Escenario de correlación simple para Splunk usando tablas de búsqueda

[post-views]
julio 25, 2017 · 2 min de lectura
Escenario de correlación simple para Splunk usando tablas de búsqueda

La correlación de eventos juega un papel importante en la detección de incidentes y nos permite centrarnos en los eventos que realmente importan a los servicios de negocio o procesos de TI/seguridad.El software Splunk admite muchas formas de correlacionar eventos, tales como:
• correlaciones de eventos utilizando el tiempo y la ubicación geográfica;
• transacciones;
• sub-búsquedas;
• búsquedas de campos;
• uniones.
En este artículo, consideraremos el uso de la correlación de eventos basada en búsquedas de campos y uniones. En mi opinión, esta es una de las formas más ligeras de correlacionar eventos a diferencia del uso de sub-búsquedas o uniones en una sola consulta de búsqueda. En la mayoría de los casos, necesitamos comparar un campo de un evento con el campo correspondiente de otro evento para buscar coincidencias. Por ejemplo, intentamos detectar actividad sospechosa en nuestra red y aprender quién realiza el escaneo para TCP 445 en nuestra red e intenta conectarse a servidores de C&C.
Comencemos con la búsqueda, que nos ayudará a detectar el escaneo para TCP 445 en nuestra red.
Encuentre todos los eventos con conexiones al puerto 445:El criterio para detectar el escaneo es: un host escanea 30 hosts en 1 minuto, por lo que usando bucket y eventstats no es difícil agrupar eventos y encontrar una cuenta mayor que 30:Como resultado, detectamos que el host 10.10.10.3 realizó un escaneo para 763 hosts por 1 minuto en nuestra red:El host debe ser añadido a la lista de hosts sospechosos. Para hacer esto, necesitamos ejecutar una búsqueda y colocar los resultados en una tabla de búsqueda:Resultado:Esta búsqueda crea automáticamente lookup suspicious_hosts.csv con los campos src_ip, HostsScanned,_time.
Ahora necesitamos averiguar quién en nuestra red intentó conectarse a Ransomware C&C:Nota. Las direcciones IP utilizadas en el artículo no son necesariamente Ransomware C&C en el momento de escribir el artículo.
Consolidación de resultados de ambas búsquedas en una:Resultado:Usamos un escenario de correlación para detectar un host infectado en nuestra red. Para una automatización completa, puedes poner estas solicitudes en Alertas. El uso de búsquedas aumenta significativamente la eficiencia porque es mucho más fácil comparar eventos con una tabla estática que hacer sub-búsquedas una y otra vez.

Gracias por tu atención,
Alex Verbniak

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Creación de Eventos de Correlación en Splunk usando Alertas
Blog, SIEM y EDR — 2 min de lectura
Creación de Eventos de Correlación en Splunk usando Alertas
Alex Verbniak
Correlación Histórica
Blog, SIEM y EDR — 3 min de lectura
Correlación Histórica
Ruslan Mihalev