Creación de Eventos de Correlación en Splunk usando Alertas

Muchos usuarios de SIEM hacen una pregunta: ¿En qué se diferencian las herramientas SIEM de Splunk y HPE ArcSight?
Los usuarios de ArcSight están seguros de que los eventos de correlación en ArcSight son un argumento de peso a favor del uso de este SIEM porque Splunk no tiene los mismos eventos. Vamos a desmontar este mito.
Splunk tiene muchas opciones para correlacionar eventos. Por tanto, en este artículo, consideraremos un método de correlación similar a los eventos de correlación de ArcSight.
Primero, describiré brevemente el principio de trabajo; luego estudiaremos un ejemplo específico basado en eventos.

Los eventos que llevan a la activación de una regla se llaman eventos correlacionados. A su vez, el evento resultante con información general sobre el disparador se llama evento de correlación. Así, los eventos correlacionados se utilizan para crear eventos de correlación. Posteriormente, los eventos de correlación también pueden correlacionarse con otros eventos para construir una lógica más compleja.

Bien, intentemos generar eventos de correlación en Splunk. Cree un índice separado para eventos de correlación, por ejemplo ‘apt-framework’:Cree una consulta de búsqueda que busque periódicamente hosts que realicen escaneos de puertos en la red:index=* ( tag::eventtype=»communicate» OR tag::eventtype=»network») | bucket _time span=60 | eventstats dc(dest_port) AS PortsScanned by src_ip, _time | where PortsScanned> 50 | dedup src_ip, PortsScanned | eval rule=»Escaneo Interno de Puertos» | eval stage=»Etapa 7 – Reconocimiento» | table src_ip, PortsScanned, _time, stage, rule, source, sourcetype

Tabla de resultados:Luego cree una Alerta con Búsqueda Guardada que buscará cada 10 minutos en los últimos 10 minutos hosts que realicen escaneo de puertos:
Bien, ahora necesita especificar los parámetros para la creación de eventos de correlación. Para hacer esto, agregue acción y elija Registrar Evento:Necesita especificar todos los campos que desea ver en un evento de correlación a partir del resultado de búsqueda.
En nuestro caso:$result._time$, Source=$result.source$, Sourcetype=$result.sourcetype$, src_ip=$result.src_ip$, PortsScanned=$result.PortsScanned$, stage=»$result.stage$», rule=»$result.rule$»Como resultado, cada 10 minutos, durante los últimos 10 minutos, la Búsqueda Guardada detecta hosts que realizan escaneo de puertos, y Splunk genera y guarda eventos de correlación en el índice ‘apt-framework’:Puede usar fácilmente estos eventos en solicitudes posteriores. El uso de un índice separado y eventos de correlación reducirá considerablemente la carga en el motor de búsqueda de Splunk. ¡Feliz uso de Splunk!