ความเป็นมา: ในฐานะผู้นำระดับโลกด้านการนำเข้าและส่งออก Vandalay Industries ตกเป็นเป้าหมายของฝ่ายตรงข้ามจำนวนมากที่พยายามขัดขวางธุรกิจออนไลน์ของตน ล่าสุด Vandaly ประสบปัญหาการโจมตี DDOS กับเว็บเซิร์ฟเวอร์ของตน
เว็บเซิร์ฟเวอร์ไม่เพียงแต่ถูกโจมตีแบบออฟไลน์จากการโจมตี DDOS เท่านั้น แต่ความเร็วในการอัพโหลดและดาวน์โหลดยังได้รับผลกระทบอย่างมีนัยสำคัญหลังจากการหยุดทำงานอีกด้วย ทีมเครือข่ายของคุณแจ้งผลลัพธ์ของความเร็วเครือข่ายในช่วงเวลาที่เกิดการโจมตี DDOS ครั้งล่าสุด
ไฟล์ทดสอบความเร็ว
ภาพหน้าจอของไฟล์ 'server_speedtest.csv' ที่อัปโหลดไปยัง Splunk:
eval สร้างฟิลด์ชื่ออัตราส่วนที่แสดงอัตราส่วนระหว่างความเร็วในการอัพโหลดและดาวน์โหลด คำแนะนำ: รูปแบบการสร้างอัตราส่วนคือ: | eval new_field_name = 'fieldA' / 'fieldB'
ข้อความค้นหาที่ใช้ใน Splunk เพื่อสร้างอัตราส่วนระหว่างความเร็วในการอัปโหลดและการดาวน์โหลด - source="server_speedtest.csv" | eval ratio = DOWNLOAD_MEGABITS/UPLOAD_MEGABITS
เราสามารถดูอัตราส่วนการดาวน์โหลดและอัพโหลดได้จากข้อความค้นหานี้
_timeIP_ADDRESSDOWNLOAD_MEGABITSUPLOAD_MEGABITSratioคำแนะนำ: ใช้รูปแบบต่อไปนี้เมื่อใช้คำสั่งตาราง: | ตาราง ฟิลด์A ฟิลด์B ฟิลด์C
ข้อความค้นหาที่ใช้ใน Splunk เพื่อสร้างอัตราส่วนระหว่างความเร็วในการอัปโหลดและการดาวน์โหลด - source="server_speedtest.csv" | eval ratio = DOWNLOAD_MEGABITS/UPLOAD_MEGABITS | table _time, IP_ADDRESS, DOWNLOAD_MEGABITS, UPLOAD_MEGABITS, ratio
จากภาพหน้าจอด้านบน เราจะเห็นลำดับเวลากิจกรรมทั้งหมดที่มีการดาวน์โหลดและอัปโหลดเกิดขึ้น
จากภาพหน้าจอด้านบน เราจะเห็นเวลาที่การดาวน์โหลดและอัพโหลดเกิดขึ้น รวมถึงที่อยู่ IP ต้นทางที่ดำเนินการนี้
จากภาพหน้าจอด้านบน เราจะเห็นภาพเหตุการณ์การดาวน์โหลดและอัพโหลดเหล่านี้ในรูปแบบกราฟคอลัมน์ เวลาจะแสดงที่ด้านล่างและทำให้ข้อมูลของเราอ่านง่ายขึ้นมาก
จากการค้นพบของเราในข้อความค้นหาข้างต้น เราพบว่าความเร็วในการดาวน์โหลดและอัพโหลดลดลงอย่างมากเมื่อเวลาประมาณ 14.30 น. ของวันที่ 23 กุมภาพันธ์ เราสามารถเห็นสิ่งนี้ได้ในภาพหน้าจอด้านล่าง:
เราพบว่าการดาวน์โหลดลดลงเหลือ 7.87 เวลา 14:30 น. ซึ่งลดลงอย่างมากจาก 109.16 เมกะบิตซึ่งเป็นเหตุการณ์ก่อนหน้า มันยุติธรรมที่จะสรุปได้ว่านี่คือช่วงที่การโจมตีเริ่มต้นขึ้น
จากภาพหน้าจอด้านบนเราจะเห็นว่าเมกะบิตที่ดาวน์โหลดเพิ่มขึ้นจาก 17.56 เป็น 65.34 ซึ่งเพิ่มขึ้นอย่างมาก ดังนั้นจึงปลอดภัยที่จะถือว่าสิ่งนี้เกิดขึ้นเมื่อระบบเริ่มกู้คืนและกลับสู่โฟลว์การรับส่งข้อมูลเครือข่ายตามปกติ
จากภาพหน้าจอด้านบน เราเห็นได้ว่าจำนวนเมกะบิตที่ดาวน์โหลดเพิ่มขึ้นเป็น 123.91 จาก 78.34 เวลาประมาณ 23.30 น. ของวันที่ 23 กุมภาพันธ์ ถือว่าปลอดภัยที่จะถือว่านี่เป็นช่วงเวลาที่กระแสการรับส่งข้อมูลเครือข่ายมีเสถียรภาพและกลับสู่ภาวะปกติ
ส่งภาพหน้าจอของรายงานของคุณและคำตอบสำหรับคำถามข้างต้น
ความเป็นมา: เนื่องจากความถี่ของการโจมตี ผู้จัดการของคุณจะต้องแน่ใจว่าข้อมูลลูกค้าที่ละเอียดอ่อนบนเซิร์ฟเวอร์ของตนไม่มีช่องโหว่ เนื่องจาก Vandalay ใช้เครื่องสแกนช่องโหว่ของ Nessus คุณจึงดึงการสแกนในช่วง 24 ชั่วโมงที่ผ่านมาเพื่อดูว่ามีช่องโหว่ร้ายแรงหรือไม่
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Nessus โปรดอ่านลิงก์ต่อไปนี้: https://www.tenable.com/products/nessus
ผลลัพธ์การสแกน Nessus
ภาพหน้าจอของผลการสแกน nessus ที่อัปโหลดไปยัง Splunk:
10.11.36.23 ใช้ dest_ip="10.11.36.23" ในแบบสอบถาม
เป็นที่น่าสังเกตว่ามีระดับความรุนแรง 5 ประเภทที่บันทึกเหล่านี้มองหา ดังที่แสดงด้านล่าง:
เราต้องการกรองช่องโหว่ใดๆ ที่ระดับความรุนแรงเป็นค่าที่ 'วิกฤต' เราสามารถใช้ severity="crtiical" ในการสืบค้นของเรา
แบบสอบถามทั้งหมดคือ source="nessus_logs.csv" dest_ip="10.11.36.23" severity="critical"
ดูภาพหน้าจอด้านล่างสำหรับการสืบค้นทั้งหมดที่แสดงจำนวนช่องโหว่ที่สำคัญจากเซิร์ฟเวอร์ฐานข้อมูลลูกค้าจากไฟล์บันทึกนี้:
มีช่องโหว่ร้ายแรงทั้งหมด 49 รายการที่พบเมื่อ IP ปลายทางคือ 10.11.36.23 (ซึ่งเป็นเซิร์ฟเวอร์ฐานข้อมูล)
[email protected]สร้างการแจ้งเตือนโดยคลิก 'บันทึกเป็น' จากนั้นคลิก 'แจ้งเตือน' หลังจากที่เราสร้างผลลัพธ์จากข้อความค้นหาด้านบนแล้ว:
กรอกรายละเอียดเพื่อสร้างการแจ้งเตือนเมื่อใดก็ตามที่ Nessus ตรวจพบช่องโหว่บนเซิร์ฟเวอร์ฐานข้อมูล ป้อนชื่อ คำอธิบาย และข้อมูลอื่นๆ ที่เกี่ยวข้อง:
กรอกรายละเอียดอีเมลเพื่อส่งการแจ้งเตือนที่สร้างขึ้นไปที่ - [email protected] และกรอกรายละเอียดข้อความที่จะส่งพร้อมกับอีเมล:
กรอกรายละเอียดการแจ้งเตือนต่อไปแล้วคลิก 'บันทึก':
เมื่อบันทึกแล้ว เราควรจะสามารถดูการแจ้งเตือนและแก้ไขได้หากต้องการ:
ส่งภาพหน้าจอของรายงานของคุณและภาพหน้าจอหลักฐานว่ามีการสร้างการแจ้งเตือนแล้ว
ความเป็นมา: เซิร์ฟเวอร์ Vandalay กำลังประสบกับการโจมตีแบบ bruteforce ในบัญชีผู้ดูแลระบบของพวกเขา ฝ่ายบริหารต้องการให้คุณตั้งค่าการตรวจสอบเพื่อแจ้งให้ทีม SOC ทราบ หากมีการโจมตีแบบเดรัจฉานเกิดขึ้นอีกครั้ง
เข้าสู่ระบบของผู้ดูแลระบบ
ภาพหน้าจอของไฟล์ 'Administrator_logs.csv' ที่อัปโหลดลงใน Splunk:
คำแนะนำ:
มองหาช่องชื่อเพื่อค้นหาการเข้าสู่ระบบที่ล้มเหลว
โปรดทราบว่าการโจมตีกินเวลานานหลายชั่วโมง
เนื่องจากเราต้องการค้นหาผู้บ่งชี้ว่ามีการโจมตีแบบ Brute Force เราจึงต้องการเจาะลึกบันทึกที่บัญชีไม่สามารถเข้าสู่ระบบได้ หากเราไปที่ฟิลด์ 'ชื่อ' เราจะเห็นค่าที่มีอยู่ในบันทึก ในกรณีนี้ เราเห็นจำนวน "บัญชีล้มเหลวในการเข้าสู่ระบบ" จำนวน 1,004 รายการ นี่เป็นผลเสียหายที่ดีที่เกิดการโจมตีด้วยกำลังดุร้าย ดูภาพหน้าจอ:
ตอนนี้ถ้าเราเพิ่มสิ่งนี้ลงในการค้นหาของเรา เราจะสามารถดูเหตุการณ์ทั้งหมดที่เกิดขึ้นได้ จากนั้นเราจะเห็นได้ว่าเหตุการณ์ส่วนใหญ่เหล่านี้เกิดขึ้นเมื่อใด ซึ่งเป็นตัวบ่งชี้ที่ดีว่าเหตุการณ์นี้เกิดขึ้นเมื่อใด ดูภาพหน้าจอ:
ดังที่เราเห็น เหตุการณ์ "บัญชีล้มเหลวในการเข้าสู่ระบบ" เพิ่มขึ้นอย่างมากในเวลาประมาณ 9.00 น. ของวันที่ 21 กุมภาพันธ์ เราเห็นเหตุการณ์ที่เกิดขึ้นทั้งหมด 1,004 เหตุการณ์ โดยเวลา 9.00 น. มีเหตุการณ์เหล่านี้ 124 เหตุการณ์ ซึ่งมีจำนวนใกล้เคียงกันปรากฏในไม่กี่ชั่วโมงหลังจากนั้น ด้วยเหตุนี้ ฉันเชื่อว่าการโจมตีเริ่มขึ้นในช่วงเวลานี้ - 09.00 น. ของวันที่ 21 กุมภาพันธ์ 2020
เราเห็นได้จากไทม์ไลน์ของเหตุการณ์เหล่านี้ว่า 124 มีการเติบโตค่อนข้างมาก ในชั่วโมงก่อนหน้าของกิจกรรมนี้ จำนวนการเข้าสู่ระบบที่ไม่ถูกต้องมากที่สุดคือประมาณ 23 ครั้ง เราสามารถพิจารณาพฤติกรรมปกตินี้ได้ ดูภาพหน้าจอ:
เมื่อคำนึงถึงสิ่งนี้และคำนึงถึงความพยายามในการเข้าสู่ระบบประมาณ 124-135 ครั้งเมื่อการโจมตีแบบเดรัจฉานเกิดขึ้น ฉันจะพิจารณาพื้นฐานของการเข้าสู่ระบบที่ไม่ดีประมาณ 40 ครั้งต่อชั่วโมง ฉันจะมีช่วงสำหรับการเข้าสู่ระบบที่ไม่ดีต่อชั่วโมงดังนี้:
[email protected] หากมีการทริกเกอร์หากต้องการสร้างการแจ้งเตือนสำหรับเหตุการณ์ประเภทนี้ ฉันได้ทำตามขั้นตอนต่อไปนี้:
คลิก 'บันทึกเป็น' จากนั้นคลิก 'แจ้งเตือน':
กรอกรายละเอียดของการแจ้งเตือน รวมถึงเวลาที่ควรจะทริกเกอร์ (มากกว่า 25 ครั้งต่อชั่วโมง):
ป้อนรายละเอียดของการดำเนินการ ในกรณีนี้ เราจะส่งอีเมลไปที่ [email protected] :
บันทึกการแจ้งเตือนแล้วเราจะสามารถดูได้:
ขณะนี้เราได้สร้างการแจ้งเตือนที่จะทริกเกอร์เมื่อมีเหตุการณ์มากกว่า 25 เหตุการณ์ที่บัญชีไม่สามารถเข้าสู่ระบบได้สำเร็จ
ส่งคำตอบสำหรับคำถามเกี่ยวกับจังหวะเดรัจฉานกำลัง พื้นฐาน และเกณฑ์ นอกจากนี้ ให้ส่งภาพหน้าจอเพื่อเป็นหลักฐานว่ามีการสร้างการแจ้งเตือนแล้ว
