#splunk #splunk-query #intrusion-detection #splunk-formula #splunk-calculation
#splunk #splunk-запрос #обнаружение вторжений #splunk-формула #splunk-вычисление
Вопрос:
У меня несколько сбоев при входе в систему, затем успех для администратора, и это то, что у меня есть, но, похоже, он не дает никаких результатов:
source=WinEventLog:Security EventCode=4625 OR EventCode=4624
| bin _time span=5m as minute
| eval username=mvindex(Account_Name, 1)
| stats count(Keywords) as Attempts,
count(eval(match(Keywords,"Audit Failure"))) as Failed,
count(eval(match(Keywords,"Audit Success"))) as Success by minute username
| where Failed>=2
| stats dc(username) as Total by minute
| where Total>3
Есть идеи о лучшем способе поиска неудачных попыток входа для пользователя, а затем успешного входа в систему?
Комментарии:
1. Вот тот же вопрос в / r/ Splunk: reddit.com/r/Splunk/comments/j55u18 /…
Ответ №1:
В приложении Splunk Security Essentials есть пример запроса на обнаружение попыток перебора.