Splunk
Ingestion et CIM
Ingestion, recherche SPL, corrélation, détection et tableaux de bord pour les opérations SOC.
Préparer une source
Avant d'écrire une détection, vérifie :
- l'horodatage et le fuseau ;
host,source,sourcetype,index;- la rétention ;
- les champs extraits ;
- les événements dupliqués ou tronqués.
Recherches de contrôle
index=* earliest=-15m
| stats count min(_time) as first max(_time) as last by index sourcetype
| convert ctime(first) ctime(last)
index=windows sourcetype="XmlWinEventLog:Security"
| stats count by host EventCode
| sort - count
Common Information Model
Le CIM normalise les champs entre produits. Exemples :
| Domaine | Champs courants |
|---|---|
| Authentication | user, src, dest, action |
| Network Traffic | src, dest, src_port, dest_port, bytes |
| Endpoint Processes | process_name, process, parent_process_name |
| Web | url, http_method, status, user_agent |
Vérifier un modèle de données
| tstats summariesonly=false count from datamodel=Authentication.Authentication
by Authentication.action Authentication.user Authentication.src
Qualité des données
index=windows earliest=-24h
| eval missing_user=if(isnull(user) OR user="",1,0)
| stats count sum(missing_user) as missing_user by sourcetype
| eval pct_missing=round(100*missing_user/count,2)
À retenir
Une règle de détection ne peut pas compenser une source mal horodatée, incomplète ou mal parsée. Mesure la qualité avant d'évaluer la couverture.