Thiago Teixeira
EN | PT

Splunk

Splunk Inc.

Plataforma líder de busca, análise de logs e SIEM.

Logs e SIEM Comercial Plataforma / Suíte Praticado em Lab Cross-platform
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O Splunk é a plataforma comercial dominante em SIEM e analytics de logs. Sua Search Processing Language (SPL) é uma das mais expressivas do mercado, e questões do CySA+ frequentemente citam SPL.

O que dominar:

  • Arquitetura Universal Forwarder / Heavy Forwarder / Indexer / Search Head.
  • Data models, CIM, accelerated searches no Enterprise Security.
  • Fundamentos SPL: index= ... | search ... | stats count by ...
  • Pesquisas de correlação, notable events e risk-based alerting no Splunk ES.

Casos de uso

  • Engenharia de casos de uso e correlação em SIEM
  • Threat hunting em logs brutos em escala
  • Dashboards executivos e operacionais
  • Relatórios de compliance (PCI, HIPAA)

Exemplo

index=wineventlog EventCode=4625
| stats count by Account_Name, src_ip
| where count > 10
| sort - count