القائمة الرئيسية

الصفحات

تعديل المشاركة

الفيديو #11: تعلّم أشهر أداة في الـ SOC.. أساسيات Splunk | شرح Splunk: The Basics #11

 

Task 1 (المقدمة)

🟢 ما هو Splunk؟

هو أحد الحلول الرائدة في سوق الـ SIEM.

  • وظيفته: يسمح لك بتجميع وتحليل وربط سجلات الشبكة والأجهزة (Logs) في الوقت الفعلي (Real-time).
  • الفائدة: يمنحك رؤية كاملة لنشاط الشبكة ويساعدك على اكتشاف الهجمات بسرعة فائقة.

🎯 أهداف التعلم (Learning Objectives)

في هذه الغرفة، ستنتقل من "المعرفة" إلى "التطبيق":

  1. المكونات: فهم مما يتكون نظام Splunk (الهيكلية).
  2. الاستكشاف: التعرف على الخيارات والواجهات المتاحة في البرنامج.
  3. الإدخال (Ingestion): فهم كيف "نغذي" Splunk بالبيانات والسجلات.
  4. تطبيق عملي: ستقوم بنفسك بإدخال سجلات وتحليلها داخل Splunk!.

⚠️ المتطلبات (Prerequisites)

إذا كنت جديداً على عالم الـ SIEM، يرجى التأكد من إنهاء غرفة "Introduction to SIEM" أولاً لتفهم الأساسيات قبل البدء هنا.

Task 2: Connect with the Lab (الاتصال بالمعمل)

🟢 1. تشغيل الجهاز (Start Machine)

  • اضغط على الزر الأخضر "Start Machine" الموجود في المهمة.
  • انتظر قليلاً (من 3 إلى 5 دقائق) حتى يعمل الجهاز بالكامل.

🌐 2. الدخول إلى Splunk

  • بمجرد أن يعمل الجهاز، سيظهر لك عنوان IP خاص به (MACHINE_IP).
  • افتح المتصفح (سواء داخل الـ AttackBox الخاص بالموقع أو عبر جهازك إذا كنت متصلاً بـ VPN) وادخل إلى الرابط:
    http://MACHINE_IP

Task 3: Splunk Components (مكونات Splunk)

🚚 1. المُرسِل (Splunk Forwarder)

هذا هو "الجندي الميداني".

  • مكانه: يتم تثبيته على الأجهزة التي نريد مراقبتها (مثل سيرفرات الويب، أجهزة ويندوز، قواعد البيانات).
  • وظيفته: يجمع البيانات (Logs) ويرسلها بسرعة إلى الـ Indexer.
  • ميزته: خفيف جداً (Lightweight) ولا يستهلك موارد الجهاز، فهو مجرد "ساعي بريد" نشيط.

🗄️ 2. المُفهرس (Splunk Indexer)

هذا هو "أمين المكتبة".

  • وظيفته: يستلم البيانات من الـ Forwarder ويقوم بـ:
    1. المعالجة (Parsing): يفهم البيانات.
    2. التوحيد (Normalization): يحولها إلى حقول وقيم (Field-Value pairs) موحدة.
    3. التخزين (Storage): يخزنها كأحداث (Events) مرتبة لكي يسهل البحث عنها لاحقاً.

🔍 3. واجهة البحث (Search Head)

هذا هو "المحقق" (أنت!).

  • مكانه: هو الواجهة الرسومية التي تراها أمامك في المتصفح (Search & Reporting App).
  • وظيفته:
    1. يسمح لك بالبحث في البيانات المخزنة باستخدام لغة خاصة تسمى SPL (Search Processing Language).
    2. يرسل طلب البحث للـ Indexer ويستقبل النتائج.
    3. يحول الأرقام الجامدة إلى رسوم بيانية جميلة (Visualizations) مثل المخططات الدائرية والأعمدة.

🖼️ ملخص العملية بالصور

تخيل العملية كالتالي:

☝️ شرح الصورة:

  • الـ Forwarder (يمين) يرسل البيانات.
  • الـ Indexer (يسار) يخزنها وينظمها.
  • الـ Search Head (وسط) يبحث فيها ويعرضها لك.

كما يمكنك تحويل النتائج لرسوم بيانية:

☝️ تعرض هذه الصورة أنواع المخططات (Charts) التي يمكن للـ Search Head إنشاؤها لتسهيل القراءة.

Task 4: Navigating Splunk (التجول في Splunk)

🔝 1. شريط Splunk العلوي (The Splunk Bar)

هذا هو شريط التحكم الرئيسي الموجود في أعلى الصفحة دائماً.

☝️ شرح الخيارات (من اليسار لليمين):

  • الـ Messages: لعرض التنبيهات ورسائل النظام (مثلاً: إذا كان الهارد ديسك ممتلئاً).
  • الـ Settings: لضبط إعدادات النظام (إضافة مستخدمين، ضبط الفهارس، إعدادات السيرفر).
  • الـ Activity: لمراقبة عمليات البحث الجارية حالياً (Jobs).
  • الـ Help: للوصول للوثائق التعليمية.
  • الـ Find: للبحث عن أي شيء داخل التطبيق.

📱 2. لوحة التطبيقات (Apps Panel)

هنا تجد جميع التطبيقات المثبتة على نسختك من Splunk.

☝️ التطبيق الأساسي:

التطبيق الذي ستستخدمه 99% من الوقت هو Search & Reporting. هو التطبيق الافتراضي للبحث في السجلات وإنشاء التقارير.

💡 معلومة سريعة: يمكنك التبديل بين التطبيقات أيضاً من القائمة المنسدلة الموجودة في أقصى اليسار بجانب شعار Splunk.

🧭 3. استكشاف Splunk (Explore Splunk)

هذا القسم يحتوي على روابط سريعة للمهام الأساسية.

☝️ أهم الروابط:

  • الـ Add Data: لإضافة سجلات جديدة للنظام (سنستخدمها قريباً!).
  • الـ Splunk Apps: لتثبيت تطبيقات إضافية (Add-ons) لزيادة قدرات Splunk.
  • الـ Splunk Docs: الدليل الرسمي للمساعدة.

📊 4. لوحة المعلومات الرئيسية (Home Dashboard)

في الأسفل، يمكنك تخصيص "لوحة تحكم" (Dashboard) تظهر لك بمجرد الدخول.

  • افتراضياً: تكون فارغة.
  • وظيفتها: يمكنك اختيار لوحة تحكم جاهزة أو إنشاء واحدة خاصة بك تعرض أهم الإحصائيات التي تهمك.

Task 5: Adding Data (إضافة البيانات)

📂 1. ماذا يمكن لـ Splunk أن يقرأ؟

ال Splunk يمكنه استيعاب أي نوع من البيانات تقريباً!

بمجرد إضافة البيانات، يقوم بمعالجتها وتحويلها إلى سلسلة من الأحداث (Events).

الجدول التالي يوضح أنواع المصادر التي يقبلها:

☝️ شرح الجدول:

  • الـ Files and directories: ملفات السجلات المباشرة (مثل ملفات اللينكس).
  • الـ Network events: بيانات الشبكة عبر المنافذ (UDP/TCP).
  • الـ Cloud services: بيانات من AWS وغيرها.
  • الـ Security services: بيانات من مكافحات الفيروسات والجدران النارية.

🛠️ 2. طريقة الإدخال (Upload Method)

في هذا التمرين، سنركز على سجلات VPN Logs.

عندما نضغط على Add Data في الصفحة الرئيسية، ستظهر لنا خيارات الإدخال:

☝️ شرح الخيارات:

سنختار الخيار الأول Upload (رفع ملف من جهازي)، لأنه الأسهل للتعامل مع ملفات السجلات المحفوظة محلياً (Offline data).

📝 3. الخطوات الخمس للرفع (The 5 Steps)

لإدخال البيانات بنجاح، يجب أن تمر بـ 5 مراحل متتالية:

  1. Select Source (اختر الملف):
    • قم برفع ملف VPN_logs (موجود في مسار /root/Rooms/SplunkBasic/ إذا كنت تستخدم AttackBox).
  2. Select Source Type (نوع المصدر):
    • هنا تخبر Splunk "ما هي لغة هذا الملف؟" (هل هو JSON؟ أم Syslog؟). هذا مهم لكي يعرف كيف يقرأه.
  3. Input Settings (إعدادات الإدخال):
    • الـ Index: أين سيتم تخزين البيانات؟ (اختر الفهرس المناسب).
    • الـ Hostname: ما اسم الجهاز الذي جاءت منه هذه السجلات؟.
  4. Review (المراجعة):
    • نظرة أخيرة للتأكد من أن كل الإعدادات صحيحة.
  5. Done (تم):
    • اضغط Start Searching! الآن البيانات أصبحت داخل Splunk وجاهزة للتحليل.

أخر المواضيع من قسم : SOC L1