Protokolldatensammlung in SIEM

Wenn Protokolldaten aus Compliance Reporter gesammelt werden, können sie an die konfigurierte SIEM-Software (Security Information and Event Management) weitergeleitet werden. Mit der SIEM-Software können Sie Suchen durchführen, um Daten auszuwerten, die für Ihr Unternehmen relevant sind. Das folgende Beispiel zeigt, wie eine Suche in Splunk erstellt werden kann, die von Compliance Reporter gesammelte Daten verwendet:

(index="compliancereporter") parent_process="*" NOT subject.terminal_id.ip_address=0.0.0.0 
| eval Destination=coalesce(app,'path.1','subject.process_name')
| stats values(Destination), values(exec_chain.thread_uuid), values(host_info.host_name) count by parent_process
| rename values(Destination) as Application, parent_process as "Originating App",values(exec_chain.thread_uuid) as "Thread UUIDs", values(host_info.host_name) as Hosts
| table count, Hosts, "Originating App" "Thread UUIDs", Application
| sort count
Diese Beispielsuche verwendet die folgenden Suchfelder:

  • subject.terminal_id.ip_address – IP-Adresse des fernsteuernden Computers. Alle Aktionen, die in einer SSH-Sitzung ausgeführt werden, werden mit der entfernten IP-Adresse gekennzeichnet. Alle lokalen Aktionen haben den Wert „0.0.0.0“.

  • host_info.host_name oder host_uuid – Filtert und sortiert Ereignisse basierend auf dem Host, auf dem sie aufgetreten sind.

  • exec_chain.thread_uuid – Folgt einer Prozessausführungshierarchie, die mit einer einzelnen thread_uuid verknüpft ist. Dies kann verwendet werden, um herauszufinden, welche Aktionen ausgeführte Skripte auf einem Computer durchgeführt haben.