشاشة أدناه:
يمكننا أن نرى أن التنزيلات انخفضت إلى 7.87 الساعة 2:30 مساءً. يعد هذا انخفاضًا حادًا من 109.16 ميغابت في الحدث السابق. من العدل إذن أن نفترض أن هذا كان موجودًا عندما بدأ الهجوم.
يمكننا أن نرى من لقطة الشاشة أعلاه أن عدد الميغابت التي تم تنزيلها زاد من 17.56 إلى 65.34، وهي زيادة كبيرة. لذلك، من الآمن افتراض أن هذا قد حدث عندما بدأ النظام في التعافي والعودة إلى التدفق الطبيعي لحركة مرور الشبكة.
يمكننا أن نرى من لقطة الشاشة أعلاه أن الميغابت التي تم تنزيلها قفزت إلى 123.91 من 78.34 في حوالي الساعة 11:30 مساءً يوم 23 فبراير. ومن الآمن أن نفترض أن هذا هو الوقت الذي يستقر فيه تدفق حركة مرور الشبكة ويعود إلى طبيعته.
أرسل لقطة شاشة لتقريرك والإجابة على الأسئلة أعلاه.
الخلفية: نظرًا لتكرار الهجمات، يحتاج مديرك إلى التأكد من أن بيانات العملاء الحساسة الموجودة على خوادمه ليست عرضة للخطر. نظرًا لأن Vandalay يستخدم أدوات فحص الثغرات الأمنية الخاصة بـ Nessus، فقد قمت بسحب آخر 24 ساعة من عمليات الفحص لمعرفة ما إذا كانت هناك أية ثغرات أمنية حرجة.
لمزيد من المعلومات حول Nessus، اقرأ الرابط التالي: https://www.tenable.com/products/nessus
نتائج مسح نيسوس
لقطة شاشة لنتائج فحص nessus التي تم تحميلها إلى Splunk:
10.11.36.23 . استخدم dest_ip="10.11.36.23" في الاستعلام
تجدر الإشارة إلى أن هناك 5 أنواع من مستويات الخطورة تبحث عنها هذه السجلات، كما هو موضح أدناه:
نريد تصفية أي ثغرات أمنية حيث يكون مستوى الخطورة قيمة "حرجة". يمكننا استخدام severity="crtiical" في استعلامنا.
الاستعلام بأكمله هو source="nessus_logs.csv" dest_ip="10.11.36.23" severity="critical"
انظر أدناه لقطة الشاشة للاستعلام الكامل الذي يعرض عدد الثغرات الأمنية الحرجة من خادم قاعدة بيانات العميل من ملف السجل هذا:
تم العثور على إجمالي 49 نقطة ضعف خطيرة عندما كان عنوان IP الوجهة هو 10.11.36.23 (وهو خادم قاعدة البيانات).
[email protected] .أنشئ التنبيه بالنقر فوق "حفظ باسم" ثم "تنبيه" بعد أن ننتج نتائجنا من الاستعلام أعلاه:
أدخل التفاصيل لإنشاء تنبيهات عندما يكتشف Nessus ثغرة أمنية في خادم قاعدة البيانات. أدخل الاسم والوصف وأي معلومات نسبية أخرى:
أدخل تفاصيل البريد الإلكتروني لإرسال التنبيه الذي تم إنشاؤه إلى - [email protected] وأدخل تفاصيل الرسالة ليتم إرسالها مع البريد الإلكتروني:
تابع إدخال تفاصيل التنبيه ثم انقر فوق "حفظ":
بمجرد الحفظ، يجب أن نكون قادرين على رؤية التنبيه وتعديله إذا أردنا ذلك:
أرسل لقطة شاشة لبلاغك ولقطة شاشة لإثبات إنشاء التنبيه.
الخلفية: يواجه خادم Vandalay أيضًا هجمات القوة الغاشمة على حساب المسؤول الخاص به. ترغب الإدارة في إعداد المراقبة لإخطار فريق SOC في حالة حدوث هجوم القوة الغاشمة مرة أخرى.
تسجيلات دخول المشرف
لقطة شاشة لملف "Administrator_logs.csv" الذي تم تحميله إلى Splunk:
تلميحات:
ابحث عن حقل الاسم للعثور على عمليات تسجيل الدخول الفاشلة.
لاحظ أن الهجوم استمر عدة ساعات.
لأننا نريد البحث عن أي مؤشرات لهجوم القوة الغاشمة، نريد البحث في السجلات لمعرفة الأماكن التي فشلت فيها الحسابات في تسجيل الدخول. إذا انتقلنا إلى حقل "الاسم"، فيمكننا رؤية القيم التي يحملها هذا في السجلات. في هذه الحالة، يمكننا أن نرى عدد 1004 "فشل حساب في تسجيل الدخول". وهذا مؤشر جيد على حدوث هجوم بالقوة الغاشمة. انظر لقطة الشاشة:
الآن، إذا أضفنا هذا إلى بحثنا، يمكننا رؤية إجمالي الأحداث التي حدثت عند حدوث ذلك. يمكننا بعد ذلك أن نرى متى وقعت غالبية هذه الأحداث، وهو مؤشر جيد لمعرفة وقت حدوث ذلك. انظر لقطة الشاشة:
كما نرى، هناك ارتفاع كبير جدًا في الأحداث التي أدت إلى "فشل حساب في تسجيل الدخول" في حوالي الساعة 9 صباحًا يوم 21 فبراير. يمكننا أن نرى من إجمالي 1004 حدثًا وقع، في الساعة 9 صباحًا كان هناك 124 حدثًا مع ظهور أرقام مماثلة في الساعات التالية. وبالتالي، أعتقد أن الهجوم بدأ في هذا الوقت تقريبًا - الساعة 9:00 صباحًا يوم 21 فبراير 2020.
يمكننا أن نرى من الجدول الزمني لهذه الأحداث أن 124 يمثل ارتفاعًا كبيرًا. في الساعات السابقة لهذا الحدث، كان أكبر قدر من عمليات تسجيل الدخول السيئة حوالي 23. ويمكننا اعتبار هذا السلوك الطبيعي. انظر لقطة الشاشة:
مع أخذ ذلك في الاعتبار ومع الأخذ في الاعتبار أنه كان هناك حوالي 124-135 محاولة تسجيل دخول عند حدوث هجوم القوة الغاشمة، سأفكر في خط أساسي يبلغ حوالي 40 عملية تسجيل دخول سيئة في الساعة. سأحصل على نطاقات عمليات تسجيل الدخول السيئة في الساعة على النحو التالي:
[email protected] إذا تم تفعيله.لإنشاء تنبيه لهذا النوع من الأحداث، قمت بالخطوات التالية:
انقر فوق "حفظ باسم" ثم "تنبيه":
املأ تفاصيل التنبيه، بما في ذلك وقت تشغيله (أي شيء يزيد عن 25 محاولة في الساعة):
أدخل تفاصيل الإجراء. في هذه الحالة سوف نقوم بإرسال بريد إلكتروني إلى [email protected] :
احفظ التنبيه ويمكننا بعد ذلك مشاهدته:
لقد نجحنا الآن في إنشاء تنبيه سيتم تشغيله عندما يكون هناك أكثر من 25 حدثًا لفشل الحساب في تسجيل الدخول.
أرسل الإجابات على الأسئلة المتعلقة بتوقيت القوة الغاشمة وخط الأساس والعتبة. بالإضافة إلى ذلك، قم بتوفير لقطة شاشة كدليل على إنشاء التنبيه.
