Rendre la Détection Splunk Plus Rapide avec le Résumé Complet d’Uncoder AI

1. Filtrage de l’Index et de la Source : La requête commence par spécifier index=* ce qui signifie qu’elle cherche dans tous les index disponibles dans l’environnement Splunk. Elle restreint ensuite les résultats pour n’inclure que les journaux provenant de sources nommées « WinEventLog:* », indiquant que l’accent est mis sur les journaux d’événements Windows.
2. Conditions de ScriptBlockText : Le corps principal de la requête utilise un opérateur ET avec une série de conditions OU, toutes liées à ScriptBlockText. Cela implique que la recherche vise à identifier des blocs de scripts PowerShell (fragments de code) dans ces journaux d’événements qui correspondent à certains critères. Plus précisément, elle recherche toute mention de propriétés ou de filtres liés à la délégation Kerberos.
• TrustedForDelegation : Cette condition recherche les instances où un compte utilisateur ou ordinateur a été configuré comme étant de confiance pour la délégation. Dans un environnement Kerberos, ce paramètre permet au compte de se faire passer pour des utilisateurs et d’accéder à des services en leur nom.
• TrustedToAuthForDelegation : Semblable à la condition précédente mais spécifiquement liée à des scénarios de délégation contrainte où un compte est de confiance pour s’authentifier à des fins de délégation.
• msDS-AllowedToDelegateTo : Cet attribut spécifie les services auxquels un utilisateur ou un ordinateur peut présenter des informations d’identification déléguées. La requête recherche des modifications ou des mentions de cet attribut dans les blocs de script, indiquant des changements de configuration possibles qui pourraient affecter les chemins de délégation.
• PrincipalsAllowedToDelegateToAccount : Cette condition cible les configurations où des mandants spécifiques (utilisateurs, ordinateurs, etc.) sont explicitement autorisés à déléguer leurs informations d’identification à un compte particulier, ce qui est un autre aspect de la délégation contrainte.
• LDAPFilter avec userAccountControl : La condition finale recherche des filtres LDAP utilisés dans les blocs de scripts qui ciblent spécifiquement les comptes avec l’attribut userAccountControl défini à 524288, ce qui correspond au drapeau « TRUSTED_FOR_DELEGATION ». Ce drapeau indique qu’un compte est de confiance pour la délégation, et modifier ou rechercher ceci pourrait faire partie de la gestion ou de l’exploitation des paramètres de délégation Kerberos.

En résumé, cette requête Splunk vise à détecter des activités ou erreurs de configuration potentielles liées à la sécurité au sein des environnements Windows en rapport avec la délégation Kerberos. Elle recherche des indicateurs dans les blocs de scripts PowerShell capturés dans les journaux d’événements Windows qui pourraient suggérer des changements dans les paramètres de délégation de confiance, ce qui pourrait être utilisé par des attaquants pour se déplacer latéralement au sein d’un réseau ou par des administrateurs pour gérer et auditer les configurations de délégation de leur environnement.