用于Splunk的DNSDB应用程序用户指南
概述
Farsight(现在是香格里拉娱乐的一部分)用于Splunk App的DNSDB为各种规模的组织提供了广泛的分析和调查能力。Farsight DNSDB for Splunk应用程序的主要目的是将DNSDB中的上下文信息和态势感知添加到Splunk中管理的组织内部事件数据中。
DNSDB是关于IP、域和互联网基础设施如何互连和发展的被动DNS数据的最全面的数据库。通过用实时InternetDNS信息增强组织的内部日志数据,安全团队将能够更好地分析威胁和对手的基础设施和能力。这将使他们能够识别、检测、关联情报并对其采取行动。
只需在Splunk中点击一下即可。只需单击一下,用户就可以了解与可疑域名或可疑IP地址相关的历史记录和基础设施,并通过这样做获得对其事件数据的关键洞察。用户还可以将此功能添加到其现有的工作流中,以自动预填充其任何主机访问的所有IP和域名的上下文信息。
凭借其全球传感器阵列,远视安全每秒接收超过20万次观测,这些观测揭示了全球DNS的大多数重大变化。Splunk用户的Farsight DNSDB应用程序在首次观察到这些实时更改的那一分钟就可以获得这些更改。自2010年以来,DNSDB收集了超过130亿个域名和主机名,所有这些域名和主机名将被索引以便于搜索。DNSDB使威胁情报团队、安全分析师和事件响应者能够搜索域内的特定主机或子域,并立即了解基域下的从属名称。
关于Farsight Dnsdb For Splunk
- 作者:Farsight Security,股份有限公司。
- 应用程序版本: 1.1.0
- 供应商产品:远视安全DNSDB
- 具有索引时间操作错误的
- 创建索引错误的
- 实施总结错误的
Farsight DNSDB for Splunk允许Splunk®Enterprise用户从附带的仪表板以及通过搜索命令运行DNSDB查询。
脚本和二进制文件
- dnsdb_query.py:用于执行DNSDB查询的通用python模块。
- dnsdb命令.py:Splunk自定义命令,用于对主机名/IP地址执行DNSDB查询。
- dnsdb_ratelimit.py:检索查询限制信息的Splunk自定义命令。
- dnsdb-lookup.py:用于根据DNSDB查询一组目标的外部查找。
- 注:请参阅标题为 dnsdb查找 在使用这个之前。
- dnsdb-validateip.py:仪表板用于验证IP地址的内部脚本。
- dnsdb_flushcache.py:每日计划搜索使用的内部脚本,用于从KV存储中删除过时的响应。
发行说明
关于此次发布
Farsight DNSDB for Splunk的1.1.0版本与以下版本兼容:SplunkEnterprise版本:7.0、6.6、6.5、6.4、6.3、6.2
- CIM:无
- 平台:平台无关
- 供应商产品:远视安全DNSDB
- 查找文件更改:无
特征
1.1.0版本是用于Splunk的Farsight DNSDB的最新版本。它包括以下功能:
- 支持各种查询DNSDB API的方法:
- 外部查找
- 自定义命令
- 仪表板
- 针对DNSDB查询任何字段的工作流操作
- API键接近其每日查询配额时的可配置警报。
第三方软件归因
Farsight DNSDB for Splunk的1.1.0版本包含以下第三方软件或库。
Dnsdb查找注意事项
完成每个DNSDB查找都需要时间。传递给它的每个事件都会向DNSDB生成一个查询。搜索数千个事件可能需要一点时间才能完成。
Farsight DNSDB API访问的上限为每天约定的查询数。 传递给DNSDB查找的每个事件都将被视为对用户每日配额的查询。 使用查找功能时请注意这一点,以免意外耗尽您的每日查询限制。(如果这种情况经常发生,可以更改查询限制以满足您的威胁情报团队的需求)。
入门指南
安装前检查表
在为Splunk安装Farsight DNSDB应用程序之前,请确保:
- 您的搜索头可以通过HTTPS(TCP端口443)访问api.dnsdb.info。如果您是Farsight DNSDB Export客户,那么您的搜索主管需要访问您的本地dnstli服务器。
- 您在Splunk中具有管理权限(香格里拉娱乐的应用程序需要特定权限)。
软件要求
Farsight DNSDB for Splunk可以在Windows、OS X或Linux上运行。
Farsight DNSDB for Splunk应用程序没有特定的额外硬件要求。
Splunk企业系统要求
由于此插件在Splunk Enterprise上运行,因此所有SplunkEnterprise系统要求都适用。
为Splunk安装Farsight Dnsdb应用程序
通过浏览以下内容在Splunk中安装应用程序 应用程序>管理应用程序>在线查找更多应用程序,
并搜索远视DNSDB。
或者,从以下网址下载该软件包 Splunkbase 在: https://splunkbase.splunk.com/app/3050 然后将其上传到您的搜索头。
按照屏幕上的安装步骤进行操作,然后重新启动Splunk。
要在支持的平台上安装和配置此应用程序,请执行以下步骤:
- 从位于以下位置的Splunkbase下载应用程序: https://splunkbase.splunk.com/app/3050
- 将app.tar.gz放在搜索头上的某个位置
- 使用splunk命令安装:splunk安装APP/PATH/TO/APP。焦油。GZ
- 设置Farsight Security,股份有限公司提供的DNSDB API密钥。这可以通过单击管理应用程序页面上的设置在Splunkweb中完成,也可以通过编辑DNSDB.conf通过命令行完成。
以下是详细的分步说明,用于初步设置Splunk应用程序的Farsight DNSDB。
以管理员用户身份登录到您的Splunk Enterprise实例。
从输入屏幕中,选择Apps旁边的齿轮图标。
单击[从文件安装应用程序]按钮。
点击[选择文件]按钮,选择远视科技提供的SPL文件。点击[上传]
安装Farsight DNSDB应用程序需要重新启动Splunk。如果您想现在重新启动,请单击[重新启动Splunk]。
重启完成后,再次以管理员用户身份登录。
单击[立即设置]配置远视DNSDB应用程序。
输入您的Farsight API密钥。
- 若要查询试用版API密钥,请联系 香格里拉娱乐销售团队.
- 如果您已获得DNSDB-Export许可,请将API URI更改为导出服务器上使用的URI。
单击Splunk>徽标返回主屏幕。要访问该应用程序,请单击[Farsight DNSDB for Splunk]。
您现在可以使用Farsight DNSDB for Splunk应用程序了。
为Splunk启用Farsight Dnsdb应用程序中的自动查找
要为Splunkinstance中的所有域和IP地址提供上下文,您可以启用自动查找,以确保您可能需要的信息立即准备就绪。
请注意,这将导致大量DNSDB查询发生。
启用自动查找的说明:
以管理员用户身份登录到您的Splunk Enterprise实例。
从顶部菜单栏中选择设置,然后在知识部分选择“查找”
找到“自动查找”,单击“添加新”
设置以下字段(详细视图请参见随附的屏幕截图):
- 目的地应用程序:对于这个例子,香格里拉娱乐将选择搜索,你
可能希望选择不同的东西。 - 名称:香格里拉娱乐将把香格里拉娱乐的查找称为“ClientIP DNSDB查找”
- 查找表:dnsdb
- 应用于:sourcetype->access_combined。这个例子将使用
组合格式的博客。选择适合您的
应用程序。 - 字段:DNSDB查找功能有2个字段DNSDB_host和
dnsdb_ip。一个用作输入,另一个将自动
输出。 - 查找输入字段:
–dnsdb_host–当您要操作的字段是主机名时
–dnsdb_ip–当您要操作的字段是ip时。- 在左侧输入框中输入相应的查找字段。在the
在右侧输入框中输入要输入的字段名称
在您的活动中查找。在香格里拉娱乐的例子中,它是“clientip”。
- 在左侧输入框中输入相应的查找字段。在the
- 查找输出字段:如果输入是dnsdb_ip,则输出
查找将被称为dnsdb_host,将其放在左侧框中。
香格里拉娱乐希望输出在输出中显示为clientip_hostname
因此,它位于右侧区域。 - 单击[保存]
它应该看起来像这样:
返回主页并打开搜索。
搜索“。”
用户指南
使用方法
配置后,使用此应用程序的最简单方法是通过内置的DNSDB仪表板。选择一个时间范围,在目标字段中键入IP地址或主机名,然后按enter键。
Farsight DNSDB for Splunk还附带了两个命令和一个查找,以便您可以将DNSDB查询合并到自己的搜索和黑板中。下面是这三种工具的使用文档。
dnsdb 指挥部
在给定的目标上运行DNSDB查询。若目标是IP地址,则查询是RDATA。否则,查询为RRSET。可选地提供“before”和“after”字段,以限制查询的时间范围。
- 语法
dnsdb目标=**ip/主机名**类型=**rdata/rrset**[rrtype=**A/MX/CCNAME等][最早=**时间**][最新=**最新**]
- 示例
dnsdb目标=203.0.113.0/24类型=“rdata”dnsdb对象=“example.com”最新版本=1446000216dnsdblimit 指挥部
返回DNSDB API每天的查询限制、今天剩余的查询数以及下次重置查询限制的时间。
- 语法
dnsdblimit- 例子
dnsdblimitdnsdb查找
对一组目标运行dnsdb命令。
- 语法
查找dnsdb[字段]- 领域
dnsdb_host,dnsdb_ip- 例子
查找dnsdb dnsdb_ip AS密码输出dnsdb_host故障排除
*问题:应用程序返回错误“授权失败。请检查API密钥”。
原因:API密钥丢失或不正确。
决心 检查您的API密钥输入是否正确。
*问题:应用程序返回错误“已达到查询限制”。
原因:您已达到查询限制。
决心 等到你的限额重置(可能是在每天午夜),再进行更多查询。
支持和资源
如果您需要DNSDB Splunk集成方面的帮助,请 联系香格里拉娱乐.
f
