背景:作为全球进出口行业的领导者,Vandalay Industries 一直是许多试图破坏其在线业务的对手的目标。最近,Vandaly 的网络服务器遭受了 DDOS 攻击。
不仅网络服务器因 DDOS 攻击而离线,而且上传和下载速度在中断后也受到显着影响。您的网络团队提供了最近一次 DDOS 攻击前后的网络速度结果。
速度测试文件
上传到 Splunk 的“server_speedtest.csv”文件的屏幕截图:
eval命令,创建一个名为ratio 的字段,用于显示上传和下载速度之间的比率。提示:创建比率的格式为: | eval new_field_name = 'fieldA' / 'fieldB'
Splunk 中用于生成上传和下载速度比率的查询 - source="server_speedtest.csv" | eval ratio = DOWNLOAD_MEGABITS/UPLOAD_MEGABITS
我们可以从这个查询中看到下载和上传的比率。
_timeIP_ADDRESSDOWNLOAD_MEGABITSUPLOAD_MEGABITSratio提示:对于表命令,请使用以下格式: |表字段A 字段B 字段C
Splunk 中用于生成上传和下载速度比率的查询 - source="server_speedtest.csv" | eval ratio = DOWNLOAD_MEGABITS/UPLOAD_MEGABITS | table _time, IP_ADDRESS, DOWNLOAD_MEGABITS, UPLOAD_MEGABITS, ratio
从上面的屏幕截图中,我们可以看到下载和上传发生的总事件时间线。
从上面的屏幕截图中,我们可以看到下载和上传发生的时间以及执行此操作的源 IP 地址。
从上面的屏幕截图中,我们可以看到这些下载和上传事件以柱形图格式的直观表示。时间显示在底部,这使我们的数据更具可读性。
根据我们在上述查询中的发现,我们可以看到下载和上传速度在 2 月 23 日下午 2:30 左右急剧下降。我们可以在下面的屏幕截图中看到这一点:
我们可以看到下载量在下午 2:30 下降到 7.87。这与上一次事件的 109.16 兆比特相比大幅下降。可以公平地假设这就是攻击开始的时间。
从上面的截图中我们可以看到,下载量从17.56增加到了65.34,这是一个急剧的增长。因此,可以安全地假设这是在系统开始恢复并恢复正常网络流量时发生的。
从上面的截图中我们可以看到,2 月 23 日晚上 11:30 左右,下载量从 78.34 跃升至 123.91。可以肯定地说,这大约是网络流量稳定并恢复正常的时间。
提交您的报告的屏幕截图以及上述问题的答案。
背景:由于攻击频繁,您的经理需要确保其服务器上的敏感客户数据不易受到攻击。由于 Vandalay 使用 Nessus 漏洞扫描器,因此您已提取过去 24 小时的扫描以查看是否存在任何严重漏洞。
有关 Nessus 的更多信息,请阅读以下链接:https://www.tenable.com/products/nessus
Nessus 扫描结果
上传到 Splunk 的 nessus 扫描结果的屏幕截图:
10.11.36.23 。在查询中使用dest_ip="10.11.36.23"
值得注意的是,这些日志会查找 5 种严重级别,如下所示:
我们希望过滤出严重性级别为“关键”值的任何漏洞。我们可以在查询中使用severity="crtiical" 。
整个查询是source="nessus_logs.csv" dest_ip="10.11.36.23" severity="critical"
请参阅下面的屏幕截图,了解整个查询,该查询显示来自此日志文件的客户数据库服务器的严重漏洞计数:
当目标IP为10.11.36.23(数据库服务器)时,共发现49个严重漏洞。
[email protected] 。在我们从上面的查询生成结果后,单击“另存为”,然后单击“警报”来创建警报:
输入详细信息以在 Nessus 检测到数据库服务器上的漏洞时生成警报。输入名称、描述和任何其他相关信息:
输入电子邮件详细信息以将生成的警报发送至 - [email protected] ,然后输入要与电子邮件一起发送的消息详细信息:
继续输入警报的详细信息,然后单击“保存”:
保存后,我们应该能够看到警报并根据需要进行编辑:
提交报告的屏幕截图以及警报已创建的证据屏幕截图。
背景:Vandalay 服务器的管理员帐户也遭受暴力攻击。管理层希望您设置监控,以便在暴力攻击再次发生时通知 SOC 团队。
管理员登录
上传到 Splunk 的“Administrator_logs.csv”文件的屏幕截图:
提示:
查找名称字段以查找失败的登录。
请注意,攻击持续了几个小时。
因为我们想要寻找暴力攻击的任何迹象,所以我们想要深入了解帐户无法登录的日志。如果我们导航到“名称”字段,我们可以看到日志中保存的值。在本例中,我们可以看到“帐户无法登录”的计数为 1004。这是发生暴力攻击的良好指标。看截图:
现在,如果我们将其添加到搜索中,我们可以看到发生此情况时的总事件。然后我们可以看到大多数事件发生的时间,这是判断事件发生时间的一个很好的指标。看截图:
可以看到,2月21日上午9点左右“账户登录失败”事件出现了相当大的高峰。我们可以看到总共发生了 1004 起事件,其中 124 起事件在上午 9 点发生,并且在随后的几个小时内出现了类似的数字。因此,我相信攻击是在这个时间(2020 年 2 月 21 日上午 9:00)左右开始的。
从这些事件的时间线我们可以看出,124 是一个相当大的峰值。在此事件发生之前的几个小时内,最多的错误登录次数约为 23 次。我们可以认为这是正常行为。看截图:
考虑到这一点,并考虑到暴力攻击发生时大约有 124-135 次登录尝试,我会考虑每小时大约 40 次不良登录的基线。我每小时的不良登录范围如下:
[email protected] 。要为此类事件创建警报,我执行了以下步骤:
单击“另存为”,然后单击“警报”:
填写警报的详细信息,包括何时触发警报(每小时尝试超过 25 次):
输入操作的详细信息。在这种情况下,我们将发送电子邮件至[email protected] :
保存警报,然后我们可以查看它:
我们现在已经成功创建了一个警报,当帐户登录失败的事件超过 25 个时,该警报就会触发。
提交有关暴力破解时间、基线和阈值问题的答案。此外,请提供屏幕截图作为已创建警报的证据。
