آموزش تسلط بر Splunk: انطباق با CIM، مدل‌های داده و Tstats - آخرین آپدیت

سرفصل ها و درس ها

Introduction

• مقدمه Introduction

• اهداف دوره Course Objectives

• پیش نیازهای دوره Course Requirements

• برنامه‌ها و ایندکس‌های استفاده‌شده در این دوره Apps and Indexes Used During This Course

• نقشه راه دوره Course Roadmap

• انتظارات Expectation Setting

ماژول 1 - چرا باید اینونتوری (Inventory) داینامیک خود را در Splunk بسازید؟ Module 1 - Why Build Your Own Dynamic Inventory in Splunk?

• ماژول 1 - اهداف Module 1 - Objectives

• مشکل اینونتوری‌های استاتیک The Problem With Static Inventories

• استفاده از اینونتوری‌های داینامیک The Case for Dynamic Inventories

• ساخت اینونتوری: Zeek و فراتر از آن Building Your Inventory: Zeek and Beyond

• فراتر از اینونتوری: مزایای گسترده‌تر Beyond Inventory: The Broader Benefits

ماژول 2 بررسی لاگ‌های شما Module 2 Exploring Your Logs

• ماژول 2 مروری کلی Module 2 Overview

• ماژول 2 انواع لاگ‌های رایج Module 2 Common Log Types

• شناسایی فیلدهای کلیدی Identifying Key Fields

• استفاده از SPL برای یافتن فیلدهای کلیدی Using SPL to Find Key Fields

• مروری بر SPL SPL Overview

• مروری بر SPL: استفاده از فیلدها، جدول و آمار SPL Overview: Using Fields, Table, and Stats

• یادگیری یافتن داده‌ها به طور مؤثر با ابرداده (Metadata) Learning to Find Data Efficiently with Metadata

• دستورالعمل نصب Botsv3 Install Botsv3 Instructions

• نصب برنامه Stream Splunk برای داده‌های Botsv3 Install Stream Splunk App for Botsv3 Data

• سؤالات آزمایشگاه 1 Lab 1 Questions

• پاسخ‌های آزمایشگاه 1 Lab 1 Answers

ماژول 3 مدل اطلاعات رایج Module 3 Common Information Model

• ماژول 3 مروری کلی Module 3 Overview

• تعریف CIM CIM Defined

• توضیح موارد استفاده CIM CIM Use Case Explained

• توضیح Datamodelهای CIM CIM Datamodels Explained

• نگاشت داده‌های خام به فیلدهای منطبق با CIM Mapping Raw Data to CIM-Compliant Fields

• نحوه نصب برنامه CIM How to Install the CIM App

• مستندات Splunk در مورد مدل اطلاعات رایج Splunk Documentation on the Common Information Model

• نگاشت یک لاگ Zeek به ترافیک شبکه Mapping a Zeek Log to Network Traffic

• اعتبارسنجی نگاشت ترافیک شبکه Validating the Network Traffic Mapping

• سؤالات آزمایشگاه 2 Lab 2 Questions

• پاسخ‌های آزمایشگاه 2 Lab 2 Answers

ماژول 5 نگاشت اینونتوری به مدل‌های داده Splunk Module 5 Mapping Inventory to Splunk Data Models

• مروری بر ماژول 4 Module 4 Overview

• افزودن لاگ‌های Zeek Conn به ترافیک شبکه (فرآیند) Adding Zeek Conn Logs to Network Traffic (The Process)

• افزودن Zeek DNS, HTTP به Datamodelهای مربوطه (فرآیند) Adding Zeek DNS, HTTP to Respective Datamodels (The Process)

• افزودن Zeek SMTP به Datamodelهای مربوطه (فرآیند) Adding Zeek SMTP to Respective Datamodels (The Process)

• افزودن لاگ احراز هویت به Datamodel احراز هویت (فرآیند) Adding Authentication Log to Authentication Datamodel (The Process)

• افزودن لاگ‌های Host به Endpoint Datamodel (فرآیند) Adding Host Logs to Endpoint Datamodel (The Process)

• گسترش فراتر از اصول اولیه Expanding Beyond the Basics

• مزایای نگاشت لاگ‌ها به Datamodelها Advantages of Mapping Logs to Datamodels

• سؤالات آزمایشگاه 3 Lab 3 Questions

• پاسخ‌های آزمایشگاه 3 Lab 3 Answers

ماژول 5 استخراج و غنی‌سازی فیلد Module 5 Field Extraction and Enrichment

• مروری بر ماژول 5 Module 5 Overview

• روش‌های استخراج فیلد Methods for Field Extractions

• دموی عملی استخراج خودکار فیلد Hands On Demo of Automatic Field Extraction

• دموی عملی استخراج Regex Hands On Demo Regex Extraction

• عملکرد Splunk Field Extractor Hands On Splunk Field Extractor

• تنظیمات Props و Transforms عملی Hands on Props and Transforms Configurations

• روش‌های غنی‌سازی داده‌ها Data Enrichment Methods

• بررسی اجمالی Data Enrichment Lookups Hands On Data Enrichment Lookups

• Data Enrichment Calculated Fields عملی Hands On Data Enrichment Calculated Fields

• بررسی اجمالی Data Enrichment Tags Hands On Data Enrichment Tags

ماژول 6 عملی - نگاشت به Datamodelها Module 6 Hands On - Mapping to Datamodels

• مروری بر ماژول 6 Module 6 Overview

• ترافیک شبکه - نام مستعار زدن فیلدها Network Traffic - Aliasing the Fields

• ترافیک شبکه - اعتبارسنجی فیلدها Network Traffic - Validating The Fields

• ترافیک شبکه - فیلدهای محاسبه‌شده Network Traffic - Calculated Fields

• رزولوشن شبکه DNS - نام مستعار زدن فیلدها Network Resolution DNS Aliasing the Fields

• رزولوشن شبکه - عیب‌یابی زمانی که همه چیز نامستعار نمی‌شود Network Resolution - Troubleshooting When Things Just Don't Alias

• سؤالات آزمایشگاه 4 Lab 4 Questions

• پاسخ‌های آزمایشگاه 4 Lab 4 Answers

ماژول 7 اعتبارسنجی CIM Module 7 Validating CIM

• مروری بر ماژول 7 Module 7 Overview

• دانلود و استفاده از برنامه CIM Vladiator Downloading and Using the CIM Vladiator App

• رفع مشکلات شناسایی شده توسط برنامه Vladiator Resolving Issues Detected by Vladiator App

• سؤالات آزمایشگاه 5 Lab 5 Questions

• پاسخ‌های آزمایشگاه 5 Lab 5 Answers

ماژول 8 Datamodelها، Datamodelها و Datamodelهای بیشتر Module 8 Datamodels, Datamodels, and more Datamodels

• مروری بر ماژول 8 Module 8 Overview

• روابط والد/فرزند Datamodel Datamodel Parent / Child Relationships

• روابط والد/فرزند Datamodel عملی Hands On Datamodel Parent / Child Relationships

• شتاب Datamodel Datamodel Acceleration

• شتاب Datamodel عملی Hands On Datamodel Acceleration

• دستور SPL Datamodel، بخش 1 SPL Datamodel Command Part 1

• دستور SPL Datamodel عملی، بخش 1 Hands On SPL Datamodel Command Part 1

• دستور SPL Datamodel، بخش 2 SPL Datamodel Command Part 2

• اعتبارسنجی اینکه داده‌ها شتاب داده شده‌اند Validating that Data has been Accelerated

ماژول 9: ایجاد اینونتوری Module 9: Inventory Creation

• مروری بر ماژول 9 Module 9 Overview

• اوه - اعلامیه مسائل مربوط به زمان Oops - Time Issues Announcement

• ایجاد اینونتوری - فرآیند Inventory Creation - The Process

• دموی عملی مجموعه داده جدید شما Hands On Demo of Your New Dataset

• تنظیم دستی مجموعه داده جدید شما Manually Setting Up Your New Dataset

• اسکریپت‌نویسی مجموعه داده جدید شما Scripting Your New Dataset

• تولید تمام IPهای منحصربه‌فرد Generating All the Unique IPs

• حذف آدرس‌های IP غیر RFC 1918 Excluding non-RFC 1918 IP Addresses

• نهایی کردن جستجوی اینونتوری IP Finalizing the IP Inventory Lookup

• نقش‌های Meta تعریف شده برای اینونتوری Meta Roles Defined for Inventory

• غنی‌سازی اینونتوری IP با ابرداده Enriching IP Inventory With Metadata

• افزودن اینونتوری استاتیک و ارائه شده توسط تحلیلگر Adding Static and Analyst Provided Inventory

• نرمال‌سازی داده‌ها با بله و خیر Normalizing Data with Yes and No

• ایجاد دسته‌بندی داده‌ها برای امنیت سازمانی و سایر هشدارهای ریسک Creating Categories of Data for Enterprise Security and Other Risk Alerting

• نهایی کردن اینونتوری ابرداده Finalizing Metadata Inventory

• ساخت اینونتوری خود با استفاده از یک رویکرد ماژولار Build Your Inventory Using a Modular Approach

• سؤالات آزمایشگاه 6 Lab 6 Questions

• پاسخ‌های آزمایشگاه 6 Lab 6 Answers

ماژول 10: استفاده از دستور Datamodel برای ساخت اینونتوری Module 10: Using Datamodel Command to Build Inventory

• مروری بر ماژول 10 Module 10: Overview

• نگاشت لاگ‌های جدید Corelight به Network Traffic Datamodel Mapping New Corelight Logs to Network Traffic Datamodel

• نگاشت لاگ‌های جدید Corelight به DNS و Web Datamodel Mapping New Corelight Logs to DNS and Web Datamodel

• شتاب داده‌های جدید Datamodel Accelerating New Datamodel Data

• اصلاح کوئری اینونتوری IP با اطلاعات Datamodel Modifying Our IP Inventory Query With Datamodel Info

• اصلاح اینونتوری Meta با اطلاعات Datamodel Modifying Meta Inventory With Datamodel Info

• سؤالات آزمایشگاه 7 Lab 7 Questions

• پاسخ‌های آزمایشگاه 7 Lab 7 Answers

ماژول 11: توضیح دستور Tstats Module 11: Tstats Command Explained

• مروری بر ماژول 11 Module 11: Overview

• نحو Tstats Tstats Syntax

• مثال‌های Tstats Tstats Examples

• Tstats دیدگاهی دیگر Tstats Another Perspective

• مزایای عملکرد Tstats Tstats Performance Benefits

• کوئری‌های Tstats عملی Hands On Tstats Queries

• استفاده از Pivot Datamodel برای کمک به شما در نوشتن یک کوئری Tstats Using Datamodel Pivot to Help You Write a Tstats Query

• استفاده از کوئری‌های Tstats برای ساخت اینونتوری IP Using Tstats Queries to Build IP Inventory

• استفاده از کوئری‌های Tstats برای ساخت اینونتوری ابرداده Using Tstats Queries to Build Metadata Inventory

• مقایسه سرعت Tstats با دستورات SPL و Datamodel استاندارد Tstats Speed Comparison to Standard SPL and Datamodel Commands

• سؤالات آزمایشگاه 8 Lab 8 Questions

• پاسخ‌های آزمایشگاه 8 Lab 8 Answers

ماژول 12: گام بعدی چیست Module 12: What's Next

• زمانبندی جستجوهای اینونتوری Scheduling Inventory Searches

• گام بعدی چیست؟ What is Next?