Recopilación de datos de registros en SIEM

Cuando se recopilan datos de registros de Compliance Reporter, se pueden enviar al software de información de seguridad y gestión de eventos (SIEM) configurado. Puedes usar el software SIEM para elaborar informes de datos relevantes para tu organización. A continuación se muestra un ejemplo de cómo se puede crear una búsqueda en Splunk con datos recopilados por Compliance Reporter:

(index="compliancereporter") parent_process="*" NOT subject.terminal_id.ip_address=0.0.0.0 
| eval Destination=coalesce(app,'path.1','subject.process_name')
| stats values(Destination), values(exec_chain.thread_uuid), values(host_info.host_name) count by parent_process
| rename values(Destination) as Application, parent_process as "Originating App",values(exec_chain.thread_uuid) as "Thread UUIDs", values(host_info.host_name) as Hosts
| table count, Hosts, "Originating App" "Thread UUIDs", Application
| sort count
Esta búsqueda de ejemplo usa los siguientes campos de búsqueda:

  • subject.terminal_id.ip_address: Dirección IP del ordenador con control remoto. Las acciones realizadas en una sesión SSH se etiquetarán con la dirección IP remota. Las acciones locales tendrán un valor de «0.0.0.0».

  • host_info.host_name o host_uuid: Filtra y ordena eventos en función del host en el que ocurrieron.

  • exec_chain.thread_uuid: Sigue un árbol de ejecución de procesos enlazado con un único thread_uuid. Se puede usar para averiguar qué acciones han ejecutado scripts en un ordenador.