Einfache VirusTotal-Integration mit Splunk-Dashboards

Einfache Integration hilft bei der Suche nach bösartigen Prozessen

Grüße an alle! Lassen Sie uns weiterhin Splunk in ein multifunktionales Tool verwandeln, das schnell jede Bedrohung erkennen kann. In meinem letzten Artikel habe ich beschrieben, wie man Korrelationsevents mit Alerts erstellt. Jetzt erzähle ich Ihnen, wie man eine einfache Integration mit der VirusTotal-Datenbank herstellt.

Viele von uns verwenden Sysmon in der Umgebung, um Netzwerkverbindungen, Prozesskreationen und Änderungen in der Zeit der Dateierstellung zu überwachen. Dieser Systemtreiber bietet Überwachung und Protokollierung von Systemaktivitäten im Ereignisprotokoll. Eine der gefragtesten Funktionen von Sysmon ist die Berechnung und Aufzeichnung von Hashes laufender Prozesse. So können wir diese Daten, Splunk und die VirusTotal-Datenbank nutzen, um bösartige Prozesse zu erkennen, die möglicherweise in Ihrer Umgebung laufen.

Also lassen Sie uns beginnen

1. Sammeln Sie Sysmon-Protokolle für Splunk.

Um das Sammeln von Sysmon-Protokollen von Windows-Systemen einzurichten, müssen wir das Add-on für Microsoft Sysmon auf Splunk installieren. Eine Beschreibung dieses Vorgangs finden Sie unter https://splunkbase.splunk.com/app/1914/.

2. An diesem Punkt haben wir das Add-on für Microsoft Sysmon bereits installiert und die Protokolle werden in unser Splunk gesammelt:

3. Also müssen wir nun eine Suche durchführen und eine Tabelle mit Prozessen erstellen, die auf unserem Testserver laufen.

Sysmon-Ereignis mit ID 1:

index=* source=“WinEventLog:Microsoft-Windows-Sysmon/Operational“ EventCode=1

Erstellung der Statistik-Tabelle:

index=* source=“WinEventLog:Microsoft-Windows-Sysmon/Operational“ EventCode=1 | stats count by Computer Hashes Image

4. Dann speichern wir diese Suche als Dashboard-Panel:

5. Nun müssen wir für das gespeicherte Panel ein Drilldown auf der VirusTotal-Seite erstellen, um den Hash aus der Tabelle zu überprüfen. Dazu öffnen wir das Panel „Edit Source“, fügen die Drilldown-Option und den Tag hinzu:

<option name=“drilldown“>cell</option>

<drilldown target=“Mein neues Fenster“>

<eval token=“hash“>$row.Hashes$</eval>

<link>https://www.virustotal.com/latest-scan/$hash$</link>

</drilldown>

6. Nach dem Speichern des Dashboards können wir auf die Hashes-Zelle klicken, um den Hash auf der VirusTotal-Seite mit diesem Drilldown zu überprüfen:

In diesem Artikel habe ich eine einfache Möglichkeit gezeigt, eine Integration mit Drilldown zu erstellen. Sie können diese Methode nutzen, um viele verschiedene und praktische Überprüfungen auf externen Webressourcen zu integrieren. Mit einem einzigen Klick erhalten Sie die benötigten Informationen. Sie können auch das Sysmon-Framework von SOC Prime für die Erkennung und tiefere Analyse bösartiger Aktivitäten verwenden. Mein nächster Artikel wird sich mit der Nutzung von Abhängigkeits-Panels befassen, ein Tool, das hilft, Dashboards informativer zu gestalten.