آموزش اسپلانک

اسپلانک (Splunk) نرم‌افزاری است که عمدتاً برای جستجو، نظارت و بررسی داده‌های بزرگ (Big Data) می‌باشد که از طریق وب می‌توان به آن دسترسی داشت .اسپلانک (Splunk) جمع‌آوری و ارتباط داده‌های Real Time را در یک ظرف قابل جستجو انجام می‌دهد بنابراین می‌تواند نمودارها، گزارش‌ها، هشدارها و داشبوردهای مختلفی را از آن تولید کند. همچنین با کمک نرم افزار اسپلانک (Splunk) می‌توان، یک داده خاص، یک تهدید یا حمله سایبری را  در دسته ای از داده های پیچیده جست و جو کرد بنابراین آموزش اسپلانک امری مهم و حیاتی برای کار با این محصول می‌باشد.

چرا اسپلانک (Splunk)

اسپلانک (Splunk) یک پلتفرم دیجیتالی است که دسترسی به داده های تولید شده توسط Assetهای مختلف را آسان می‌کند که برای همه مفید و ارزشمند خواهد بود. مدیریت حجم عظیمی از داده ها یکی از بزرگترین چالش ها برای کارشناسان مرکز عملیات امنیت (SOC) می‌باشد زیرا توسعه سریعی در بخش فناوری اطلاعات و تجهیزات  آن وجود دارد. از این رو، این نرم افزار نقش حیاتی برای مقابله با این وضعیت ایفا می کند.

آموزش اسپلانک

شرکت فناوری راه نو سورین با توجه به نیاز جامعه امنیت سایبری جهت تحلیل و کشف حملات و ارتقای سطح امنیت کشور در حوزه امنیت اطلاعات، با کمک اساتید با تجربه این حوزه، آماده برگزاری دوره های تخصصی Splunk به صورت عمومی و سازمانی می‌باشد. این دوره ترکیب دوره‌ی Splunk Fundamentals 1، Splunk Fundamentals 2 و Threat Hunting with Splunk‌ می‌باشد که سرفصل های این Pack را می‌توانید در ادامه مشاهده فرمایید.

 

دوره مقدماتی آموزش اسپلانک شامل موارد زیر می‌باشد :

  • استفاده از فیلدها در جستجو
  • اصول جستجو
  • ایجاد گزارش و داشبورد در اسپلانک
  • استفاده از Lookup
  • گزارش‌های برنامه ریزی و زمان‎ بندی شده
  • هشدارها (Alerts)
  • اجزا ، نصب و گرفتن داده در اسپلانک (Splunk)
  • سفارشی کردن تنظیمات User
  • مشخص کردن محدوده زمانی جستجو در اسپلانک(Splunk)
  • آشنایی و استفاده از Timeline
  • کارکردن با Eventها
  • ذخیره کردن نتایج جستجو
  • استفاده از دستوراتی مانند table, fields, dedup,…
  • ماکروها
  • و…

 سر فصل کامل آموزش اسپلانک:

Splunk Fundamentals 1

Module 1 – Introduction

  • How to Use the eLearning Interface
  • Overview of Buttercup Games Inc.

Module 2 – What is Splunk?

  • Splunk components
  • Installing Splunk
  • Getting data into Splunk

Module 3 – Introduction to Splunk’s User Interface

  • Understand the uses of Splunk
  • Define Splunk Apps
  • Customizing your user settings
  • Learn basic navigation in Splunk

Module 4 – Basic Searching

  • Run basic searches
  • Use autocomplete to help build a search
  • Set the time range of a search
  • Identify the contents of search results
  • Refine searches
  • Use the timeline
  • Work with events
  • Control a search job
  • Save search results

Module 5 – Using Fields in Searches

  • Understand fields
  • Use fields in searches
  • Use the fields sidebar

Module 6 – Search Language Fundamentals

  • Review basic search commands and general search practices
  • Examine the search pipeline
  • Specify indexes in searches
  • Use autocomplete and syntax highlighting
  • Use the following commands to perform searches:

          tables

          rename

          fields

          dedup

          sort

بخش دو

Module 7 – Using Basic Transforming Commands

  • top command
  • rare command
  • stats command

Module 8 – Creating Reports and Dashboards

  • Save a search as a report
  • Edit reports
  • Create reports that include visualizations such as charts and tables
  • Create a dashboard
  • Add a report to a dashboard
  • Edit a dashboard

Module 9 – Datasets and the Common Information Model

  • Naming conventions
  • What are datasets?
  • What is the Common Information Model (CMI)?

Module 10 – Creating and Using Lookups

  • Describe lookups
  • Create a lookup file and create a lookup definition
  • Configure an automatic lookup

Module 11 – Creating Scheduled Reports and Alerts

  • Describe scheduled reports
  • Configure scheduled reports
  • Describe alerts
  • Create alerts
    View fired alerts

Module 12 – Using Pivot

  • Describe Pivot
  • Understand the relationship between data models and pivot
  • Select a data model object
  • Create a pivot report
  • Create an instant pivot from a search
  • Add a pivot report to a dashboard

 

Splunk Fundamentals 2

Module 1 – Introduction

  • Overview of Buttercup Games Inc.
  • Lab environment

Module 2 – Beyond Search Fundamentals

  • Search fundamentals review
  • Case sensitivity
  • Using the job inspector to view search performance

Module3 – Using Transforming Commands for Visualizations

  • Explore data structure requirements
  • Explore visualization types
  • Create and format charts and timecharts

Module 4 – Using Mapping and Single Value Commands

  • iplocation command
  • geostats command
  • geom command
  • addtotals command

Module 5 -Filtering and Formatting Results

  • The eval command
  • Using the search and where commands to filter results
  • The filnull command

Module 6 – Correlating Events

  • Identify transactions
  • Group events using fields
  • Group events using fields and time
  • Search with transactions
  • Report on transactions
  • Determine when to use transactions vs. stats

Module 7 – Introduction to Knowledge Objects

  • Identify naming conventions
  • Review permissions
  • Manage knowledge objects

بخش دو

Module 8 – Creating and Managing Fields

  • Perform regex field extractions using the Field Extractor (FX)
  • Perform delimiter field extractions using the FX

Module 9 – Creating Field Aliases and Calculated Fields

  • Describe, create, and use field aliases
  • Describe, create and use calculated fields

Module 10 – Creating Tags and Event Types

  • Create and use tags
  • Describe event types and their uses
  • Create an event type

Module 11 – Creating and Using Macros

  • Describe macros
  • Create and use a basic macro
  • Define arguments and variables for a macro
  • Add and use arguments with a macro

Module 12 – Creating and Using Workflow Actions

  • Describe the function of GET, POST, and Search workflow actions
  • Create a GET workflow action
  • POST workflow action
  • Create a Search workflow action

Module 13 – Creating Data Models

  • Describe the relationship between data models and pivot
  • Identify data model attributes
  • Create a data model
  • Use a data model in pivot

Module 14 – Using the Common Information Model (CIM) Add-On

  • Describe the Splunk CIM
  • List the knowledge objects included with the Splunk CIM Add-On
  • Use the CIM Add-On to normalize data

 

دوره پیشرفته شکار تهدیدات با اسپلانک شامل موارد زیر می‌باشد :

  • شناسایی حملات مبتنی بر Password
  • حملات مربوط به وب
  • شناسایی تهدیدات DNS
  • کار با یوزکیس‌های اسپلانک (ابتدایی و پیشرفته)
  • آموزش زبان Search Processing Language (SPL)
  • دستورات مربوط به فیلتر کردن داده‌ها (کوئری نوشتن در اسپلانک)
  • آموزش Regular expression (Regex) نوشتن در اسپلانک
  • و …

 

سر فصل کامل مباحث به شرح زیر می‌باشد :

Threat Detection with Splunk

Splunk Overview

  • Splunk and Machine Data
  • Use Cases
  • Deployment (Single Instance and Distributed)
  • Getting Data In Splunk
  • Indexing Data With Splunk

Search Processing Language (SPL)

  • Types of SPL commands
  • Splunk search optimization
  • Filter commands
  • Report commands
  • Group commands
  • Field commands
  • Correlation commands

Basic Security Usecases

  • Brute Force Detection
  • Network Scan Detection
  • Baselining With Splunk

Advanced Security Use Cases

  • Lookup with Splunk
  • Regular Expression
  • Detecting DNS Based Threats
  • Malware Beaconing Detection
  • Malicious SSL Connections Detection
  • Detecting Malicious Windows Tools
  • Detecting Windows Lateral Movement
  • Situational Awareness