Cómo Hacer que la Detección en Splunk Funcione Más Rápido con el Resumen Completo de Uncoder AI

1. Filtrado de Índice y Fuente: La consulta comienza especificando index=* lo que significa que busca en todos los índices disponibles en el entorno Splunk. Luego reduce los resultados para incluir solo los registros de fuentes nombradas «WinEventLog:*», indicando que el enfoque está en los registros de eventos de Windows.
2. Condiciones de ScriptBlockText: El cuerpo principal de la consulta utiliza un operador AND con una serie de condiciones OR, todas relacionadas con ScriptBlockText. Esto implica que la búsqueda está buscando bloques de script de PowerShell (fragmentos de código) dentro de estos registros de eventos que coinciden con ciertos criterios. Específicamente, está buscando menciones de propiedades o filtros relacionados con la delegación de Kerberos.
• TrustedForDelegation: Esta condición busca instancias donde una cuenta de usuario o computadora ha sido configurada como confiable para delegación. En un entorno Kerberos, esta configuración permite que la cuenta emule usuarios y acceda a servicios en su nombre.
• TrustedToAuthForDelegation: Similar a la condición anterior pero específicamente relacionado con escenarios de delegación restringida donde una cuenta es confiable para autenticar con fines de delegación.
• msDS-AllowedToDelegateTo: Este atributo especifica los servicios a los cuales un usuario o computadora puede presentar credenciales delegadas. La consulta busca modificaciones o menciones de este atributo en bloques de script, indicando posibles cambios de configuración que podrían afectar las rutas de delegación.
• PrincipalsAllowedToDelegateToAccount: Esta condición apunta a configuraciones donde se permite explícitamente a ciertos principales (usuarios, computadoras, etc.) delegar sus credenciales a una cuenta particular, lo cual es otro aspecto de la delegación restringida.
• LDAPFilter con userAccountControl: La condición final busca filtros LDAP usados en bloques de script que apuntan específicamente a cuentas con el atributo userAccountControl establecido en 524288, lo que corresponde al marcador «TRUSTED_FOR_DELEGATION». Este marcador indica que una cuenta es confiable para delegación, y modificar o buscar esto podría ser parte del manejo o explotación de configuraciones de delegación de Kerberos.

En resumen, esta consulta de Splunk pretende detectar actividades potencialmente relacionadas con la seguridad o desconfiguraciones dentro de entornos de Windows relacionadas con la delegación de Kerberos. Busca indicadores en bloques de script de PowerShell capturados en los registros de eventos de Windows que podrían sugerir cambios en las configuraciones de delegación confiables, las cuales podrían ser utilizadas por atacantes para moverse lateralmente dentro de una red o por administradores para gestionar y auditar las configuraciones de delegación de su entorno.