Créer des événements de corrélation dans Splunk en utilisant des alertes

De nombreux utilisateurs de SIEM posent une question : Comment les outils SIEM de Splunk et HPE ArcSight diffèrent-ils ?
Les utilisateurs d’ArcSight sont convaincus que les événements de corrélation dans ArcSight sont un argument de poids en faveur de l’utilisation de ce SIEM, car Splunk n’a pas les mêmes événements. Détruisons ce mythe.
Splunk dispose de nombreuses options pour corréler les événements. Ainsi, dans cet article, nous examinerons une méthode de corrélation similaire aux événements de corrélation d’ArcSight.
Tout d’abord, je décrirai brièvement le principe de fonctionnement ; puis nous étudierons un exemple spécifique basé sur des événements.

Les événements qui mènent au déclenchement d’une règle sont appelés événements corrélés. À son tour, l’événement résultant avec des informations générales sur le déclencheur s’appelle un événement de corrélation. Ainsi, les événements corrélés sont utilisés pour créer des événements de corrélation. Par la suite, les événements de corrélation peuvent également être corrélés avec d’autres événements pour construire une logique plus complexe.

Bien, essayons de générer des événements de corrélation dans Splunk. Créez un index distinct pour les événements de corrélation, par exemple ‘apt-framework’ :Créez une requête de recherche qui recherchera périodiquement les hôtes effectuant des analyses de ports sur le réseau :index=* ( tag::eventtype= »communicate » OR tag::eventtype= »network ») | bucket _time span=60 | eventstats dc(dest_port) AS PortsScanned by src_ip, _time | where PortsScanned> 50 | dedup src_ip, PortsScanned | eval rule= »Internal Port Scan » | eval stage= »Stage 7 – Reconnaissance » | table src_ip, PortsScanned, _time, stage, rule, source, sourcetype

Tableau des résultats :Ensuite, créez une alerte avec une recherche sauvegardée qui recherchera toutes les 10 minutes dans les 10 dernières minutes les hôtes effectuant une analyse de ports :
Ok, maintenant vous devez spécifier les paramètres pour la création des événements de corrélation. Pour ce faire, ajoutez une action et choisissez Log Event :Vous devez spécifier tous les champs que vous souhaitez voir dans un événement de corrélation à partir du résultat de recherche.
Dans notre cas :$result._time$, Source=$result.source$, Sourcetype=$result.sourcetype$, src_ip=$result.src_ip$, PortsScanned=$result.PortsScanned$, stage= »$result.stage$ », rule= »$result.rule$ »En conséquence, toutes les 10 minutes pour les 10 dernières minutes, la recherche sauvegardée détecte les hôtes effectuant des analyses de ports, et Splunk génère et enregistre les événements de corrélation dans l’index ‘apt-framework’ :Vous pouvez facilement utiliser ces événements dans d’autres requêtes. L’utilisation d’un index distinct et d’événements de corrélation réduira considérablement la charge sur le moteur de recherche Splunk. Bon Splunking !