4.1. Triển khai cài đặt Splunk Enterprise
Máy triển khai Splunk: Ubuntu 20.04, IP: 192.168.96.129 Đầu tiên tải phần mềm Splunk Enterprise từ trang web:
hftps:/www.splunk.com/en_us/products/splunk-enterprise.htm]l Sau đó install Splunk với dpkg:
sudo dpkg -i splunk_package_name.deb
Kích hoạt Splunk với lệnh: sudo /opt/splunk/bin/splunk enable boot-start Start dich vu Splunk: sudo service splunk start
Trong qua trinh Start sẽ xuất hiện yêu cầu chấp nhận với điều khoản dịch vụ của
Splunk và yêu câu tạo tài khoản.
Sau khi hoàn tất quá trình cài đặt và khởi chạy, giao diện web của Splunk hiển thi
như hình dưới:
@ Eh Login| splunk
Hình 4.1. Giao điện login cua Splunk
Nhập tên va mat khau da tao dé truy cập vào man hình làm việc của Splunk.
Vũ Thu Trang — B19DCA T196 39
Hello, Administrator
Quicklinks Dashboard Rec Created by you Shared with you
Common tasks
E] Add data @) Search your data isualize your data
lai im data into doing with Splunk search.
Add team members ‘Manage permissions
pers to Splunk platform, Control STM Splunk Stream
SN Upgrade Readiness App
Pod osquery App for Splunk Learning and resources
nk? Take a tour to help you on
mprel guidance.
Extend your capabilities 2 Join the Splunk Community 2 See how others use Splunk (2
›am, get inspired, and share
Hinh 4.2. Giao dién chinh cua Splunk
Tiếp sau đây đồ án sẽ trình bay 1 số kịch ban demo cho những mối de doa an
ninh mạng thường gặp của SME như đã trình bay ở chương 1.
4.2. Triển khai kịch bản thử nghiệm
4.2.1. Ransomware
Kịch bản: Dựa vào việc sử dụng kỹ thuật xã hội, kẻ tấn công đã lừa người dùng tải xuống và chạy một file mã độc tống tiền. Mã độc tống tiền này có tên là WannaCry. Khi mã độc chạy, tất cả file của nạn nhân bị mã hóa với đuôi file là .WNCRY và màn hình hién thị thông báo tống tiền. May Splunk Enterprise, trước
đó đã được cài đặt thu thập log từ máy nạn nhân và cai rule phát hiện ransomware,
hiển thị cảnh báo cho người giám sát biết rang máy người dùng bị nhiễm ransomware.
Từ đó, có thê đưa ra quyết định cô lập máy bị nhiễm và giải quyết với đữ liệu đã bị mã
hóa.
v] š = | Documents 4 n
ô + (> ThisPC > Documents
we Quick access
@Please_ Read Me@.txt
Desktop es
* @WanaDecryptor@.exe
# Downloads @ azeantm
=| Documents
bibi.xtWNCRY
me Pictures, xinchao.txt. WNCRY
Hình 4.3. File cua người dung bị mã hóa với dudi.WNCRY
Vũ Thu Trang — B19DCA T196 40
in Bitcoin only. For more information, click <About bitcoin>
bitcoins. For more information,
Hình 4.4. Man hình hiển thị thông bdo tong tiền nạn nhân
Ooops, your important files are encrypted.
Hình 4.5. Man hình nạn nhân khi bị nhiễm ransomware WannaCry Chuẩn bị:
® Máy Victim: Windows 10 có cài đặt Splunk Universal Forwarder (có thể xem lại mục 3.3.2) và Sysmon (Sysmon thường được dùng đề audit những hành vi bất thường của ứng dụng (process, thread, connection, file,
command, sign ,dns...)). IP: 192.168.96.131
® Máy trién khai Splunk Enterprise: May Ubuntu 20.04, IP: 192.168.96.129
® Do giới hạn tài nguyên nên trong nghiên cứu nay chỉ dùng 1 may Splunk Enterprise giám sát 1 máy Windows user đại diện.
Vũ Thu Trang — B19DCA T196 41
Đô án tôt nghiệ
Splunk Enterprise, 192.168.96.129
“= a)Windows 10, 192.168.96.131
Hình 4.6. Mô hình triển khai giám sát máy user
Thực hiện:
® Cài đặt Sysmon trên Windows 10
® Đưa log từ windows lên Splunk. Index chứa log từ sysmon có tên là
fromsysmon
® Tạo rule alert phát hiện WannaCry với câu tìm kiếm:
index="fromsysmon" [ search index="fromsysmon" EventCode=2 | streamstats time_window=1m count(EventCode) AS "new_files" | search new_files>3 | fields + Image ] | rex field=Hashes "SHA256=(?
<sha256>[“,\s]+)" | table Image, sha256,_ time | dedup sha256 | lookup ransomware_hash_value.csv hash_value AS sha256 OUTPUT
type_of_hash name_ransomware | search type_of_hash=* | table Image, sha256, type_of hash, name_ransomware, time
ity~ Helpy Q Find
Edit v
Add to Triggered Alerts
Hình 4.7. Cau hình alert ransomware
® Chạy thử nghiệm: Trên máy nạn nhân, chạy Ransomware WannaCry.
® Trên máy Splunk Enterprise hiện thông báo phát hiện ransomware.
Vũ Thu Trang — B19DCA T196 42
splunk
Filter ‘Apps _ Search & Reporting (search) ằ r everty |VAllSevertye Alet | AllAIetsy
Time Fired Alerts + App + ype = Severity + Mode = Actions
2023-11-21 01:51:53 PST Detect Ransomware search Medium Per Result
23-11-21 01:51:52 PST Detect R ware search Medium Per Result
2023-11-21 01:51:51 PST Detect Ransomware Real-time Medium Per Result
Hinh 4.8. Alert phat hién WannaCry Phan tich:
Khi ransomware chạy thường sinh ra nhiều file mới, truy cập, mã hóa các file người dùng. Vậy khi ransomware được chạy nó tạo ra rất nhiều sự kiện có
EventCode=2 (File Creation Time Changed) và EventCode=11 (File Created). Dựa
vào đây ta có thé tim được Process.
Windows 10 x64
Hình 4.9. Nhiều sự kiện EventCode=2, EventCode=11 sysmon được tạo ra khi
ransomware chạy
Từ sự kiện EventCode = 2 hoặc 11, ta có thé tìm được ra giá trị hash của Process
Created (EventCode = 1 trong Sysmon).
Sử dụng câu lệnh sau dé tìm kiếm mã hash mỗi tép:
index=fromsyslog [ search index=fromsyslog EventCode=2
| streamstats time_window=1m count(EventCode) AS "new_files"
| search new_files>10 | fields + Image |
| table Image, Hashes, _ time | dedup Hashes
Vũ Thu Trang — B19DCA T196 43
Đồ án tốt nghiệp
Y nghĩa lệnh trên tim kiếm các sự kiện có EventCode= 2, đếm số lượng sự kiện như vậy trong khoảng thời gian 1 phút, lọc các sự kiện có hơn 10 lần xuất hiện trong khoảng thời gian 1 phút, chỉ giữ lại trường "Image". Cuối cùng thống kê cho các
Image theo Hashes và _ time thu được bảng như sau:
New Search
ime | dedup Hashes
Events Pattems _— Statistics (10) __Visualization
20PerPagev Format Previewv
SHA 'A9DD616ED7161A389192E2F 318D9ABSAD10 ,MD5=7BF2857F2A205768755C97F238FB32CC, SHA256=B9C5D4339809EOADSA\
es SHA1=BE5D6279874DA315E3080B06983757AAD9832C23,MD5=8495400F 199AC77853C53B5A3F278F 3E, SHA256=2CA2D550E603D74DEDI 545af4d01bfSf1071661840480439c6eSbabe8e080e41aa..
'e-Sanples~ SHA1=47A9AD4125B68D7C55E4E7DA251E23F08940 7B8F ,MD5=4FEF5E34143E646DBF9907C4374276F5, SHA256=4A468603FDC87A2EB5:
1ebfbc9eb5bbea545af4d01bf5f1071661840489439c6e5babe8e080e41aa. exe.
SHA1=5FF465AFAABCBF0150D1A3AB2C2E74F 344426467 ,MD5=84C82835A5D21BBCF75A61706D8AB549, SHA256=ED0 1 EBFBCOEBSBBEAS}
SHIA1=BE]C6916957BFC34A58165786702655E38257844,MD5=SB7EDF5881ACE1D3C94FDFBB70EE2B5E, SHA256=46C3437EAES63CFSEO|
expl e SHA {8088 14FE79802A1B0492CẠI =F62 5ADD9458. „ SHA256=5CFAGACF6BD 10FBEB3}
expl SHA1=ESE75A1SEE46E0968665FF 180C34880E163F27F0,MD5=EBEA978A581 , SHA256=077043850436F 28188:
expl e SHA 1BACE78738D2A65C61EB7A85858270EFFB3,MD5=E2A42F0DC66ECE4BE08963EBC739A4F
expl SHIA1=DC494B876A5C277E04FBD9C2F629985C8671463D,MD5=DB9B1 1E44455EB7916D86CFB96C9DA3E, SHA
expl ơ SHA1=EE828055DC4FF0508423E25FCF2868DDED17 16CF ,MD5=180DBA654FARFE767209841335693EF7
Hình 4.10. Gia trị hash thu được
Ta thu được mã băm của các tệp. Tiếp đó dé so sánh các giá trị hash thu được với
giá tri hash ransomware đã biệt, tạo tệp lookup có tên là ransomware_hash_value.
Close
Vi v Last 24 hoursy Q
4,014 results (f 00, 23 6:48:56000 PM) | No Event Sampling + 2 & . & Smart Mode +
Events Patterns Statistics (1,014) _—_Visualization
20PerPagev © Format Previewv
hash_value +
'BBC63618600;
2084ABBF92A86,
Hình 4.11. Tệp Lookup ransomware_hash_value
Dé lay ra mã hash SHA256 trong trường Hashes, sử dung rex như sau:
rex field=Hashes "SHA256=(?<sha256>[*%,\s]+)"
Gia tri SHA256 của trường Hashes được lưu vào sha256, sau đó so sánh với giá tri
hash_value của tệp lookup. Nếu hai giá trị này trùng khớp với nhau thì giá trị của 2 trường type_of_hash và name_ransomware sẽ được ghi thêm ở đầu ra của kết qua tìm kiếm. Sau đó chỉ cần tìm kiếm những giá trị type_of_hash=* (không rỗng), thu được kết quả là tệp/ tiễn trình có mã băm SHA256 trùng với kết quả trong tệp có chứa mã băm của ransomware đã biết (giá trị này có thé tham khảo ở những trang web như
Vũ Thu Trang — B19DCA T196 44
New Search Close
Last 24 hoursy Q
to 11/223 1:50:14.000 AM) No Event Sampling ằ x + & + 9 SmartModev
Events Pe Statistics (4)
20PerPagev /Format Previewvy
Hình 4.12. Kết quả tim kiếm tép/tién trình có mã băm SHA256 trùng với tệp chữ ký
Kết luận: Khi Ransomware WannaCry chạy, alert ransomware được kích hoạt.
4.2.2. Malware
Kịch bản: Do hay sử dụng những phần mềm crack, phần mềm miễn phí không rõ nguồn gốc. Người dùng đã vô tình tải xuống và chạy một phần mềm độc hại có tên là Dropper. Đây là một loại trojan. Chúng không tự mình thực hiện bat kỳ hoạt động độc hại nào mà thay vào đó mở đường tan công bằng cách tải xuống/giải nén và cài đặt các mô-đun độc hại cốt lõi. Dé tránh bị phát hiện, Dropper cũng có thể tạo ra tiếng ồn
xung quanh mô-đun độc hai bằng cách tải xuống/giải nén một số tệp vô hại. Khi
Dropper chạy, nạn nhân sẽ thấy một shortcut lạ trên màn hình Desktop (trông giống với shortcut dẫn đến trang web ca nhạc, trò chơi nào đó). Ngoài ra, sau đó nạn nhân không thấy có biểu hiện gì khác thường trên máy (chang hạn như file bị mã hóa...).
Cùng lúc đó máy Splunk Enterprise sẽ hiện alert cảnh báo phát hiện malware cho
người giám sát. Từ đó, có thê đưa ra quyết định cô lập máy bị nhiễm hoặc những biện phát khác nếu cần.
Vũ Thu Trang — B19DCA T196 45
n tốt nghiệ oO
D
7 Share Sysmon
B® OneDrive
3® This PC
ẹ 3D Objects IEI Desktop
=| Documents - Downloads
Music
= Pictures
B Videos
#..LocalDisk(C) Y
Hình 4.13. Shortcut lạ trên màn hình Desktop nạn nhân
Phần chuẩn bị và thực hiện tương tự với ransomware (mục 4.2.1). Tạo tệp lookup
từ file malware.csv (file chứa 997 giá trị SHA256 từ 10 loại malware).
New Sear
| inputlookup v Last 24 hoursy Q 997 results :00:00,000 PM to 12/31/23 6:49:52.000 PM) ' No Event Sampling '® Smart Mode +
‘Close
Events Pattems —_— Statistics (997) __Visualization
SHA256 $
FBCB4F 1AD712E03A0381CF106A3C93C319AA14BC4EC4678AFEEE9EC03B576507 Dropper Trojan
2FD5B075AB9DFFE8B421A4942ECDAC322D8F OFCECAS97A644A6A9E631901E8BC Dropper Trojan
EEQB52CAB2F813A881F909A030F533122C29CA730C99B64B9 1 506C1 9DAFOFS06 Dropper Trojan
294463BB011CFAS '65FCBỉ1 170E5318BCA144685BB4FFD07176344FE16 Dropper Trojan
387d89b5ab9460b9dfc87e663a4e40cecca72c6a69b6bfe5d23eecb8c0ad949e AZ0Rult Trojan '6344c41e96f fb4a324 e0 odd Tocel 6 AZ0Rult Trojan
'2943422176311d39160f999ae9ff9b88cc63b5694413b497da1f14: AZ0Rult Trojan
c5d1fb403be6aff61fd '08d63f28/ AZ0Rult Trojan 72d1e2cfaa93657623abdf4559549bc4fba31ef86c1e66fe8e8128b3eda44798 AZ0Rult Trojan
b1c0e1d6e5affaBc9087c16c1bfd5e2976fa74d0648fe6900038936e157db3d0. AZ0Rult Trojan
'81d3c94df40b9906f6ee891ba4716f3d3a76Fae1fdeb3436747b4ea8a69a397 AZ0Rult Trojan
3617bb565fea246781 I5FT0229eeBdee37bec26be34d9c3ea70e2f55b2 AZ0Rult Trojan
'0f0bad7519662600f063d7b0192314cbbf2509c78e 13e22290d21 CobaltStrike Trojan
83850adfe61a93b04ba1179df! -8944c075ffe7af009 CobaltStrike Trojan
Hình 4.14. Tệp chứa gia tri SHA256 cua một s6 malware da biét Tương tự tao alert với ransomware (mục 4.2.1), tao alert với tim kiếm:
index="fromsysmon" [ search index="fromsysmon" (EventCode=2 OR
EventCode=11) | fields + Image ] | rex field=Hashes "SHA256=(?<sha256>[‘,\s]
+)" | table Image, sha256, _ time | dedup sha256 | lookup malware.csv SHA256 AS sha256 OUTPUT name_malware | search name_malware=* | table Image,
sha256, name_malware, time
Vũ Thu Trang — B19DCA T196 46
Đồ án tốt nghiệp
Edit Alert x
Settings
Alert Detect malware
Alert type 5 Real-time
Expires 24 lay(s] ¥
Per-Result ¥
Throttle L]
Trigger Actions
Add Actions *
When triggered v A Add to Triggered Alerts Remove
Severity High ¥
Hinh 4.15. Tao alert detect malware
Chay thử nghiệm: Trên may nan nhân, chạy Dropper Trojan.
Trên may Splunk Enterprise hiện thông báo phát hiện malware.
Fiter Q_ Apps ["/Searche!Reporting Gearch)>)) Ov VÃ severity (ẤWSẤ§NW . Alert ẨfẨẾNG: Showing 1-1 of 1resuis
Time Fired apt ype + Severity + Mode +
(1) 2023:2-27 17:28:50 +07 Dete searc eal i Per Result
Hinh 4.16. Alert phat hién Dropper Trojan
Kết luận: Khi Dropper chạy, alert malware được kích hoạt.
4.2.3. DoS
Kịch bản: Máy Windows server nạn nhân cho phép lệnh ping từ may bên ngoài.
Kẻ tấn công: lợi dụng điều này, gửi rất nhiều yêu cầu ICMP đến máy nạn nhân trong
thời gian ngắn khiến máy server không kịp phản hồi khiến máy server hết tài nguyên
và không thé xử lý những tác vụ tiến trình khác. Người giám sát chạy tìm kiếm trong
real-time phát hiện ra tan công DoS này sử dụng Splunk Enterprise và báo cho người quản trị. Từ đó có thê đưa ra biện pháp khắc phục phù hợp.
Vũ Thu Trang — B19DCA T196 47
Đô án tôt nghiệ
Chuẩn bịbị:
Máy nạn nhân: Windows server 2019 có cài đặt Splunk Universal
Forwarder để gửi log Windows Firewall đến Splunk. Địa chỉ IP:
192.168.96.136
Máy triển khai Splunk Enterprise: Máy Ubuntu 20.04, IP: 192.168.96.129 Máy tấn công: Kali Linux, IP: 192.168.96.133
Splunk Enterprise, 192.168.96.129
= b a. Mã
Wind
192.168.96.136
ows Server 2019
Hình 4.17. Mô hình kịch ban tan công DoS
Thực hiện:
Tiến hành cấu hình Splunk Forwarder để gửi dit liệu lên index có tên
firewall trên Splunk Enterprise.
Dé có thé parse log từ Windows Firewall, cai dat thêm tiện ich có tên TA-
winfw Technology Addon for Windows Firewall từ splunkbase.com
Dé phát hiện ra tan công DoS nay sử dung tìm kiếm: index="firewall"
transport="icmp" | timechart span=3s count as icmp requests |
where icmp_requests > 500. Giải thích: câu tim kiếm tim kiếm các sự kiện ICMP từ index "firewall", sau đó tạo một biểu đồ thời gian với 36 lượng yêu cầu ICMP trong 3 giây. Cuối cùng, nó chi giữ lai các khoảng thời gian trong đó có hơn 500 yêu cầu ICMP. Điều này giúp phát hiện và giám sát các tình huống có lưu lượng ICMP đột ngột hoặc lớn . Đề tiện cho demo, ta sẽ dé span=10s và icmp_requests > 40.
Trên máy tan công Kali, chạy lệnh: hping3 -1 192.168.96.136 --fast Sau khi chạy tìm kiếm real-time sẽ cho kết quả:
Vũ Thu Trang — B19DCA T196 48
ĐỒ search & Reporting
‘Alltime realtime) = Q
`... $ Smart Mode ©
Hình 4.18. Phát hiện có nhiều gói ICMP gửi đến trong thời gian ngắn
Kết luận: Sử dụng log Windows Firewall để phát hiện DoS ping flood trên
Splunk Enterprise.
4.2.4. Một số sự kiện có thé gây mat mát dữ liệu
Kịch ban: Sử dung Splunk Enterprise dé giam sat, phat hién mot số sự kiện có
thê gây mat mát dữ liệu của công ty qua hành vi của người dùng.
Chuẩn bị:
® May user Windows 10, IP: 192.168.96.131, cài đặt Splunk Universal Forwarder.
® May Ubuntu 20.04 cài đặt Splunk Enterprise để nhận log từ phía Windows, IP: 192.168.96.129. (mô hình giống hình 4.6)
*Sự kiện khi có nhân viên cắm USB vào máy tính công ty:
Trước hết, cho phép ghi log USB: Enable mục DriverFrameworks-UserMode
trong Event Viewer.
153 Diagnostics-Performance.
Il Disk Level Date and Time Source Event ID. Task Category
15 DiskDiagnostic @ information 12/28/2023 7:14:39 PM DriverFrameworks-UserMode 2101 Pnp or Power Management op..
1) DiskDiagnosticDataCollector D) Information 12/28/2023 7:14:39 PM DriverFrameworks-UserMode 2106 _ Pnp or Power Management op.
1G DiskDiagnosticResolver 3) Information 12/28/2023 7:1439 PM DriverFrameworks-UserMode 2105 Pnp or Power Management op..
15 DisplayColorCalibration @ Information 12/28/2023 7:1439 PM DriverFrameworks-UserMode 2100 Pnp or Power Management op.
(1 DNs Client Events D Information 12/28/2023 7:14:39 PM DriverFrameworks-UserMode 2101. Pnp or Power Management op.
CS DriverFrameworks-UserMod ||] @)) Information 12/28/2023 7:14:39 PM DriverFrameworks-UserMode 2106 _ Pnp or Power Management op.
[| Operational D Information 12/28/2023 7:14:39 PM DriverFrameworks-UserMode 2105 Pnp or Power Management op..
- Sa it D) Information 12/28/2023 7:14:39 PM DriverFrameworks-UserMode 2100 Pnpor Power Management op. ¥
Dxgkrnl
LÍ EapHost Event 2101, DriverFrameworks-UserMode x 1) EapMethods-RasChap
1 EapMethods-RasTls General Details
Hinh 4.19. Enable DriverFrameworks-UserMode trong Event Viewer
Ta thay mỗi khi cắm USB có sự kiện với EventCode = 1003 -> Tao alert với
EventCode này.
Vũ Thu Trang — B19DCA T196 49
Đô án tôt nghiệp
Settings
Alert USB has just been plugged in
Description Optional
a
Search index="fromusblog" EventCode=1003
Alert type Scheduled Real-time
Expires 10 day(s) ¥
Trigger Conditions
Trigger alert when Per-Result ¥
Throttle? {[ ]
Trigger Actions
+ Add Actions ¥
When triggered v ^ Add to Triggered Alerts Remove
Cancel Save
Hình 4.20. Tao alert với EventCode=1003
Thử nghiệm: cắm USB vào máy user sẽ xuất hiện alert trên Splunk Enterprise.
[ 2023-1I-12 02:17:28 PST USB has just been plugged in search Realtime @ Medium Per Result View Results [2 | Edit Search[2 | Delete
(2023-11-11 01:00:58 PST USB has just been plugged in search Real-time © Medium Per Result View Results [2 | Edit Search[2 | Delete
(2023-11-11 00:58:04 PST USB has just been plugged in search Real-time '® Medium Per Result View Results [2 | Edit Search[2 | Delete
Hình 4.21. Alert trên Splunk khi có người dùng cam USB vào máy user
Create Table
1 event 4:00:00.000 PM to 11/11/23 1:00:5: MV No Event Sampling *
Events "ai Statistics
Listy Format 20 Per Pageằ
Event
Event Actions ¥
Type *Ý Field
Selected % host
⁄
EventCode Message
1T01:01:03,000-08:00 index
Hinh 4.22. View search két qua alert khi cam USB
Vũ Thu Trang — B19DCA T196 50
Đồ án tốt nghiệp
Kết luận: Khi người dùng cắm USB vào máy user Windows thì sẽ có alert hiển
thị trên máy Splunk Enterprise.
*Sự kiện nếu có nhiều file được copy vào USB:
Đầu tiên, tiễn hành sửa Audit Removable Storage
2 Local Security Policy = oO
File Action View Help
Po An s3 os
a Security Settings Subcategory Audit Events
A Account Policies to] Audit Application Generated Not Configured
4 rig poles - l || 8| Audit Certification Services Not Configured
= N0 EM HH *| Audit Detailed File Share Not Configured ) Public Key Policies sử ued il leek Not Configured 5 Software Restriction Policies 5t) Audit File System Not Configured
© Application Control Policies s9, Audit Filtering Platform Connection Not Configured
%®, IP Security Policies on Local Computer ‘| Audit Filtering Platform Packet Drop Not Configured
ằ | Advanced Audit Policy Configuration *ằ| Audit Handle Manipulation Not Configured
ằ I4 system Audit Policies - Local Groul| | Audit Kernel Object Not Configured
34 Account Logon | “8 Audit Other Object Access Events Not Configured
=| Account Management ii Audit Registry Not Configured
| Detailed Tracking Bel Audit Removable S k
“i DS Access io) Audit SAM Not Configured J Logon/Logoff ‘| Audit Central Access Policy Staging Not Configured
= Object Access
| Policy Change
E=] Privilege Use a System
sẽ] Global Object Access Auditing
Hinh 4.23. Edit Audit Removable Storage
Sử dung sự kiện có EventCode=4663 (Ghi lại sự kiện cô gắng truy cập một đối tượng), ta có câu tìm kiếm như sau:
index=* source="*WinEventLog:Security" EventCode=4663
Object_Name=* (Accesses="WriteData *" OR Accesses="AppendData *") | regex= Object_Name!= "“.Device.HarddiskVolume\d*.\s*$" | bucket _ time | stats
count by user _time. Tim kiếm này được thiết kế dé giúp theo dõi và phân tích các sự kiện bảo mật có mã sự kiện 4663 liên quan đến quyền truy cập ghi dữ liệu trong hệ thống. Nó loại bỏ các sự kiện không mong muốn (có Object Name bắt đầu với Device.HarddiskVolume, loại bỏ các sự kiện liên quan đến quyền truy cập vào ô đĩa cứng) và tô chức dữ liệu theo người dùng và khoảng thời gian.
Kêt quả của lệnh search:
Vũ Thu Trang — B19DCA T196 51
Tiên hành tạo alert với tìm kiêm trên.
Alert Description
Search
Alert type Expires
Trigger Conditions Trigger alert when
in
Trigger
USB copy many files Optional
index=* source="*WinEventLog: Security" EventCode=4663 Object_Name=* (Accesses
="WriteData +" OR Accesses="AppendData +")
| regex Object_Name!="*.Device.HarddiskVolume\d*.\s*$"
| bucket _time | stats count by user _time
Scheduled Real-time
24 day(s) ¥
Custom ¥
search count > 6
e.g. "search count > 10". Evaluated against the results of the base search
3 minute(s) ¥
Once For each result
Cancel Save
Hinh 4.25. Tao alert su kién copy file vao USB (1)
Vũ Thu Trang — B19DCA T196 52