Einfache Korrelationsszenario für Splunk mit Verwendung von Lookup-Tabellen

Ereigniskorrelation spielt eine wichtige Rolle bei der Vorfallerkennung und ermöglicht es uns, uns auf die Ereignisse zu konzentrieren, die für die Geschäftsservices oder IT/Sicherheitsprozesse wirklich relevant sind.Die Splunk-Software unterstützt viele Wege zur Korrelation von Ereignissen, wie z. B.:
• Ereigniskorrelationen mithilfe von Zeit und geografischer Lage;
• Transaktionen;
• Unterabfragen;
• Feld-Lookups;
• Joins.
In diesem Artikel betrachten wir die Verwendung der Ereigniskorrelation auf Basis von Feld-Lookups und Joins. Meiner Meinung nach ist dies eine der leichteren Methoden zur Korrelation von Ereignissen im Gegensatz zur Verwendung von Unterabfragen oder Joins in einer einzigen Suchanfrage. In den meisten Fällen müssen wir ein Feld aus einem Ereignis mit dem entsprechenden Feld aus einem anderen Ereignis vergleichen, um Übereinstimmungen zu finden. Zum Beispiel versuchen wir, verdächtige Aktivitäten in unserem Netzwerk zu erkennen und herauszufinden, wer den Scan für TCP 445 in unserem Netzwerk durchführt und versucht, eine Verbindung zu C&C-Servern herzustellen.
Beginnen wir mit der Suche, die uns hilft, den Scan für TCP 445 in unserem Netzwerk zu erkennen.
Finden Sie alle Ereignisse mit Verbindungen zum 445-Port:Die Kriterien zur Erkennung des Scans sind: Ein Host scannt 30 Hosts in einer Minute, daher ist es mit den Funktionen bucket und eventstats nicht schwer, Ereignisse zu gruppieren und eine Anzahl über 30 zu finden:Als Ergebnis erkennen wir, dass der Host 10.10.10.3 einen Scan für 763 Hosts in einer Minute in unserem Netzwerk durchgeführt hat:Der Host sollte der Liste der verdächtigen Hosts hinzugefügt werden. Dafür müssen wir die Suche ausführen und die Ergebnisse in einer Lookup-Tabelle speichern:Ergebnis:Diese Suche erstellt automatisch das Lookup suspicious_hosts.csv mit den Feldern src_ip, HostsScanned,_time.
Jetzt müssen wir herausfinden, wer in unserem Netzwerk versucht hat, eine Verbindung zu Ransomware C&C herzustellen:Hinweis: Die im Artikel verwendeten IP-Adressen sind zum Zeitpunkt der Artikelverfassung nicht unbedingt Ransomware C&C.
Zusammenführung von Ergebnissen aus beiden Suchanfragen in einer:Ergebnis:Wir haben ein Korrelationsszenario verwendet, um einen infizierten Host in unserem Netzwerk zu erkennen. Für eine vollständige Automatisierung können Sie diese Anfragen in Alarme einfügen. Die Verwendung von Lookups erhöht die Effizienz erheblich, da es viel einfacher ist, Ereignisse mit einer statischen Tabelle zu vergleichen, als immer wieder eine Unterabfrage zu machen.

Vielen Dank für Ihre Aufmerksamkeit,
Alex Verbniak