Splunk SPL 查询
Splunk SPL 查询 是什么?
Splunk SPL 查询使用 Splunk 搜索处理语言(SPL)编写的查询,用于过滤、转换、关联和可视化机器数据,服务于检测、狩猎与报表。
Splunk SPL(Search Processing Language)是 Splunk Enterprise、Splunk Cloud 和 Splunk Enterprise Security 中基于管道的查询语言,用于检索摄入的日志。查询通常以一个搜索过滤器开始,再通过管道串联 stats、eval、rex、lookup、join、tstats、transaction、timechart 等命令。检测工程师用 SPL 表达关联规则,威胁狩猎人员用它进行临时调查,分析师在其基础上构建仪表盘与报告。熟练掌握 SPL,与 KQL(Microsoft Sentinel)、YARA-L(Google Chronicle)一起,是 SOC 与检测工程岗位最具竞争力的技能之一。规模化运行时还需关注加速数据模型、索引字段等性能因素。
● 示例
- 01
index=wineventlog EventCode=4625 | stats count by user, ComputerName | where count > 10
- 02
| tstats summariesonly=true count from datamodel=Authentication where Authentication.action=failure by Authentication.user
● 常见问题
Splunk SPL 查询 是什么?
使用 Splunk 搜索处理语言(SPL)编写的查询,用于过滤、转换、关联和可视化机器数据,服务于检测、狩猎与报表。 它属于网络安全的 防御与运营 分类。
Splunk SPL 查询 是什么意思?
使用 Splunk 搜索处理语言(SPL)编写的查询,用于过滤、转换、关联和可视化机器数据,服务于检测、狩猎与报表。
Splunk SPL 查询 是如何工作的?
Splunk SPL(Search Processing Language)是 Splunk Enterprise、Splunk Cloud 和 Splunk Enterprise Security 中基于管道的查询语言,用于检索摄入的日志。查询通常以一个搜索过滤器开始,再通过管道串联 stats、eval、rex、lookup、join、tstats、transaction、timechart 等命令。检测工程师用 SPL 表达关联规则,威胁狩猎人员用它进行临时调查,分析师在其基础上构建仪表盘与报告。熟练掌握 SPL,与 KQL(Microsoft Sentinel)、YARA-L(Google Chronicle)一起,是 SOC 与检测工程岗位最具竞争力的技能之一。规模化运行时还需关注加速数据模型、索引字段等性能因素。
如何防御 Splunk SPL 查询?
针对 Splunk SPL 查询 的防御通常结合技术控制与运营实践,详见上方完整定义。
Splunk SPL 查询 还有哪些其他名称?
常见的别称包括: SPL, Splunk 搜索语句。
● 相关术语
- defense-ops№ 1039
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
- defense-ops№ 1040
SIEM 规则调优
对 SIEM 中检测规则进行持续优化,以降低误报、消除盲区,并使其与组织的威胁模型保持一致。
- defense-ops№ 307
检测工程
以代码方式设计、测试、部署并维护安全检测的学科,可对对手技术实现可度量的覆盖率。
- defense-ops№ 1147
威胁狩猎
基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。
- defense-ops№ 1258
YARA 规则
采用 YARA 语言编写的文本签名,通过字节、字符串或行为模式对恶意软件样本和文件进行分类与检测。