Erstellung von Korrelationsereignissen in Splunk mithilfe von Alerts

Viele SIEM-Nutzer stellen eine Frage: Wie unterscheiden sich die SIEM-Tools von Splunk und HPE ArcSight?
ArcSight-Nutzer sind zuversichtlich, dass Korrelationsereignisse in ArcSight ein gewichtiges Argument für die Nutzung dieses SIEM sind, da Splunk diese Ereignisse nicht hat. Lassen Sie uns diesen Mythos zerstören.
Splunk hat viele Möglichkeiten, Ereignisse zu korrelieren. In diesem Artikel werden wir daher eine Korrelationsmethode betrachten, die den Korrelationsereignissen in ArcSight ähnelt.
Zuerst werde ich kurz das Funktionsprinzip beschreiben; dann werden wir ein konkretes Beispiel basierend auf Ereignissen untersuchen.

Ereignisse, die zum Auslösen einer Regel führen, werden als korrelierte Ereignisse bezeichnet. Im Gegenzug wird das resultierende Ereignis mit allgemeinen Informationen zum Trigger als Korrelationsereignis bezeichnet. Somit werden korrelierte Ereignisse verwendet, um Korrelationsereignisse zu erstellen. Anschließend können Korrelationsereignisse auch mit anderen Ereignissen korreliert werden, um eine komplexere Logik aufzubauen.

Gut, versuchen wir Korrelationsereignisse in Splunk zu generieren. Erstellen Sie einen separaten Index für Korrelationsereignisse, zum Beispiel ‚apt-framework‘:Erstellen Sie eine Suchabfrage, die periodisch nach Hosts sucht, die Port-Scans im Netzwerk durchführen:index=* ( tag::eventtype=“communicate“ OR tag::eventtype=“network“) | bucket _time span=60 | eventstats dc(dest_port) AS PortsScanned by src_ip, _time | where PortsScanned> 50 | dedup src_ip, PortsScanned | eval rule=“Interner Port-Scan“ | eval stage=“Stufe 7 – Aufklärung“ | table src_ip, PortsScanned, _time, stage, rule, source, sourcetype

Tabelle der Ergebnisse:Erstellen Sie dann einen Alarm mit gespeicherter Suche, die alle 10 Minuten nach Hosts sucht, die Port-Scans durchführen:
Okay, nun müssen Sie die Parameter für die Erstellung von Korrelationsereignissen angeben. Tun Sie dies, indem Sie Aktion hinzufügen und „Ereignis protokollieren“ wählen:Sie müssen alle Felder angeben, die Sie in einem Korrelationsereignis aus dem Suchergebnis sehen möchten.
In unserem Fall:$result._time$, Source=$result.source$, Sourcetype=$result.sourcetype$, src_ip=$result.src_ip$, PortsScanned=$result.PortsScanned$, stage=“$result.stage$“, rule=“$result.rule$“Als Ergebnis erkennt die gespeicherte Suche alle 10 Minuten die Hosts, die Port-Scans durchführen, und Splunk generiert und speichert Korrelationsereignisse im ‚apt-framework‘-Index:Sie können diese Ereignisse problemlos in weiteren Anfragen verwenden. Die Nutzung eines separaten Indexes und von Korrelationsereignissen wird die Belastung der Splunk Such-Engine erheblich reduzieren. Viel Spaß beim Splunken!