草庐IT

金额超2000万,思科收购网安巨头Splunk

9月21日,思科宣布将收购网络安全公司Splunk,这笔交易价值约280亿美元(2047亿元人民币),收购价格为每股157美元。这将成为思科有史以来最大的一笔收购交易,也是其对软件和人工智能(AI)驱动的数据分析的巨大推动举措。截至美股周三收盘,Splunk收报每股119.59美元,这意味着交易溢价了超31%。思科董事长兼首席执行官查克·罗宾斯(ChuckRobbins)表示,思科将以现金和债务相结合的方式为这笔交易筹资。Splunk是一家网络安全公司,帮助企业监控和分析数据,以最大限度地降低被黑客攻击的风险,并更快速地解决技术问题。思科表示,交易完成后,Splunk总裁兼首席执行官GaryS

安全运维 -- splunk 集群配置归档

0x00背景splunk集群索引服务器容量满了以后,为了防止数据丢失,需要对旧数据进行归档保存。0x01 原理指定一台大容量服务器,创建共享文件夹,并将集群里的所有indexer指向这个归档共享目录。0x02 实施集群的每个indexer都有一个用户用于启动splunk服务,一般命名为splunk,uid一般是固定的,例如1000。需要在归档服务器新建一个用户:groupaddsplunkArchived-g1000useraddsplunkArchived-u1000-g1000-s/sbin/nologin-d/dev/nullsmbpasswd-asplunkArchivedpassXX

安全运营 -- splunk api接口调用

0x00背景有些重复性的查询,人工查询耗时,于是想到用脚本自动化填充查询参数,并且通过python调用splunkapi。0x01 官方文档BasicconceptsabouttheSplunkplatformRESTAPI-SplunkDocumentation0x02 代码实现importtimeimportrequestsimportreimportjsondefget(param):url='https://10.10.10.100:8089/services/search/jobs'requests.packages.urllib3.disable_warnings()headers

Splunk UBA audit log 发送到 Splunk ES

由于SplunkUBAauditlog里面记录这个每个用户的登入情况,上面有具体的登入时间,还有操作命令等,所以这个日志对用户行为分析,还是不错的,例如,要是有哪个分析员删除了一个threat,就可以跟踪,下面说说怎么吧UBAauditlog送到SplunkES:PerformthefollowingtaskstosendauditeventstotheSplunkplatformtobeaddedtothe_auditindex.   1:Addorsettheuba.sys.audit.push.splunk.enabledpropertyinSplunkUBA.   2:Setupase

Splunk Enterprise 存在任意代码执行漏洞

漏洞描述Splunk是一款机器数据的引擎,可用于收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据。Splunk受影响版本存在任意代码执行漏洞,经过身份验证的攻击者可利用此漏洞通过创建包含恶意代码的SimpleXML仪表板(dashboard),进而在操作仪表板生成PDF时远程执行恶意代码。该漏洞已存在POC。漏洞名称SplunkEnterprise存在任意代码执行漏洞漏洞类型代码注入发现时间2022/12/22漏洞影响广度一般MPS编号MPS-2022-60685CVE编号CVE-2022-43571CNVD编号-影响范围SplunkEnterprise@[8.1.0,8.

Splunk 成功获取 MS Azure AD 数据

1:背景:最近客户的AzureAD的数据在splunk数据获取失败,我来troubleshooting发现是splunk和AzureAD直接的连接出了问题,正好来回顾一下这个case:通过Splunk的日志查找:index=_internal,host=ABC,failed,就可以看到取AzureAD 的密码报错。2:解决问题:2.1:先到Splunk上获取这个Azure的途径:安装MsAzureAdd-onforsplunk这个add-on可以在heavyforwarder上安装:注意:增加account的时候,有:ClientID/ClientSecret.再回到MSazure的界面:进入

hadoop - 通过 Hadoop 连接 Elasticsearch 和 Splunk

我目前正在与一家在elasticsearch中拥有日志数据的公司进行试验。(他们目前使用整个ELK堆栈)。Splunk有一个名为Hunk的插件,可让您从Splunk的界面查询HDFS/Hadoop数据。我已经能够使它正常工作。我的问题是,有没有办法使用es-hadoop以某种方式将两者“桥接”在一起?当Hunk查询我的hdfs时,它最终也会拉入Elasticsearch数据?(他们公司想看看在不复制数据的情况下使用Splunk是否可行)谢谢。 最佳答案 Splunk在2016年弃用了HUNK,并发布了HadoopConnect。现在
12