728x90
여러 고객사에서 이상징후 시나리오를 설계하고 이를 기반으로 탐지시나리오를 정의하다 보면 다양한 환경을 만나게 된다.
Splunk 쿼리를 편하게 하기 위해 무료소프트웨어인 Notepad++ 을 사용하여 구문강조 파일 포함하여 고객사에 반입하여 사용하려는데 해당 소프트웨어가 사용이 불가능하여 고객사에서 UIltraEdit 라이센스를 주며 대신 활용하라고 제공해주었다.
결국 UltraEdit 용 Splunk 쿼리 구문 강조 파일을 찾아 인터넷을 뒤져 찾아서 내가 필요한 기능을 추가하여 만들었다.
<적용방법>
구버전의 UltraEdit 는 메뉴>고급>설정>편집기 표시 메뉴에서
단어목록(wordlist)의 파일경로 선택에서 wordfile.uew 파일을 열어
아래 첨부파일의 내용을 붙여넣으면 된다.
파일용량은 5k밖에 되지 않으며 확장자는 *.splunk 로 만들어야 적용된다.
다른 문서에 쿼리를 저장하면 DRM 적용이 되어 두번 다시 써먹을 수 없다.
물론 클립보드 암호화 DRM 제외된 곳은 제외
728x90
'[자료실] 빅데이터,SIEM,SOAR,AI' 카테고리의 다른 글
| [2022 SOAR 리포트] 사이버위협 고도화, 자동화 대응전략으로 ‘SO HOT’ (0) | 2022.10.19 |
|---|---|
| 인공지능 보안플랫폼 eyeCloudAI (0) | 2022.10.05 |
| SOAR 솔루션 eyeCloudXOAR (0) | 2022.10.05 |
| 통합보안관제 솔루션 eyeCloudSIM (0) | 2022.10.05 |
| [Splunk] UltraEdit 문자열 길이 체크 (0) | 2020.10.22 |
