Splunkを使用してNmapリモートホストから潜在的な攻撃者へのスキャンを実行する

この質問は、実際にはセキュリティに関するものではなく、むしろ意見に基づいています。したがって、これがフラグされるまで、私はこれを可能な限り簡単に達成する方法に答えます。

何のために！

• スクリプトを呼び出すようにSplunkアラートを設定（ ドキュメントはこちら ）
• スクリプト（上記）は、NmapのペイロードとしてPOSTへのリクエストとしてスキャンするために必要な情報を取り込むcURL経由のサーバー
• サーバーがjson-server（ ドキュメントはこちら ）のようなものを介してデータを受け入れる簡単なAPIを設定します
• サーバーでcronを構成してN秒ごとに実行し、db.json（json-serverデータストレージ）で新しいデータを確認し、見つかった場合はNmap scanを実行します
• Nmapスキャン結果をdb.json内に保存する可能性があるため、Splunkマシンは、別のスクリプトを使用して、それに応じてデータとアクションをクエリできます。

これは決して完璧なものではありませんが、少なくとも、達成しようとしているもののクイックプロトタイプを一緒にハッキングすることから始めるための初期のルートを提供できる可能性があります。理想的には、より堅牢でテスト済みのAPIをセットアップする必要がありますが、これも機能するPOCとして十分です。

This は、JWT認証でこのようなものをすばやく立ち上げるためのチュートリアルです。