Blue Team Field NotesDFIR · SOC · Vulnerability Management
Splunk

Ingestion et CIM

Ingestion, recherche SPL, corrélation, détection et tableaux de bord pour les opérations SOC.

Préparer une source

Avant d'écrire une détection, vérifie :

Recherches de contrôle

index=* earliest=-15m
| stats count min(_time) as first max(_time) as last by index sourcetype
| convert ctime(first) ctime(last)
index=windows sourcetype="XmlWinEventLog:Security"
| stats count by host EventCode
| sort - count

Common Information Model

Le CIM normalise les champs entre produits. Exemples :

Domaine Champs courants
Authentication user, src, dest, action
Network Traffic src, dest, src_port, dest_port, bytes
Endpoint Processes process_name, process, parent_process_name
Web url, http_method, status, user_agent

Vérifier un modèle de données

| tstats summariesonly=false count from datamodel=Authentication.Authentication
  by Authentication.action Authentication.user Authentication.src

Qualité des données

index=windows earliest=-24h
| eval missing_user=if(isnull(user) OR user="",1,0)
| stats count sum(missing_user) as missing_user by sourcetype
| eval pct_missing=round(100*missing_user/count,2)
À retenir

Une règle de détection ne peut pas compenser une source mal horodatée, incomplète ou mal parsée. Mesure la qualité avant d'évaluer la couverture.

Références officielles