Assignment Chef icon Assignment Chef
All German tutorials

Programming lesson

Splunk BOTS v3: Log-Analyse für Incident Response – Ein Leitfaden für Cs6261

Lerne, wie du mit Splunk und dem Boss of the SOC v3-Exercise (BOTS v3) Log-Analyse betreibst, um Incident-Response-Fähigkeiten aufzubauen. Schritt-für-Schritt-Anleitung für das Cs6261-Projekt.

Splunk BOTS v3 Cs6261 Projekt Log-Analyse Incident Response Splunk Suchbefehle Boss of the SOC Splunk Tutorial Deutsch Sicherheitslogs analysieren Splunk für Studenten Cyber Security Übung Splunk SPL Log-Quellen verstehen Windows Event Log Analyse Splunk Labs BOTS v3 Walkthrough Splunk CTF

Einführung: Warum Splunk und BOTS v3?

Im Rahmen des Cs6261-Projekts arbeitest du mit dem Splunk Boss of the SOC (BOTS) v3-Exercise. Dieses praxisnahe Szenario simuliert echte Sicherheitsvorfälle und hilft dir, Log-Analyse-Kompetenzen für die Incident Response aufzubauen. In der heutigen Zeit, in der Cyberangriffe wie Ransomware oder Phishing-Kampagnen allgegenwärtig sind, ist die Fähigkeit, Logs schnell zu durchsuchen und Anomalien zu erkennen, unverzichtbar. Stell dir vor, du analysierst Logs wie ein Digital Forensiker bei einem aktuellen Vorfall – ähnlich wie Ermittler nach einem Datenleck in einer großen Social-Media-Plattform. Splunk ist das Werkzeug der Wahl, und dieses Tutorial zeigt dir, wie du die wichtigsten Suchbefehle und Strategien anwendest.

Vorbereitung: Zugang und erste Schritte

Bevor du loslegst, stelle sicher, dass du über das Georgia Tech VPN verbunden bist. Der Zugang erfolgt über https://splunk.class.security.gatech.edu/en-US/app/SA-ctf_scoreboard/welcome. Nach dem Login findest du oben die Navigation mit den Punkten „Questions“ und „Search“. Klicke auf „Search“, um zur Splunk-Suche zu gelangen. Wichtig: Stelle den Zeitraum auf „All time“ um – standardmäßig ist nur „Last 24 hours“ eingestellt. Gib in die Suchleiste ein: index=botsv3. Damit grenzt du die Suche auf den relevanten Index ein. Ein erster Überblick: index=botsv3 | stats count by sourcetype zeigt dir alle verfügbaren Log-Quellen (z.B. Windows Event Log, Syslog, Apache Access Log).

Die richtige Suchstrategie

Die BOTS v3-Fragen verlangen oft detaillierte Informationen wie IP-Adressen, Benutzernamen, Zeitstempel oder spezifische Ereignis-IDs. Ein typischer Ansatz: Beginne mit einer breiten Suche und grenze sie dann schrittweise ein. Beispiel: index=botsv3 sourcetype=WinEventLog:Security. Nutze | table _time, EventCode, Account_Name, Source_Network_Address, um die Daten übersichtlich darzustellen. Vergiss nicht, die Ergebnisse zu sortieren (| sort _time). Viele Fragen beziehen sich auf Indicators of Compromise (IoCs) – halte Ausschau nach ungewöhnlichen Verbindungen, Brute-Force-Versuchen oder Malware-Signaturen.

Häufige Log-Quellen und ihre Bedeutung

Im BOTS v3-Index findest du verschiedene Sourcetypes. Hier eine Übersicht der wichtigsten:

  • WinEventLog:Security – Windows-Anmeldeereignisse (z.B. Event ID 4624 für erfolgreiche Anmeldung, 4625 für fehlgeschlagene).
  • WinEventLog:System – Systemereignisse wie Dienststart/-stopp.
  • iis – IIS-Webserver-Logs (HTTP-Anfragen).
  • syslog – Linux/Unix-System-Logs.
  • apache_access – Apache-Zugriffslogs.

Ein Trend-Beispiel: Stell dir vor, du untersuchst einen Ransomware-Vorfall, wie er 2025 vermehrt in Krankenhäusern aufgetreten ist. In den Logs würdest du nach massenhaften Dateioperationen oder ungewöhnlichen Prozessstarts suchen. Splunk hilft dir, diese Muster zu erkennen.

Praktische Suchbeispiele für häufige Fragestellungen

1. Welche IP-Adressen greifen auf einen bestimmten Dienst zu?

Angenommen, die Frage lautet: „Wie viele eindeutige IPs haben auf den IIS-Webserver zugegriffen?“ Deine Suche: index=botsv3 sourcetype=iis | stats dc(clientip). Mit dc (distinct count) erhältst du die Anzahl. Um die IPs selbst zu sehen: | top clientip.

2. Wurde ein bestimmter Benutzer kompromittiert?

Suche nach fehlgeschlagenen Anmeldungen: index=botsv3 sourcetype=WinEventLog:Security EventCode=4625 | stats count by Account_Name. Ein hohes Count deutet auf Brute-Force hin. Kombiniere mit erfolgreichen Anmeldungen: EventCode=4624 – finde heraus, ob nach vielen Fehlversuchen eine erfolgreiche Anmeldung stattfand.

3. Welche Prozesse wurden auf einem System gestartet?

Verwende index=botsv3 sourcetype=WinEventLog:Security EventCode=4688 (Prozesserstellung). Suche nach schädlichen Prozessnamen wie powershell.exe -enc ... – ein häufiges Indiz für Living-off-the-Land-Angriffe.

Fortgeschrittene Techniken: SPL und Subsearches

Nutze Subsearches, um Ergebnisse dynamisch zu verknüpfen. Beispiel: Finde alle IPs, die auf einen bestimmten Port zugreifen, und prüfe dann, ob diese IPs auch Anmeldeversuche hatten. Syntax: [search index=botsv3 sourcetype=iis | stats count by clientip | fields clientip]. Eine weitere nützliche Funktion ist eval zur Berechnung von Feldern, z.B. | eval status_code=if(status=200, "OK", "Fehler"). Für zeitbasierte Analysen: | timechart count by sourcetype – erkennt Spitzen in der Aktivität.

Häufige Fehler und wie du sie vermeidest

  • Zeitraum vergessen: Immer auf „All time“ stellen, sonst verpasst du relevante Daten.
  • Falscher Index: Nur index=botsv3 verwenden, andere Indizes enthalten keine relevanten Logs.
  • Übermäßige Nutzung von Hints: Die Punktzahl sinkt mit jedem Hint – versuche, selbst zu recherchieren. Nutze Google-Ressourcen zum originalen BOTS v3-Walkthrough, aber passe die Antworten an die modifizierten Fragen an.
  • Keine Felder extrahieren: Manchmal sind Felder nicht automatisch erkannt. Verwende | fieldsummary, um verfügbare Felder zu sehen, oder rex für Regex-Extraktion.

Verbindung zu aktuellen Trends: AI und Log-Analyse

Mit dem Aufkommen von KI-gestützter Sicherheitsanalyse (z.B. Splunks AI Assistant) wird Log-Analyse immer effizienter. Dennoch ist das Verständnis der Grundlagen essenziell – denn KI kann nur so gut sein wie die Daten, die sie bekommt. In der Praxis kombinieren Unternehmen Splunk mit Machine Learning, um Anomalien automatisch zu erkennen. Ein Beispiel: Ein Modell lernt normales Benutzerverhalten und alarmiert bei Abweichungen – ähnlich wie ein Smart-Home-System ungewöhnliche Bewegungen meldet. Für dein Projekt bedeutet das: Je genauer du die Logs verstehst, desto besser kannst du später automatisierte Systeme konfigurieren.

Zusammenfassung und nächste Schritte

Mit diesem Leitfaden hast du die Grundlagen für die Splunk BOTS v3-Exercise erlernt. Übe die Suchbefehle, experimentiere mit verschiedenen Sourcetypes und dokumentiere deine Ergebnisse. Denke daran: Die Punktzahl in Splunk ist nicht entscheidend, sondern die Anzahl korrekter Antworten. Nutze die Community (Ed Discussion) für Fragen, aber gib keine Lösungen preis. Viel Erfolg bei deinem Cs6261-Projekt!

Hinweis: Dieses Tutorial ersetzt nicht das offizielle Assignment. Es dient als Lernhilfe und soll dir helfen, die Log-Analyse-Konzepte zu verstehen.