SIEM中的記錄檔資料收集

Compliance Reporter收集記錄檔資料後,可以將其傳送到配置的安全性資訊和事件管理(SIEM)軟體。使用SIEM軟體,您可以執行搜尋以報告您組織的相關資料。下面提供一個範例,說明如何使用Compliance Reporter收集的資料,在Splunk中建立搜尋:

(index="compliancereporter") parent_process="*" NOT subject.terminal_id.ip_address=0.0.0.0 
| eval Destination=coalesce(app,'path.1','subject.process_name')
| stats values(Destination), values(exec_chain.thread_uuid), values(host_info.host_name) count by parent_process
| rename values(Destination) as Application, parent_process as "Originating App",values(exec_chain.thread_uuid) as "Thread UUIDs", values(host_info.host_name) as Hosts
| table count, Hosts, "Originating App" "Thread UUIDs", Application
| sort count
此範例搜尋使用以下搜尋欄位:

  • subject.terminal_id.ip_address—遠端控制電腦的IP位址。將使用遠端IP位址標記在SSH工作階段中執行的任何動作。任何本機動作的值為「0.0.0.0」。

  • host_info.host_namehost_uuid—根據發生事件的主機來篩選和排序事件。

  • exec_chain.thread_uuid—遵循與單一thread_uuid連結在一起的程序執行樹。這可用於瞭解在電腦上執行腳本的動作。