Recopilación de datos de registros en SIEM
Cuando se recopilan datos de registros de Compliance Reporter, se pueden enviar al software de información de seguridad y gestión de eventos (SIEM) configurado. Puedes usar el software SIEM para elaborar informes de datos relevantes para tu organización. A continuación se muestra un ejemplo de cómo se puede crear una búsqueda en Splunk con datos recopilados por Compliance Reporter:
(index="compliancereporter") parent_process="*" NOT subject.terminal_id.ip_address=0.0.0.0
| eval Destination=coalesce(app,'path.1','subject.process_name')
| stats values(Destination), values(exec_chain.thread_uuid), values(host_info.host_name) count by parent_process
| rename values(Destination) as Application, parent_process as "Originating App",values(exec_chain.thread_uuid) as "Thread UUIDs", values(host_info.host_name) as Hosts
| table count, Hosts, "Originating App" "Thread UUIDs", Application
| sort count
-
subject.terminal_id.ip_address
: Dirección IP del ordenador con control remoto. Las acciones realizadas en una sesión SSH se etiquetarán con la dirección IP remota. Las acciones locales tendrán un valor de «0.0.0.0». -
host_info.host_name
ohost_uuid
: Filtra y ordena eventos en función del host en el que ocurrieron. -
exec_chain.thread_uuid
: Sigue un árbol de ejecución de procesos enlazado con un únicothread_uuid
. Se puede usar para averiguar qué acciones han ejecutado scripts en un ordenador.