Utilizzo dei pannelli dipendenti in Splunk per creare drilldown convenienti

Nel precedente articolo, abbiamo esaminato una semplice integrazione con risorse web esterne utilizzando i drilldowns. Se lo hai perso, segui il link: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/Oggi ci familiarizziamo con un’altra interessante variante di drilldowns in Splunk: l’uso dei pannelli ‘depends’.

Pannelli ‘depends’ in Splunk: un modo interessante di usare i drilldowns nei dashboard

Molto spesso c’è la necessità di ottenere informazioni più dettagliate su un evento nella tabella del dashboard, e dobbiamo fare un drilldown su un altro evento per ulteriori indagini.

Ad esempio, abbiamo una tabella con eventi che mostrano un possibile attacco brute force al nostro servizio.

La ricerca per quegli eventi è:

Nella tabella sul dashboard, vediamo che qualcuno ha provato ad autenticarsi da un host al server Splunk e l’autenticazione è stata fallita 11 volte. Sembra che qualcuno dall’host 10.10.30.30 abbia tentato di forzare le credenziali utente del nostro server Splunk.

Ok, vediamo le statistiche di rete per ulteriori indagini per quell’host. In questo caso, sarà conveniente utilizzare un drilldown da questa tabella a un’altra tabella tramite il token src – pannello ‘depends’, la tabella che apparirà a destra se clicchi sulla ricerca. Sul lato destro, vedremo tutte le connessioni da quell’host (questo è un esempio di pannello ‘depends’).

Quindi, abbiamo bisogno di creare un secondo pannello di tabella con informazioni sulle connessioni e salvarlo sul nostro dashboard:

index=* tag=network src_ip=10.10.30.30 | table _time src_ip dest_ip dest_port

Ora abbiamo due pannelli indipendenti con ricerche indipendenti sui nostri dashboard:

Il codice sorgente del dashboard è:

Facciamo in modo che la seconda tabella appaia cliccando sul campo src nella prima tabella, con la sostituzione del valore dalla prima tabella alla seconda tabella.

Dichiara un drilldown dal primo pannello con un token “src_ip_brute”:

   <drilldown>

      <set token=”src_ip_brute”>$row.src$</set>

   </drilldown>

Useremo il valore del token nella seconda tabella:

index=* tag=network src_ip=$src_ip_brute$ | table _time src_ip dest_ip dest_port

Quindi, ora dobbiamo aggiungere l’opzione ‘depends’ al tag del pannello. Il sorgente del dashboard sarà:

Di conseguenza, abbiamo un secondo pannello con la sostituzione del valore dal primo pannello, che viene visualizzato solo se si clicca sulla ricerca nel primo pannello:

In questo articolo, abbiamo studiato un’altra interessante caratteristica dei pannelli e la costruzione di dashboard, che ti permette di concentrarti sui dettagli dell’evento e ottenere ulteriori informazioni da altri eventi. Ho descritto un caso particolare di creazione di drilldown, e puoi utilizzare questo metodo per rendere tutti i tuoi dashboard e grafici più informativi per facilitare e accelerare l’indagine di ogni incidente.