>

Anpassen und Tunen: Suchen anpassen

Durchsuchungen

In der Recorded Future App gibt es zwei Arten von Suchvorgängen für Splunk: Korrelation und Anreicherung. Beide Typen werden im Folgenden näher beschrieben, zusammen mit Anweisungen, wie sie geändert werden können.

Korrelations-Suchen

Recorded Future bietet eine Zusammenstellung von Beispielsuchen auf der Support-Website Common Splunk Search Strings for Recorded Future Risk Lists , die zeigt, wie Recorded Future Risk Lists mit verschiedenen Protokolldateien korreliert werden können.

Das Splunk-Feature "Workflow-Aktionen" ermöglicht kontextabhängige Menüeinträge für Suchergebnisse.

Workflow-Aktionen

Eine Beschreibung der Aktionen, die nicht im Standardsatz enthalten sind, finden Sie im folgenden Artikel auf der Recorded Future-Website: Pivoting to Recorded Future Enrichment Data in Splunk.

Basis-Suche

Die Basissuchen für die Korrelationsdashboards folgen dem gleichen Format und werden als Grundlage für spezifischere Suchvorgänge verwendet.

Dies ist die Standard-Basissuche für das Dashboard für die aufgezeichnete zukünftige IP-Protokollkorrelation:


    index=main sourcetype="netscreen:firewall" frühest=-24h 
   | eval Name=dst
   | join [|inputlookup default_ip_risklist.csv | table * ]
   | Suche Risiko != "" 
   | sort -Risiko
  • index=main sourcetype="netscreen:firewall" frühest=-24h wählt den 'main' Index aus, setzt den SourceType auf 'netscreen:firewall' mit einem Zeitstempel innerhalb der letzten 24 Stunden.
  • eval Name=dst benennt das Feld 'dst' in den Protokollen mit der eval-Anweisung in 'Name' um.
  • join [|inputlookup default_ip_risklist.csv | table * ] Verknüpfen Siedie Ergebnisse der vorherigen Suche mit einer Tabelle, die alle Felder enthält, die in der IP_risklist.csv-Nachschlagedatei verfügbar sind.
  • search Risiko != "" entfernt alle Ergebnisse, denen kein Risiko zugewiesen ist, indem nach den Elementen gesuchtwird, die dem Feld 'Risiko' einen Wert zugewiesen haben.
  • sort -Risiko Sortieren Siedie Ergebnisse in absteigender Reihenfolge, indem Sie ein '-' vor dem Feldnamen hinzufügen, um sicherzustellen, dass die Ergebnisse mit dem höchsten Risiko oben in der Liste angezeigt werden.

Eine typische Änderung ist die Verwendung einer benutzerdefinierten Risikoliste. In den Recorded Future Risk Lists heißt das Hauptelement Name. Ihr Inhalt hängt von der Art der Risikoliste ab, so dass sie z. B. die Domäne in der Risikoliste der Domäne und die CVE in der Risikoliste der Schwachstellen angibt. Um eine benutzerdefinierte Risikoliste zu verwenden, ändern Sie die zweite Zeile so, dass sie mit den Feldnamen der Daten in Splunk und der Risikoliste übereinstimmt.

Ältere Versionen der Korrelations-Dashboards verwendeten die Suche , die im Kontext der Recorded Future App for Splunk viel langsamer ist und keine nicht übereinstimmenden Ereignisse aus dem Ergebnis entfernt. Es ist schneller, Join und Untersuche mit inputlookup zu verwenden.

Untersuchen

Dies ist die Suche, die die Anzahl der eindeutigen Zeilen in der Basissuche bestimmt. Die erste Anweisung führt eine statistische eindeutige Zählung durch, d.h. zählt nur die eindeutigen Werte im Feld 'Name' und speichert das Ergebnis im Feld 'count'. Dieser Wert wird dann mithilfe der rangemap-Anweisung eingefärbt.


    | stats dc(Name) als Anzahl
    | Rangemap field=count low=0-0 evelated=1-1 default=severe

Die folgende Untersuche erstellt die letzte Tabelle in den Korrelations-Dashboards, um die Anzahl der Vorkommen für jeden Wert im Feld "Name" anzuzeigen. Im Vergleich zu stats fügt eventstats jeder Zeile in den Ergebnissen ein neues Feld 'Anzahl' hinzu. Alle doppelten Zeilen in Bezug auf 'Name' werden mit 'deduplizierter Name' entfernt. Das Recorded Future-Makro 'format_evidence' analysiert das JSON-Objekt im Feld 'EvidenceDetails' und füllt so neue Felder mit den darin enthaltenen Daten. Schließlich werden die Daten in absteigender Reihenfolge sortiert und bereinigt, indem alle Dezimalstellen aus Risiko entfernt werden, bevor eine Tabelle mit den endgültigen Informationen erstellt wird.


    | eventstats Zählung NACH Name
    | Dedup-Name
    | "format_evidence"
    | sort -Risiko
    | eval Risiko = runde(Risiko,0)
    | Tabelle "Risiko", "Name", "Anzahl", "RiskString", "Regel", "Nachweis"

Anreicherungs-Suchen

Die Anreicherungs-Dashboards verwenden API-Credits, um weitere Informationen über die jeweilige Entität aus der Recorded Future Connect-API zu erhalten.

Basis-Suche

Die Basissuche für jedes der Anreicherungsdashboards enthält einen REST-Aufruf , um die Informationen über eine Entität abzurufen. Es ist möglich, die von der API erhaltenen Informationen anzupassen. Standardmäßig sind alle verfügbaren Felder ausgewählt, um dem Benutzer so viele Daten wie möglich präsentieren zu können. Die verfügbaren Felder finden Sie auf der Seite Recoded Future API . Die CDATA-Kapselung, d. h. "regulärer Ausdruck in dieser Suche. Die spath-Anweisung wird verwendet, um JSON-Objekte zu analysieren, damit die Informationen in Suchvorgängen verwendet werden können. Die letzten beiden Anweisungen konvertieren die Zeitstempel in ein konventionelleres Format.


    .+)"
    | rulesMax in risk.rulesMax umbenennen
    | spath input=Zeitstempel 
    | eval FirstSeen=strftime(strptime('timestamps.firstSeen', "%Y-%m-%dT%H:%M:%S.%NZ"), "%b %d, %Y") 
    | eval LastSeen=strftime(strptime('timestamps.lastSeen', "%Y-%m-%dT%H:%M:%S.%NZ"), "%b %d, %Y")
    ]]>
Untersuchen

Viele der Untersuchen in den Anreicherungs-Dashboards sind recht ähnlich, insbesondere wenn es um die Tabellen der verknüpften Entitäten geht. Ein Beispiel ist das folgende für verwandte Domains:


    | 'unpack_relatedEntities(RelatedInternetDomainName)'
    | sort -count, name
    | Name in Domain umbenennen
    | Anzahl der Umbenennungen als Referenzen
    | Tabelle Domäne, Referenzen

Das Makro 'unpack_relatedEntities' analysiert das JSON-Eingabeobjekt . Ein Makro wird verwendet, um sicherzustellen, dass alle verknüpften Entitätstabellen auf die gleiche Weise behandelt werden. Das Ergebnis wird sortiertund in d umbenannt, um geeignete Header zu erhalten. In der letzten Zeile wird die Tabelle erstellt, die im Dashboard mit den Feldern "Domäne" und "Referenzen" angezeigt wird.

Weitere Hilfe

Die "Recorded Future App for Splunk" wurde von Recorded Future entwickelt.

Weitere Informationen und Support finden Sie auf unserer Support-Website: support.recordedfuture.com