Splunk整合Slack發送即時警示訊息

Splunk也可以跟Slack整合即時發送告警訊息，設定方式如下

Step1：先到下方Splunk網頁去捉取Slack Notification Alert應用套件安裝
https://splunkbase.splunk.com/app/2878/

Step2：安裝完成後，在應用套件-->Slack Alerts-->設定  ，將申請好的Slack API Webhook網址貼上去，並存檔，申請API的方式可參考上篇文章連結

Step3：在Splunk頁面-->警示-->設定即時警示動作 ，選擇觸發動作為Slack
照需求選好要發送的頻道，訊息內容的地方，可以個人需求填入，也可以將警示的結果用Splunk定義好的變數參數代入，變數代表的內容可以Splunk網站的這個連結
我使用的變數如下
$server.serverName$:bangbang:$name$:$result._raw$

(繼續閱讀...)

Splunk即時告警失效問題

Splunk近期加了不少的即時告警通知的功能，結果在使用上發現會有的部分告警沒辦法正常發送即時通知Email，一開始不以為意，以為是SMTP發信的問題，但後來仔細檢查後，才知道是Splunk為了系統的search效能，所以有做一些預設的限制，而剛好即時告警又是Splunk功能裡很吃效能的一個功能，如果是預設四核心CPU的Splunk主機的話，預設只能同時使用5組的Realtime Alert，這也就是為什麼有時候，有的即時告警正常，有時又異常的原因，要加大可以使用即時告警的數量的話，可修改Splunk安裝目錄下的config檔的參數
C:\Program Files\Splunk\etc\system\default\limits.conf
修改後要記得要重新Restart Splunk services

預設值如下，可用即時告警計算出來，以4 core CPU的話，是只能使用5組
############################################################################
# Concurrency
############################################################################
# This section contains settings for search concurrency limits.
# The total number of concurrent searches is
# base_max_searches + #cpus*max_searches_per_cpu

# The base number of concurrent searches.
base_max_searches = 6

# Max real-time searches = max_rt_search_multiplier x max historical searches.
max_rt_search_multiplier = 1

# The maximum number of concurrent searches per CPU.
max_searches_per_cpu = 1

(繼續閱讀...)

透過Splunk 分析惡意C&C伺服器

最近公司有個資安上的需求，需要對於DNS的Log做分析，簡單來說就是有人的電腦可能被植入木馬或是不明原因造成會去連一些惡意的中繼伺服器 (C&C伺服器)，雖然已事先在DNS主機上對於這些C&C伺服器清單做了強制的Hosts檔對應到一組不存在的IP，然後再透過Firewall做阻攔，但因為仍無法看到是否為偶發性的上網點到廣告網址或是真的中了木馬才去連線C&C伺服器的List清單，因些有需要將DNS的Log分析，並在有異常時可以自動發出告警信來通知相關資安處理人員。幸好目前的上班公司有買Splunk，那就來做一下大數據分析囉!!!

以下為利用虛擬機器在VM上的LAB實作的步驟
Step 1：先在DNS Sever上將偵錯模式打開，記錄DNS的查詢封包的Log，選勾以下選項可以知道哪些內部電腦查詢了哪些網址，之後會透過Splunk分析這些網址與C&C伺服器清單做大數據比對，不需要勾選到詳細資料的欄位，因為這樣子Log會長的太快，而且不利分析，只需要知道簡單的幾個必要欄位即可


(繼續閱讀...)